Configuración de VPN Cisco IPsec para los dispositivos Apple
Aprende a configurar un servidor VPN de Cisco para dispositivos iOS, iPadOS y macOS, que son compatibles con los cortafuegos de red Adaptive Security Appliance 5500 Series y Private Internet Exchange de Cisco. También admiten routers VPN IOS de Cisco con IOS 12.4(15)T o posterior. En cambio, los concentradores de la serie VPN 3000 no son compatibles con las funciones de VPN.
Métodos de autenticación
iOS, iPadOS y macOS son compatibles con los siguientes métodos de autenticación:
Autenticación IPsec de clave precompartida con autenticación de usuario mediante el comando
xauth
.Certificados de cliente y servidor para la autenticación IPSec, con la autenticación opcional de usuario mediante
xauth
.Autenticación híbrida, en la que el servidor proporciona un certificado y el cliente proporciona una clave precompartida para la autenticación IPsec. Es necesario que el usuario se autentique con
xauth
, que incluye tanto el nombre de usuario con contraseña del método de autenticación como RSA SecurID.
Grupos de autenticación
El protocolo Cisco Unity utiliza grupos de autenticación para agrupar a los usuarios según un conjunto común de parámetros. Es conveniente crear un grupo de autenticación para los usuarios. Para la autenticación por clave precompartida e híbrida, el nombre del grupo debe configurarse en el dispositivo, siendo la contraseña el secreto compartido (la clave precompartida).
Al utilizar autenticación por certificado, no hay ningún secreto compartido. El grupo del usuario se determina a partir de los campos del certificado. Se pueden utilizar los ajustes del servidor Cisco para vincular campos de un certificado a grupos de usuarios.
RSA-Sig debe ser la mayor prioridad de la lista de prioridades ISAKMP (Internet Security Association and Key Management Protocol).
Ajustes y descripciones de IPsec
Puedes especificar estos ajustes para definir cómo debe implementarse IPsec:
Modo: Modo túnel.
Modos de intercambio IKE: Modo agresivo para la autenticación híbrida y con clave precompartida, o modo principal para la autenticación mediante certificados.
Algoritmos de encriptación: 3DES, AES-128 o AES256.
Algoritmos de autenticación: HMAC-MD5 o HMAC-SHA1.
Grupos Diffie-Hellman: Se requiere el grupo 2 para la autenticación híbrida y con clave precompartida, el grupo 2 con 3DES y AES-128 para la autenticación mediante certificados, y el grupo 2 o 5 con AES-256.
Confidencialidad directa perfecta (PFS): Para IKE fase 2, si se utiliza PFS, el grupo Diffie-Hellman debe ser el mismo que para IKE fase 1.
Configuración de modo: Debe estar activado.
Detección de pares inactivos: Recomendado.
NAT transversal estándar: Es compatible y puede activarse (no puede utilizarse IPsec sobre TCP).
Equilibrio de carga: Es compatible y puede activarse.
Cambio de claves de fase 1: No es compatible en este momento. Se recomienda ajustar los tiempos de cambio de claves en el servidor a una hora.
Máscara de direcciones ASA: Asegúrate de que ninguna de las máscaras de direcciones del dispositivo esté configurada, o bien que todas ellas lo estén con la dirección 255.255.255.255. Por ejemplo:
“asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255”
.Si utilizas la máscara de direcciones recomendada, puede que se ignoren algunas rutas asumidas por la configuración VPN. Para evitarlo, asegúrate de que tu tabla de enrutamiento contiene todas las rutas necesarias y comprueba que las direcciones de subred son accesibles antes de la implementación.
Versión de app: La versión del software cliente se envía al servidor, lo que permite a este último aceptar o rechazar conexiones según la versión del software del dispositivo.
Banner: El banner (si está configurado en el servidor) se muestra en el dispositivo y el usuario debe aceptarlo o desconectarse.
Túnel dividido: Compatible.
DNS dividido: Compatible.
Dominio por omisión: Compatible.