Apple डिवाइस के लिए Cisco IPsec VPN सेटअप
iOS, iPadOS और macOS के साथ उपयोग के लिए अपने Cisco VPN सर्वर को कॉन्फ़िगर करने के लिए इस अनुभाग का उपयोग करें, जो सभी Cisco नेटवर्क फ़ायरवॉल Adaptive Security Appliance 5500 Series और Private Internet Exchange का समर्थन करते हैं। वे IOS संस्करण 12.4(15)T या बाद के संस्करण के साथ Cisco IOS VPN राउटर का भी समर्थन करते हैं। VPN 3000 Series Concentrators VPN की क्षमताओं को सपोर्ट नहीं करता।
ऑथेंटिकेशन विधियाँ
iOS, iPadOS और macOS निम्नलिखित प्रमाणन विधियों का समर्थन करता है :
xauthकमांड का उपयोग करके यूज़र प्रमाणीकरण के साथ पहले शेयर किया गया “की” IPsec प्रमाणीकरण।IPSec प्रमाणन के लिए क्लाइंट और सर्वर सर्टिफ़िकेट, जिसमें
xauthके उपयोग के साथ वैकल्पिक यूज़र प्रमाणन है।हाइब्रिड प्रमाणन, जहाँ IPsec प्रमाणन के लिए सर्वर एक सर्टिफ़िकेट प्रदान करता है और क्लाइंट पहले शेयर की गई की प्रदान करता है। यूज़र प्रमाणीकरण आवश्यक है और
xauthका उपयोग करके प्रदान किया जाता है, जिसमें पासवर्ड के साथ प्रमाणीकरण विधि का यूज़रनेम और RSA SecurID शामिल है।
ऑथेंटिकेशन ग्रुप
समान सेट वाले पैरामीटर के आधार पर यूज़र को समूहित करने के लिए Cisco Unity प्रोटोकॉल ऑथेंटिकेशन ग्रुप का उपयोग करता है। आपको यूज़र के लिए एक प्रमाणन समूह तैयार करना चाहिए। प्रीशेयर्ड-की और हाइब्रिड प्रमाणन के लिए डिवाइस पर समूह पासवर्ड के रूप में समूह के शेयर किए गए रहस्य (प्रीशेयर्ड-की) के साथ समूह का नाम कॉन्फ़िगर किया जाना आवश्यक है।
सर्टिफ़िकेट ऑथेंटिकेशन का उपयोग करते समय, कोई शेयर्ड सीक्रेट नहीं होता। सर्टिफ़िकेट में मौजूद फ़ील्ड से किसी यूज़र का ग्रुप का पता चलता है। सर्टिफ़िकेट में मौजूद फ़ील्ड्स को यूज़र ग्रुप के साथ मैप करने के लिए Cisco सर्वर सेटिंग का उपयोग किया जा सकता है।
RSA-Sig को ISAKMP (इंटरनेट सुरक्षा एसोसिएशन और “की” प्रबंधन प्रोटोकॉल) प्राथमिकता सूची में सर्वोच्च प्राथमिकता होना आवश्यक है।
IPsec सेटिंग्ज़ और वर्णन
यह परिभाषित करने के लिए कि IPsec किस प्रकार क्रियान्वित हो, आप इन सेटिंग्ज़ को निर्दिष्ट कर सकते हैं :
मोड : टनल मोड।
IKE एक्सचेंज मोड : प्रीशेयर्ड की और हाइब्रिड ऑथेंटिकेशन के लिए अग्रेसिव मोड या सर्टिफ़िकेट ऑथेंटिकेशन के लिए मेन मोड।
एंक्रिप्शन ऐल्गोरिद्म : 3DES, AES–128, या AES256।
ऑथेंटिकेशन ऐल्गोरिद्म : HMAC–MD5 या HMAC–SHA1
डिफी-हेलमेन समूह : प्रीशेयर्ड की और हाइब्रिड ऑथेंटिकेशन के लिए ग्रुप 2, सर्टिफ़िकेट ऑथेंटिकेशन के लिए 3DES और AES–128 के साथ ग्रुप 2, और AES–256 के साथ ग्रुप 2 या 5 की आवश्यकता होती है।
पर्फ़ैक्ट फॉरवर्ड सीक्रेसी (PFS): IKE फ़ेज़ 2 के लिए, यदि PFS का उपयोग किया जाता है, तो Diffie-Hellman समूह वैसा ही होना चाहिए जैसा कि IKE फ़ेज़ 1 में इस्तेमाल किया गया था।
मोड कॉन्फ़िगरेशन : सक्षम किया जाना आवश्यक है।
डेड पीयर डिटेक्शन : अनुशंसित।
स्टैंडर्ड NAT ट्रैवर्सल : समर्थित है और सक्रिय किया जा सकता है (TCP पर IPsec समर्थित नहीं है)।
लोड बैलेंसिंग : समर्थित और सक्रिय किया जा सकता है।
फ़ेज़ 1 का रीकीइंग : वर्तमान में समर्थित नहीं। इस बात की सलाह दी जाती है कि सर्वर पर रीकीइंग समय को एक घंटा पर सेट किया जाना चाहिए।
ASA ऐड्रेस मास्क : सुनिश्चित करें कि सभी डिवाइस ऐड्रेस पूल मास्क या तो सेट नहीं है या 255.255.255.255 पर सेट है। उदाहरण के लिए :
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.यदि आप अनुसंशित ऐड्रेस मास्क का उपयोग करते हैं, तो VPN कॉन्फ़िगरेशन द्वारा स्वीकृत कुछ रूट की अनदेखी हो सकती है। इससे बचने के लिए, सुनिश्चित करें कि आपके राउटिंग टेबल में सभी आवश्यक रूट मौजूद हैं और सुनिश्चित करें कि उपयोग में आने से पहले सबनेट ऐड्रेस ऐक्सेस करने योग्य है।
ऐप्लिकेशन संस्करण : क्लाइंट सॉफ़्टवेयर संस्करण सर्वर को भेजा जाता है, डिवाइस के सॉफ़्टवेयर संस्करण के आधार पर सर्वर कनेक्शन को स्वीकृत या खारिज करता है।
बैनर : बैनर (यदि सर्वर पर कॉन्फ़िगर किया हुआ है) डिवाइस पर प्रदर्शित होता है और यूज़र द्वारा इसे स्वीकार या डिस्कनेक्ट किया जाना आवश्यक है।
स्प्लिट टनल : समर्थित।
स्प्लिट DNS: समर्थित।
डिफ़ॉल्ट डोमेन : समर्थित।