Cisco IPsec VPN-oppsett for Apple-enheter
Bruk denne delen til å konfigurere en Cisco VPN-tjener for bruk med iOS, iPadOS og macOS. Begge støtter nettverksbrannmurene Cisco Adaptive Security Appliance 5500 Series og Private Internet Exchange. De støtter også Cisco IOS VPN-rutere med IOS-versjon 12.4(15)T eller nyere. VPN 3000 Series Concentrators støtter ikke VPN-funksjonalitet.
Autentiseringsmetoder
iOS, iPadOS og macOS støtter følgende autentiseringsmetoder:
IPsec-autentisering med forhåndsdelt nøkkel og brukerautentisering ved hjelp av
xauth-kommandoen.Klient- og tjenersertifikater for IPSec-autentisering, med valgfri brukerautentisering ved hjelp av
xauth.Hybridautentisering, der tjeneren har et sertifikat og klienten en forhåndsdelt nøkkel for IPsec-autentisering. Brukerautentisering kreves og leveres med
xauth, som inkluderer autentiseringsmetodens brukernavn, passord og RSA SecurID.
Autentiseringsgrupper
Cisco Unity-protokollen bruker autentiseringsgrupper for å gruppere brukere basert på et felles sett med parametere. Du bør opprette en autentiseringsgruppe for brukere. Ved forhåndsdelt nøkkel og hybridautentisering må gruppenavnet konfigureres på enheten med gruppens delte hemmelighet (forhåndsdelt nøkkel) som gruppepassord.
Når sertifikatautentisering brukes, er det ingen delt hemmelighet. Gruppen til en bruker avgjøres av feltene i sertifikatet. Cisco-tjenerinnstillingene kan brukes til å kartlegge felt i et sertifikat for brukergrupper.
RSA-Sig må ha høyeste prioritet på ISAKMP-prioritetslisten (Internet Security Association and Key Management Protocol).
IPsec-innstillinger og -beskrivelser
Du kan angi disse innstillingene for å definere hvordan IPsec implementeres:
Mode: Tunnelmodus.
IKE exchange modes: Aggressive-modus for forhåndsdelt nøkkel og hybridautentisering, eller Main-modus for sertifikatautentisering.
Encryption algorithms: 3DES, AES-128 eller AES-256.
Authentication algorithms: HMAC-MD5 eller HMAC-SHA1.
Diffie-Hellman Groups: Gruppe 2 kreves for forhåndsdelt nøkkel og hybridautentisering, gruppe 2 med 3DES og AES-128 for sertifikatautentisering, og gruppe 2 eller 5 med AES-256.
Perfect Forward Secrecy (PFS): Hvis PFS brukes, må Diffie-Hellman Group være den samme for IKE fase 2-gruppen som for IKE fase 1.
Mode configuration: Må aktiveres.
Dead peer detection: Anbefalt.
Standard NAT traversal: Støttes og kan aktiveres (IPsec over TCP støttes ikke).
Load balancing: Støttes og kan aktiveres.
Rekeying of phase 1: Støttes ikke per i dag. Tiden for generering av ny nøkkel på tjeneren bør settes til én time.
ASA address mask: Sørg for at alle adressemasker til enheter enten ikke er angitt eller er satt til 255.255.255.255. For eksempel:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Hvis du bruker anbefalte adressemaske, kan enkelte av rutingene i VPN-konfigureringen bli ignorert. For å unngå det må du sørge for at rutingtabellen inneholder alle nødvendige rutinger og sikre at subnettadressene er tilgjengelige før utrulling.
Application version: Versjonen til klientprogramvaren sendes til tjeneren, slik at tjeneren kan godta eller avvise tilkoblinger basert på enhetens programvareversjon.
Banner: Banneret (hvis det er konfigurert på tjeneren) vises på enheten, og brukeren må godta det eller koble fra.
Split tunnel: Støttet.
Split DNS: Støttet.
Default domain: Støttet.