Konfiguracja IPSec VPN Cisco na urządzeniach Apple
Ta sekcja pozwala skonfigurować serwer Cisco VPN do współpracy z urządzeniami iOS, iPadOS oraz macOS. Systemy te obsługują zapory sieciowe z serii Cisco Adaptive Security Appliance 5500 oraz Private Internet Exchange. Obsługują one również routery Cisco IOS VPN z oprogramowaniem iOS 12.4(15)T lub nowszym. Koncentratory Cisco VPN 3000 nie obsługują połączeń VPN.
Metody uwierzytelniania
Systemy iOS, iPadOS i macOS obsługują następujące metody uwierzytelniania:
Uwierzytelnianie IPSec przy użyciu klucza dzielonego oraz uwierzytelniania użytkownika za pomocą polecenia
xauth.Uwierzytelnianie IPSec przy użyciu certyfikatów klienta i serwera oraz opcjonalnego uwierzytelniania użytkownika przez
xauth.Uwierzytelnianie hybrydowe, w którym serwer udostępnia certyfikat, a klient udostępnia klucz dzielony do uwierzytelnienia IPsec. Uwierzytelnianie użytkowników jest wymagane i obsługiwane przez
xauthz uwzględnieniem metody opartej o nazwę użytkownika i hasło oraz RSA SecurID.
Grupy uwierzytelniania
Protokół Cisco Unity używa grup uwierzytelniania do grupowania użytkowników na podstawie wspólnych parametrów. Zalecamy utworzenie grupy uwierzytelniania dla użytkowników. W przypadku uwierzytelniania używającego klucza dzielonego oraz uwierzytelniania hybrydowego na urządzeniu należy skonfigurować nazwę grupy z hasłem wspólnym (kluczem dzielonym) użytym jako hasło grupy.
Uwierzytelnianie oparte na certyfikatach nie używa hasła wspólnego. Nazwa grupy ustalana jest na podstawie pól certyfikatu. Ustawienia serwera Cisco pozwalają na odwzorowywanie pól certyfikatu na grupy użytkowników.
RSA‑Sig musi mieć najwyższy priorytet na liście priorytetów protokołu ISAKMP.
Ustawienia IPsec i ich opisy
Można użyć następujących ustawień, aby zdefiniować sposób implementacji protokołu IPsec:
Mode (Tryb): Tryb tunelowania.
IKE exchange modes (Tryby wymiany IKE): Tryb Aggresive (agresywny) dla uwierzytelniania przy użyciu klucza dzielonego i uwierzytelniania hybrydowego; tryb Main (główny) dla uwierzytelniania opartego na certyfikatach.
Encryption algorithms (Algorytmy szyfrowania): 3DES, AES‑128 lub AES256.
Authentication algorithms (Algorytmy uwierzytelniania): HMAC-MD5 lub HMAC-SHA1.
Diffie‑Hellman Groups (Grupy Diffiego‑Hellmana): Grupa 2 wymagana jest dla uwierzytelniania z użyciem klucza dzielonego oraz uwierzytelniania hybrydowego, grupa 2 z 3DES i AES‑128 — dla uwierzytelniania opartego na certyfikatach, a grupa 2 lub 5 dla AES‑256.
Utajnianie z wyprzedzeniem (PFS, Perfect Forward Secrecy): Jeśli PFS używane jest w fazie 2 negocjacji IKE, grupa Diffiego‑Hellmana musi być taka sama, jak w fazie 1 negocjacji IKE.
Mode configuration (Konfiguracja trybu): Musi być włączone.
Dead Peer Detection (Wykrywanie nieaktywnych partnerów): Zalecane.
Standard NAT traversal (Standardowe przejście przez NAT): Obsługiwane i może zostać włączone (IPsec przez TCP nie jest obsługiwany).
Load balancing (Równoważenie obciążenia): Obsługiwane i może zostać włączone.
Rekeying of phase 1 (Powtórne generowanie kluczy w fazie 1): Obecnie nieobsługiwane. Zalecamy ustawienie na serwerze czasu powtórnego generowania kluczy na jedną godzinę.
ASA address mask (Maska adresu ASA): Upewnij się, że maski puli adresowej wszystkich urządzeń nie są w ogóle ustawione lub są ustawione na 255.255.255.255. Na przykład:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Jeśli używana jest zalecana maska adresu, niektóre trasy przyjęte przez konfigurację VPN mogą być ignorowane. Aby tego uniknąć, upewnij się, że tablica tras zawiera wszystkie niezbędne trasy, a adresy podsieci są dostępne.
Application version (Wersja aplikacji): Wersja oprogramowania klienta wysyłana jest do serwera, co pozwala serwerowi na akceptowanie lub odrzucanie połączeń na podstawie wersji oprogramowania urządzenia.
Banner (Baner): Jeśli na serwerze skonfigurowany jest baner, jest on wyświetlany na urządzeniu, a użytkownik musi zaakceptować wyświetlony komunikat lub rozłączyć się.
Split tunnel (Dzielone tunelowanie): Obsługiwane.
Split DNS (Dzielony DNS): Obsługiwane.
Default domain (Domena domyślna): Obsługiwane.