Nastavení Cisco IPSec VPN pro zařízení Apple
V tomto oddílu najdete informace o tom, jak nakonfigurovat VPN server Cisco pro použití v systémech iOS, iPadOS a macOS. Všechny tyto systémy podporují síťové firewally Cisco Adaptive Security Appliance 5500 Series a Private Internet Exchange. Podporují také směrovače Cisco IOS VPN s verzí IOS 12.4(15)T nebo novější. Koncentrátory řady VPN 3000 funkce VPN nepodporují.
Metody ověřování
Systémy iOS, iPadOS a macOS podporují následující metody ověřování:
Ověřování IPsec s použitím předsdíleného klíče a ověřováním totožnosti pomocí příkazu
xauth.Certifikáty klientů a serverů pro ověřování IPsec s volitelným ověřováním uživatelů pomocí
xauth.Hybridní ověřování, při němž server poskytne certifikát a klient dodá předsdílený klíč pro ověřování IPsec. Ověřování uživatelů je povinné a je zajišťováno příkazem
xauth, který obsahuje uživatelské jméno a heslo použité pro ověřovací metodu a mechanismus SecurID protokolu RSA.
Ověřovací skupiny
Protokol Cisco Unity využívá ověřovací skupiny k seskupení uživatelů podle společné sady parametrů. Pro uživatele zařízení byste měli vytvořit samostatnou ověřovací skupinu. Pro účely ověřování předsdíleným klíčem a hybridního ověřování je nutné nastavit název skupiny v zařízení s použitím sdíleného tajného klíče (předsdíleného klíče) skupiny jako jejího hesla.
Ověřování pomocí certifikátů s žádným sdíleným tajným klíčem nepracuje. Skupina uživatelů je určována na základě polí v certifikátu. V nastavení serveru Cisco lze pole certifikátu namapovat na uživatelské skupiny.
Nejvyšší prioritu v seznamu priorit ISAKMP (Internet Security Association and Key Management Protocol) musí mít položka RSA‑Sig.
Parametry nastavení IPsec a jejich popis
Metodu implementace protokolu IPsec můžete definovat nastavením následujících parametrů:
Mode: Tunelový režim.
IKE exchange modes: Režim Aggressive u předsdíleného klíče a hybridního ověřování, režim Main u ověřování pomocí certifikátů.
Encryption algorithms: 3DES, AES‑128 nebo AES256.
Authentication algorithms: HMAC‑MD5 nebo HMAC‑SHA1.
Diffie‑Hellman Groups: Pro ověřování předsdíleným klíčem a hybridní ověřování je vyžadována skupina 2, pro ověřování pomocí certifikátu je u šifrování 3DES a AES‑128 vyžadována skupina 2 a u šifrování AES‑256 skupina 2 nebo 5.
Perfect Forward Secrecy (PFS): Používá‑li IKE fáze 2 volbu PFS, musí být Diffieho‑Hellmanova skupina shodná se skupinou, která byla použita pro IKE fáze 1.
Mode configuration: Musí být aktivováno.
Dead peer detection: Doporučeno.
Standard NAT traversal: Podporováno, lze zapnout (režim IPsec over TCP není podporován).
Load balancing: Podporováno, lze zapnout.
Rekeying of phase 1: V současné době nepodporováno. Časy překlíčování na serveru se doporučuje nastavit na jednu hodinu.
ASA address mask: Ujistěte se, že všechny masky fondů adres zařízení jsou buď nenastaveny, nebo nastaveny na hodnotu 255.255.255.255. Příklad:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255Při použití doporučené masky adres mohou být ignorovány některé trasy, s nimiž počítá konfigurace VPN. Abyste tomuto jevu předešli, před nasazením se ujistěte, že směrovací tabulka obsahuje všechny nezbytné trasy a že jsou adresy podsítí dostupné.
Application version: Na server je zasílána verze klientského softwaru a umožňuje mu přijmout nebo odmítnout připojení na základě softwarové verze zařízení.
Banner: Banner (pokud je na serveru nakonfigurován) se zobrazuje na zařízení a uživatel jej musí buď přijmout, nebo se odpojit.
Split tunnel: Podporováno.
Split DNS: Podporováno.
Default domain: Podporováno.