A Cisco IPsec VPN beállítása Apple-eszközökhöz
Az itt leírtak alapján konfigurálhatja a Cisco VPN-szervert az iOS-, iPadOS- és macOS-eszközökkel történő használathoz. Az iOS, az iPadOS és a macOS egyaránt támogatja a Cisco Adaptive Security Appliance 5500 Series és Private Internet Exchange tűzfalak használatát. Ezenkívül a Cisco IOS VPN-routerek használatát is támogatják a 12.4(15)T vagy újabb iOS-verziókkal. A VPN 3000 sorozatú koncentrátorok nem támogatják a VPN-funkciót.
Hitelesítési módszerek
Az iOS, az iPadOS és a macOS az alábbi hitelesítési módszerek használatát támogatja:
Előre megosztott kulcsos IPsec-hitelesítés felhasználói hitelesítéssel az
xauthparancson keresztül.Kliens- és szervertanúsítványok IPsec-hitelesítéshez, opcionális felhasználói hitelesítéssel az
xauthparancson keresztül.Hibrid hitelesítés, ahol a szerver egy tanúsítványt, a kliens pedig egy előre megosztott kulcsot biztosít az IPsec-hitelesítéshez. Felhasználói hitelesítés szükséges, és ez az
xauthparancson keresztül történik, amely a felhasználónév jelszóval és RSA biztonsági azonosító típusú hitelesítési módszereket tartalmazza.
Hitelesítési csoportok
A Cisco Unity protokoll hitelesítési csoportokat használ, amelyekkel egy általános paraméterkészlet alapján csoportosítja a felhasználókat. Hozzon létre egy hitelesítési csoportot a felhasználókhoz. Az előre megosztott kulcs és a hibrid hitelesítés esetében a csoportnevet úgy kell konfigurálni az eszközön, hogy a csoportjelszó a csoport megosztott titkos kulcsa (előre megosztott kulcsa) legyen.
Tanúsítvány alapú hitelesítés használatakor nincs megosztott titkos kulcs. Egy felhasználó csoportja a tanúsítványon lévő mezőkből határozható meg. A Cisco-szerver beállításaival leképezhetők egy tanúsítvány mezői a felhasználói csoportokra.
Fontos, hogy az RSA-Sig hitelesítés kapja a legnagyobb prioritást az ISAKMP (Internet Security Association and Key Management Protocol) prioritási listáján.
Az IPsec-beállításai és a beállítások leírása
Az IPsec implementációjához az alábbi beállításokat adhatja meg:
Mód: Alagút mód.
IKE exchange modes: Agresszív mód az előre megosztott kulcshoz és hibrid hitelesítéshez vagy Fő mód a tanúsítvány-hitelesítéshez.
Encryption algorithms: 3DES, AES-128 vagy AES256.
Authentication algorithms: HMAC-MD5 vagy HMAC-SHA1.
Diffie-Hellman Groups: Az előre megosztott kulcshoz és hibrid hitelesítéshez a 2. csoport szükséges, a tanúsítvány alapú hitelesítéshez a 2. csoport szükséges 3DES és AES-128 titkosítással, illetve a 2. vagy 5. csoport AES-256 titkosítással.
Perfect Forward Secrecy (PFS): Ha az IKE 2. fázisában a PFS van használatban, akkor a Diffie–Hellman csoportnak egyeznie kell az IKE 1. fázisában használt csoporttal.
Mode configuration: Engedélyezni kell.
Dead peer detection: Javasolt.
Standard NAT traversal: Támogatott és engedélyezhető (az IPsec/TCP nem támogatott).
Load balancing: Támogatott és engedélyezhető.
Rekeying of phase 1: Jelenleg nem támogatott. Azt javasoljuk, hogy a kulcsismétlési idő 1 órára legyen beállítva a szerveren.
ASA address mask: Győződjön meg arról, hogy az eszközök címkészletének egyik maszkja sincs beállítva, vagy az összes maszk 255.255.255.255 értékre van állítva. Például:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Ha az ajánlott címmaszkot használja, akkor elképzelhető, hogy a VPN-konfiguráció által feltételezett útvonalak némelyike figyelmen kívül lesz hagyva. Ennek megelőzése érdekében győződjön meg arról, hogy az útvonalak táblázata az összes szükséges útvonalat tartalmazza, és ellenőrizze, hogy az alhálózati címek elérhetőek, mielőtt elvégezné a központi telepítést.
Application version: A kliensgép szoftverének verzióját elküldi a rendszer a szervernek, és lehetővé teszi, hogy a szerver az eszköz szoftverének verziója alapján elfogadja vagy elutasítsa a csatlakozásokat.
Fejléc: A banner (ha konfigurálva van a szerveren) az eszközön jelenik meg, és a felhasználónak el kell fogadnia, vagy meg kell szakítania a csatlakozást.
Split tunnel: Támogatott.
Split DNS: Támogatott.
Default domain: Támogatott.