Solution Linux pour VPN à la demande pour les appareils iOS

11

Selon l' article de support d'Apple sur VPN pour iOS , seuls Cisco IPSec, Juniper Junos Pulse et Cisco AnyConnect prennent en charge la fonction VPN à la demande. Existe-t-il une implémentation open source («gratuite» comme dans la bière est plus importante ici) que je pourrais déployer sur un système basé sur Linux sans matériel spécial?

Mise à jour: j'ai déjà une solution PPTP. Je suis particulièrement intéressé par les fonctionnalités à la demande des deux autres.

Aeyoun
la source
Avez-vous essayé d'exécuter une passerelle IPSec sous Linux? Peut être compatible avec l'option Cisco IPSEC. Je n'ai jamais essayé, cependant; J'utilise PPTP.
Steve Dispensa

Réponses:

10

Cisco IPSec, Juniper Junos Pulse et Cisco AnyConnect peuvent être configurés pour VPN à la demande pour certains hôtes / réseaux de destination car ils font partie de l'itinéraire et peuvent réaliser la nécessité d'établir une connexion VPN en premier afin de se connecter à ces hôtes / réseaux;

Donc, dans le cas de votre serveur VPN PPTP basé sur Linux, dans la mesure où ce serveur n'est pas votre passerelle de routage par défaut, VPN on Demand n'a aucun sens. Dans cette configuration, votre serveur doit être une passerelle compatible Cisco IPSEC sous linux et la passerelle de routage par défaut de vos appareils iOS également.

Dans le cas d'un appareil Apple iOS, VPN on Demand permet à un appareil iOS d'établir une connectivité transparente et sécurisée à un réseau d'entreprise distant sans aucune configuration manuelle côté utilisateur.

Cette fonctionnalité VPN à la demande ne peut pas être configurée manuellement sur le périphérique iOS et nécessite une authentification basée sur un certificat et est actuellement prise en charge sur Cisco IPSec, Juniper Junos Pulse et Cisco AnyConnect.

Pour l'activer et le configurer sur les appareils iOS, vous devez créer un profil de configuration, puis approvisionner l'appareil.

Une autre forme de VPN à la demande est disponible sur les appareils Mac OSX où Safari décide d'établir une connexion VPN pour se connecter à certains domaines / réseaux (par exemple vpn.mycompany.com) que vous avez déjà répertoriés comme VPN à la demande et configuré son profil de paramètres de connexion (mot de passe / certificat).

Plus d'informations:

VPN iOS à la demande: http://www.0x8847.net/2010/07/iphone-os-vpn-on-demand/ http://manuals.info.apple.com/en_US/Enterprise_Deployment_Guide.pdf

VPN OSX à la demande: http://docs.info.apple.com/article.html?path=Mac/10.6/en/15575.html

Pour une passerelle Cisco IPSec sous Linux, je vous recommande d'utiliser le package open source StrongSwan pour votre VPN iOS à la demande

http://www.strongswan.org/

Utilisez le paramètre --enable-cisco-quirks pour construire StrongSwan pour le rendre compatible avec Cisco IPSEC. Il s'agit d'une passerelle IPsec basée sur une certification stable sous Linux qui est compatible avec les exigences iOS VPN on Demand.

Vérifiez le lien suivant pour configurer iOS sur StrongSwan:

http://wiki.strongswan.org/projects/strongswan/wiki/IOS_(Apple)

L'authentification utilise XAUTH et des certificats (authby = xauthrsasig). La configuration décrite a été testée et confirmée comme fonctionnant sur un iPad 2 avec iOS 4.3.1, mais devrait fonctionner sur tous les autres appareils iOS (iPhone, iPad, iPod Touch) exécutant un version iOS à jour.

Reza Hashemi
la source
3

Comme déjà mentionné dans la réponse de @ Reza, vous avez simplement besoin d'un profil pour que cela fonctionne. Une chose que Reza n'a pas mentionnée, c'est la vraie question que je pense que vous posiez. Pour que cela fonctionne sous Linux, vous avez besoin d'une sorte de support IPSec. Il existe plusieurs outils disponibles qui peuvent le faire, comment en configurer plusieurs est disponible ici:

http://www.ipsec-howto.org/t1.html

J'ai utilisé Openswan pour cela moi-même:

http://www.openswan.org/

Une fois que le profil de configuration VPN fonctionne et que le domaine est correctement configuré, l'appareil iOS établira le tunnel IPSec à la demande et des bières gratuites seront offertes à tous (vous achetez!)

polynôme
la source
J'ai besoin d'IPsec avec «authentification basée sur certificat». Ce n'est une fonctionnalité répertoriée pour aucun de ces outils.
Aeyoun
1
Je ne pense pas que c'est répertorié pour Openswan car c'est la valeur par défaut. Voici comment vous pouvez le configurer pour utiliser l'authentification par certificat: natecarlson.com/2007/07/30/… Vous pouvez remplacer XP par iOS dans cet exemple.
polynôme
2

Nous utilisons le package PPTP Linux sur CentOS, et il fonctionne très bien pour OSX, Windows et iOS. Je sais qu'il a ses limites en matière de sécurité, mais pour la plupart des gens, il est plus que suffisant.

SpacemanSpiff
la source
voici une façon décente de: etherninja.org/?p=47
SpacemanSpiff
1
Je pense que la demande est une caractéristique du client, plus que le concentrateur? Vaut encore quelques recherches.
SpacemanSpiff