Solución de Linux para VPN bajo demanda para dispositivos iOS

11

Según el artículo de soporte de Apple sobre VPN para iOS , solo Cisco IPSec, Juniper Junos Pulse y Cisco AnyConnect son compatibles con la función de VPN a pedido. ¿Hay alguna implementación de código abierto ('gratis' como en cerveza es más importante aquí) de estas que podría implementar en un sistema basado en Linux sin hardware especial?

Actualización: ya tengo una solución PPTP. Estoy específicamente interesado en las características a pedido de los otros dos.

Aeyoun
fuente
¿Has intentado ejecutar una puerta de enlace ipsec en Linux? Puede ser compatible con la opción Cisco IPSEC. Sin embargo, nunca lo probé; Yo uso PPTP.
Steve Dispensa

Respuestas:

10

Cisco IPSec, Juniper Junos Pulse y Cisco AnyConnect pueden configurarse para VPN bajo demanda para ciertos hosts / redes de destino, ya que son parte de la ruta y pueden darse cuenta de la necesidad de establecer primero una conexión VPN para conectarse a esos hosts / redes;

Entonces, en el caso de su servidor VPN PPTP basado en Linux, en la medida en que ese servidor no sea su puerta de enlace de enrutamiento predeterminada, VPN on Demand no tiene sentido. En esta configuración, su servidor debe ser una puerta de enlace compatible con Cisco IPSEC en Linux y la puerta de enlace de enrutamiento predeterminada de sus dispositivos iOS también.

En el caso del dispositivo Apple iOS, VPN on Demand permite que el dispositivo iOS establezca una conectividad transparente y segura a una red empresarial remota sin más configuración manual en el lado del usuario.

Esta característica de VPN on Demand no se puede configurar manualmente en el dispositivo iOS y requiere una autenticación basada en certificados y actualmente es compatible con Cisco IPSec, Juniper Junos Pulse y Cisco AnyConnect.

Para activarlo y configurarlo en dispositivos iOS, debe crear un perfil de configuración y luego aprovisionar el dispositivo.

Otra forma de VPN on Demand está disponible en dispositivos Mac OSX donde Safari decide establecer una conexión VPN para conectarse a ciertos dominios / redes (por ejemplo, vpn.mycompany.com) que ya ha enumerado como VPN on Demand y configuró su perfil de configuración de conexión (contraseña / certificado).

Más información:

VPN a pedido de iOS: http://www.0x8847.net/2010/07/iphone-os-vpn-on-demand/ http://manuals.info.apple.com/en_US/Enterprise_Deployment_Guide.pdf

OSX VPN on Demand: http://docs.info.apple.com/article.html?path=Mac/10.6/en/15575.html

Para una puerta de enlace IPSec de Cisco en Linux, le recomiendo que use el paquete de código abierto StrongSwan para su VPN bajo demanda iOS

http://www.strongswan.org/

Use el parámetro --enable-cisco-quirks para construir StrongSwan para que sea compatible con Cisco IPSEC. Es una puerta de enlace IPsec basada en certificación estable en Linux que es compatible con los requisitos de iOS VPN on Demand.

Verifique el siguiente enlace para configurar iOS en StrongSwan:

http://wiki.strongswan.org/projects/strongswan/wiki/IOS_(Apple)

La autenticación utiliza XAUTH y certificados (authby = xauthrsasig). La configuración descrita se ha probado y confirmado en un iPad 2 con iOS 4.3.1, pero se espera que funcione en todos los demás dispositivos iOS (iPhone, iPad, iPod Touch) versión actualizada de iOS.

Reza Hashemi
fuente
3

Como ya se mencionó en la respuesta de @ Reza, básicamente solo necesita un perfil para que esto funcione. Sin embargo, una cosa que Reza no mencionó es la pregunta real que creo que estaba haciendo. Para que esto funcione en Linux, necesita algún tipo de soporte IPSec. Hay varias herramientas disponibles que pueden hacer esto, la forma de configurar varias de ellas está disponible aquí:

http://www.ipsec-howto.org/t1.html

He usado Openswan para esto yo mismo:

http://www.openswan.org/

Una vez que el perfil de configuración de VPN funcione y configure el reino correctamente, el dispositivo iOS establecerá el túnel IPSec a pedido y todos obtendrán cervezas gratis (¡está comprando!)

polinomio
fuente
Necesito IPsec con "autenticación basada en certificados". Esta no es una función enumerada para ninguna de estas herramientas.
Aeyoun
1
No creo que esté en la lista de Openswan porque es el valor predeterminado. Aquí es cómo puede configurarlo para usar la autenticación de certificado: natecarlson.com/2007/07/30/… En este ejemplo, puede reemplazar XP con iOS.
polinomio
2

Utilizamos el paquete PPTP Linux en CentOS, y funciona muy bien para OSX, Windows e iOS. Sé que tiene sus limitaciones con respecto a la seguridad, pero para la mayoría de las personas es más que adecuado.

SpacemanSpiff
fuente
He
SpacemanSpiff
1
Creo que a pedido es una característica del cliente, más que el concentrador? Vale la pena investigar un poco más.
SpacemanSpiff