Учитывая, что OS X теперь поддерживает (изначально) VPN-соединения CISCO IPSec, мне интересно, каковы требования к конфигурации VPN на удаленном конце?
Я оценил ряд устройств CISCO (в меньшем диапазоне, таких как маршрутизаторы ASA 5505, а также устройства RV120W и WRVS4400N), и мне не очень повезло заставить их общаться с VPN через встроенный в клиенте, однако, когда я использую что-то вроде IPSecuritas от Lobotomo, я могу без проблем установить соединение.
Итак, какова идеальная конфигурация, чтобы это работало? Честно говоря, я бы предпочел не устанавливать VPN-клиент в своих системах, а просто использовать встроенный клиент.
Я скопировал и вставил то, что, как я надеюсь, является соответствующей конфигурацией из моего ASA (5525), где это работает как для AnyConnect, так и для клиентов MacOS. Я удалил из него локализованную информацию, так что, возможно, я что-то опечатал в процессе. Надеюсь, я ничего не упустил. (Ищите ! *** Комментарии.)
! *** This is a pool of IPs that will be allocated to VPN clients
ip local pool Pool_VPN 10.255.255.10-10.255.255.250 mask 255.255.255.0
! *** These are the networks accessible via the VPN
access-list Split_Tunnel standard permit 10.0.0.0 255.0.0.0
access-list Split_Tunnel standard permit 172.16.0.0 255.240.0.0
access-list Split_Tunnel standard permit 192.168.0.0 255.255.0.0
webvpn
! *** See below for the content of this file
anyconnect profiles ExampleVPN disk0:/examplevpn.xml
group-policy GP_VPN internal
group-policy GP_VPN attributes
wins-server none
! *** Replace with your internal DNS server
dns-server value 192.168.0.255
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
password-storage enable
group-lock value TG_VPN
split-tunnel-policy tunnelspecified
ipv6-split-tunnel-policy tunnelspecified
split-tunnel-network-list value Split_Tunnel
! *** Replace with your internal DNS zone
default-domain value example.com
split-dns none
split-tunnel-all-dns disable
secure-unit-authentication disable
! *** Replace with the FQDN of your ASA
gateway-fqdn value asa.example.com
address-pools value Pool_VPN
client-access-rule none
webvpn
anyconnect profiles value ExampleVPN type user
anyconnect ask none default anyconnect
tunnel-group TG_VPN type remote-access
tunnel-group TG_VPN general-attributes
address-pool Pool_VPN
default-group-policy GP_VPN
tunnel-group TG_VPN webvpn-attributes
group-alias TG_VPN enable
tunnel-group TG_VPN ipsec-attributes
! *** Replace with your own shared secret
ikev1 pre-shared-key ThisIsASharedSecret
tunnel-group-map default-group IPSecProfile
Файл disk0:/examplevpn.xml содержит:
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/">
<ServerList>
<HostEntry>
<HostName>asa.example.com</HostName>
<HostAddress>198.51.100.1</HostAddress>
<PrimaryProtocol>IPsec</PrimaryProtocol>
</HostEntry>
</ServerList>
</AnyConnectProfile>
Замените внешнее полное доменное имя и IP-адрес вашего ASA.
Затем настройте клиент MacOS «Cisco IPSec» на использование того же общего секрета, который указан в строке «ikev1 pre-shared-key», а имя группы - группа tunnel-group, в данном случае «TG_VPN». Имя пользователя и пароль определяются локально в ASA с помощью таких строк, как:
username user password ***** encrypted privilege 15
Я предполагаю, что он использует локальные учетные записи в результате:
user-identity default-domain LOCAL
Но если вы можете заставить это работать с локальными пользователями, вы, вероятно, можете поработать, чтобы настроить аутентификацию по-другому, если вам нужно.
Скажу, что я начал с уже работающей конфигурации AnyConnect, а затем просто добавил эти строки:
tunnel-group TG_VPN ipsec-attributes
ikev1 pre-shared-key ThisIsASharedSecret
чтобы заставить его работать с клиентом MacOS. (Мне также пришлось расширить список доступа к сети с разделенным туннелем, но я подозреваю, что это было необходимо и для пользователей AnyConnect.)
По моему опыту, вам нужно будет создать группу на ASA и назначить ей пароль. Затем вы добавляете пользователя в эту группу.
В OSX имя и пароль учетной записи принадлежат пользователю. Затем в разделе «Параметры аутентификации» введите пароль (общий секрет) для группы, которую вы настроили на ASA, и введите имя группы в поле «Имя группы».
Поскольку Apple утверждает, что Cisco VPN изначально поддерживается, и это подробно объясняется ВотЯ предполагаю, что это проблема или несоответствие конфигурации VPN.
Это может быть вопрос согласования настройки VPN для удаленного доступа с клиентом OSX, а не наоборот.