Linux-Lösung für VPN on-demand für iOS-Geräte

11

Laut Apples Support-Artikel zu VPN für iOS unterstützen nur Cisco IPSec, Juniper Junos Pulse und Cisco AnyConnect die VPN-On-Demand-Funktion. Gibt es eine Open-Source-Implementierung ("kostenlos", da Bier hier wichtiger ist), die ich auf einem Linux-basierten System ohne spezielle Hardware bereitstellen könnte?

Update: Ich habe bereits eine PPTP-Lösung. Ich interessiere mich speziell für die On-Demand-Funktionen der beiden anderen.

Aeyoun
quelle
Haben Sie versucht, ein IPSec-Gateway unter Linux auszuführen? Könnte mit der Cisco IPSEC-Option kompatibel sein. Ich habe es jedoch nie versucht. Ich benutze PPTP.
Steve Dispensa

Antworten:

10

Cisco IPSec, Juniper Junos Pulse und Cisco AnyConnect können für bestimmte Zielhosts / -netzwerke bei Bedarf für VPN konfiguriert werden, da sie Teil der Route sind, und können erkennen, dass zuerst eine VPN-Verbindung hergestellt werden muss, um eine Verbindung zu diesen Hosts / herzustellen Netzwerke;

Im Fall Ihres Linux-basierten PPTP-VPN-Servers ist VPN on Demand bedeutungslos, sofern dieser Server nicht Ihr Standard-Routing-Gateway ist. In dieser Konfiguration sollte Ihr Server ein Cisco IPSEC-kompatibles Gateway unter Linux und das Standard-Routing-Gateway Ihrer iOS-Geräte sein.

Bei Apple iOS-Geräten ermöglicht VPN on Demand dem iOS-Gerät, eine transparente und sichere Verbindung zu einem Remote-Unternehmensnetzwerk herzustellen, ohne dass die Benutzerseite mehr manuell konfiguriert werden muss.

Diese VPN-on-Demand-Funktion kann auf dem iOS-Gerät nicht manuell konfiguriert werden und erfordert eine zertifikatbasierte Authentifizierung. Sie wird derzeit von Cisco IPSec, Juniper Junos Pulse und Cisco AnyConnect unterstützt.

Um es auf iOS-Geräten zu aktivieren und zu konfigurieren, müssen Sie ein Konfigurationsprofil erstellen und das Gerät dann bereitstellen.

Eine andere Form von VPN on Demand ist auf Mac OSX-Geräten verfügbar, auf denen Safari beschließt, eine VPN-Verbindung herzustellen, um eine Verbindung zu bestimmten Domänen / Netzwerken (z. B. vpn.mycompany.com) herzustellen, die Sie bereits als VPN on Demand aufgeführt und das Verbindungseinstellungsprofil konfiguriert haben (Passwort / Zertifikat).

Mehr Info:

iOS VPN on Demand: http://www.0x8847.net/2010/07/iphone-os-vpn-on-demand/ http://manuals.info.apple.com/de_DE/Enterprise_Deployment_Guide.pdf

OSX VPN on Demand: http://docs.info.apple.com/article.html?path=Mac/10.6/de/15575.html

Für ein Cisco IPSec Gateway unter Linux empfehle ich die Verwendung des Open Source-Pakets StrongSwan für Ihr iOS VPN on Demand

http://www.strongswan.org/

Verwenden Sie den Parameter --enable-cisco-quirks, um StrongSwan so zu erstellen, dass es mit Cisco IPSEC kompatibel ist. Es handelt sich um ein stabiles zertifizierungsbasiertes IPSec-Gateway unter Linux, das mit den Anforderungen von iOS VPN on Demand kompatibel ist.

Überprüfen Sie den folgenden Link für die Einrichtung von iOS auf StrongSwan:

http://wiki.strongswan.org/projects/strongswan/wiki/IOS_(Apple)

Die Authentifizierung verwendet XAUTH und Zertifikate (authby = xauthrsasig). Das beschriebene Setup wurde getestet und auf einem iPad 2 mit iOS 4.3.1 bestätigt. Es wird jedoch erwartet, dass es auf allen anderen iOS-Geräten (iPhone, iPad, iPod Touch) mit einem funktioniert aktuelle iOS-Version.

Reza Hashemi
quelle
3

Wie bereits in der Antwort von @ Reza erwähnt, benötigen Sie im Grunde nur ein Profil, damit dies funktioniert. Eine Sache, die Reza jedoch nicht erwähnt hat, ist die eigentliche Frage, die Sie wohl gestellt haben. Damit dies unter Linux funktioniert, benötigen Sie eine Art IPSec-Unterstützung. Hierfür stehen verschiedene Tools zur Verfügung. Informationen zum Konfigurieren mehrerer Tools finden Sie hier:

http://www.ipsec-howto.org/t1.html

Ich habe Openswan selbst dafür verwendet:

http://www.openswan.org/

Sobald Sie das VPN-Konfigurationsprofil zum Laufen gebracht und den Realm korrekt eingerichtet haben, richtet das iOS-Gerät bei Bedarf den IPSec-Tunnel ein und alle erhalten kostenloses Bier (Sie kaufen!).

Polynom
quelle
Ich benötige IPSec mit "zertifikatbasierter Authentifizierung". Dies ist für keines dieser Tools eine aufgelistete Funktion.
Aeyoun
1
Ich glaube nicht, dass es für Openswan aufgeführt ist, da es die Standardeinstellung ist. So können Sie es für die Verwendung der Zertifikatauthentifizierung konfigurieren: natecarlson.com/2007/07/30/… In diesem Beispiel können Sie XP durch iOS ersetzen.
Polynom
2

Wir verwenden das PPTP-Linux-Paket unter CentOS und es funktioniert sehr gut für OSX, Windows und iOS. Ich weiß, dass es in Bezug auf die Sicherheit seine Grenzen hat, aber für die meisten Menschen ist es mehr als ausreichend.

SpacemanSpiff
quelle
Hier ist eine anständige Anleitung
SpacemanSpiff
1
Ich würde denken, dass On-Demand ein Merkmal des Kunden ist, mehr als der Konzentrator? Mehr Forschung wert.
SpacemanSpiff