Ipsec настройка для iphone

Изменение параметров подключений VPN типа «L2TP через IPSec» на Mac

Установите настройки VPN, такие как управление отключением VPN и включение подробного протокола подключения для сбора более подробной журнальной информации о сеансе VPN.

Настройки VPN можно задать только для подключения VPN типа «L2TP через IPSec». (Настройки других типов подключений VPN задаются сервером VPN при установлении подключения VPN.)

На Mac выберите меню Apple > «Системные настройки», затем нажмите «Сеть».

Выберите службу VPN в списке слева.

Если службы VPN нет в списке, нажмите кнопку «Добавить» под списком, нажмите всплывающее меню «Интерфейс», выберите «VPN», нажмите всплывающее меню «Тип VPN» и выберите тип VPN. Введите имя для службы и нажмите «ОК».

Введите адрес сервера, имя учетной записи и параметры аутентификации, которые Вы получили от своего сетевого администратора или интернет-провайдера.

Нажмите «Дополнения», нажмите «Параметры», затем выберите необходимые параметры.

Отключать при переключении учетной записи пользователя. При смене пользователя будет завершаться сеанс VPN.

Отключать при выходе пользователя из системы. При выходе пользователя будет завершаться сеанс VPN.

Отправить весь трафик через VPN. Все данные будут передаваться через подключение VPN, даже если используется другая сетевая служба, например Wi-Fi или Ethernet.

Подробный протокол подключения. В журнал будет записываться более подробная информация о сеансе VPN. Эти сведения могут быть использованы при устранении неполадок, связанных с подключением VPN.

Источник

Настраиваем VPN на iPhone или iPad

время чтения: 3 минуты

Многих владельцев смартфонов Apple пугает настройка VPN на iPhone: эта процедура вызывает ассоциации с чем-то сложным и трудновыполнимым для рядового пользователя. Но используя популярные приложения, настроить ВПН можно в несколько кликов, в том числе для iPad и iPod Touch.

Что такое VPN и зачем он нужен

VPN, или виртуальная частная сеть — надежный способ защитить данные, которые вы передаете через интернет. Технически ВПН — это отдельный защищенный шифрованием канал внутри общей глобальной сети. При подключении к интернету через виртуальную сеть вы пользуетесь теми же сайтами и приложениям, но как бы поверх соединения, предоставляемого вашим провайдером. Это означает, что для функционирования ВПН необходим работающий интернет.

После подключения виртуальной сети на вашем устройстве все данные, которые вы передаете, будут сначала проходить по защищенному каналу до сервера ВПН, а уже оттуда выходить в открытый интернет. Таким образом, ни провайдер, ни злоумышленники не смогут увидеть, какие страницы вы посещаете, а ваши данные, например пароли, будут надежно защищены от кражи.

Есть еще одно неоспоримое преимущество использования виртуальной частной сети, ставшее особенно важным в последние месяцы, когда сервисы Google и многие другие сайты оказывались случайно заблокированными правительственными структурами в погоне за нарушителями закона. Используя ВПН, вы сможете без сбоев пользоваться привычными ресурсами.

Как настроить VPN для iPhone или iPad вручную

Для лучшего понимания процесса включения ВПН стоит рассмотреть способ настройки вручную. В качестве сервиса ВПН в примере ниже используется бесплатный проект VPN Gate, технологии L2TP/IPsec и встроенное в iOS ПО.

Зайдите в приложение «Настройки».
Нужно выбрать опцию «VPN» (или «Основные» => «VPN»).
Нажмите кнопку «Добавить конфигурацию VPN».
Укажите «Тип» — L2TP.
В поле «Описание» напишите произвольное имя соединения.
После заполнения всех полей потребуется ввести адрес ВПН-сервера, через который вы хотите выходить в интернет. Чтобы его получить, откройте страницу vpngate.net/en/ и обратите внимание на большую таблицу Public VPN Relay Servers и на столбец L2TP/IPsec. Возможно использовать только те сервера, которые имеют зеленую галочку в этом столбце.
Сделав выбор, скопируйте строки с окончанием . onengw.net или числовой IP на выбор (рекомендуется первый вариант) в поле «Сервер».
В полях «Учетная запись», «Пароль» и «Общий ключ» напишите слово vpn.
После заполнения всех полей нажмите кнопку «Готово».
Чтобы начать использовать виртуальную сеть, в меню настроек ВПН переключите «Статус» в положение «Вкл». Если все в порядке, вы увидите соответствующий индикатор на верхней панели.

Настройка VPN с помощью приложений

То же можно проделать еще проще, пользуясь бесплатным приложением Betternet. Это самый простой способ настроить VPN на устройствах Apple. После его установки и запуска вы обнаружите всего две кнопки: Connect и Disconnect.

Единственным тапом по экрану можно запускать соединение через ВПН или отключать его и начинать пользоваться интернетом напрямую. Многие задаются вопросом, почему это бесплатно. Если в случае с ручной настройкой речь идет об академическом проекте, то Betternet можно помочь, установив из App Store бесплатные приложения от партнеров.

Мнение, что шифрование необходимо только хакерам и злоумышленникам, в корне неверно. Конфиденциальность передаваемых через интернет данных давно стала нормой и необходимостью, ведь информация стоит дорого, а частная жизнь неприкосновенна.

Источник

IPSec VPN для OS X и iOS. Без боли

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
© Wikipedia

VPN используется для удаленного подключения к рабочему месту, для защиты данных, для обхода фильтров и блокировок, для выдачи себя за гражданина другой страны и вообще — штука незаменимая. Практически повсеместно в качестве простого средства для организации пользовательского VPN используется всем известный OpenVPN, который использовал и я. Ровно до тех пор, пока у меня не появился Macbook и OS X в придачу. Из-за того, что подход Apple к конфигурации DNS сильно отличается от подхода других *nix-систем, проброс DNS через VPN нормально не работал.

После некоторых исследований у меня получилось два варианта:
— Использование DNS «мимо» VPN, что сильно небезопасно, но решает проблему.
— Использование нативных для OS X VPN-протоколов: PPTP и семейства IPSec.
Разумеется, я выбрал второе и разумеется — IPSec, а не устаревший PPTP.

Настройка Linux ( в моем случае — Arch Linux )

Открыть Настройки → Сеть
Нажать (+) и выбрать VPN/Cisco IPSec
Заполнить основную информацию ( адрес, имя пользователя и пароль )
Выбрать «Настройки аутентификации» и указать группу и PSK ( из файла /etc/racoon/psk.key )
Подключиться

OS X и IPSec

IPSec это не один протокол, а набор протоколов и стандартов, каждый из которых имеет кучу вариантов и опций. OS X поддерживает три вида IPSec VPN:
— IPSec/L2TP
— IKEv2
— Cisco VPN

Первый вариант избыточен — какой смысл пробрасывать ethernet-пакеты для пользовательского VPN?
Второй — требует сертификатов и сильно сложной настройки на стороне клиента, что тоже нехорошо.
Остается третий, который называется «Cisco», а на самом деле — XAuth+PSK. Его и будем использовать.

Препарация OS X

После некоторых неудачных попыток настроить VPN на OS X, я полез изучать систему на предмет того, как же именно там работает VPN.
Недолгий поиск дал мне файлик /private/etc/racoon/racoon.conf, в котором была строчка include «/var/run/racoon/*.conf»;.
После этого все стало понятно: при нажатии кнопки OS X генерирует конфиг для racoon и кладет его в /var/run/racoon/, после окончания соединения — удаляет. Осталось только получить конфиг, что я и сделал, запустив скрипт перед соединением.

Внутри я нашел именно ту информацию, которой мне не хватало для настройки сервера: IPSec proposals. Это списки поддерживаемых клиентом ( и сервером ) режимов аутентификации, шифрования и подписи, при несовпадении которых соединение не может быть установлено.
Итоговый proposal для OS X 10.11 и iOS 9.3 получился таким:
encryption_algorithm aes 256;
hash_algorithm sha256;
authentication_method xauth_psk_server;
dh_group 14;

Выбор VDS и настройка VPN

Для VPN-сервера я выбрал VDS от OVH, поскольку они дают полноценную виртуализацию с возможностью ставить любое ядро с любыми модулями. Это очень важно, поскольку ipsec работает на уровне ядра, а не пользователя, как OpenVPN.
Режим «Cisco VPN» (XAuth + PSK) предполагает двухэтапную аутентификацию:
— Используя имя группы и PSK для нее ( этап 1 )
— Используя имя пользователя и пароль ( этап 2 )

Настройка racoon

racoon — демон, который занимается управлением ключами ( IKE ). Именно он дает ядру разрешение на провешивание туннеля после того, как аутентифицирует клиента и согласует все детали протокола ( aka proposal ). racoon входит в стандартный пакет ipsec-tools и есть практически в любом дистрибутиве Linux «из коробки».

Используя случайные 64 бита группы и 512 бит ключа, я получаю достаточно вариантов, чтоб сделать перебор бессмысленным.

Настройка Linux

— Необходимо разрешить маршрутизацию: sysctl net.ipv4.ip_forward=1
— Необходимо разрешить протокол ESP и входящие соединения на порты 500/udp и 4500/udp: iptables -t filter -I INPUT -p esp -j ACCEPT; iptables -t filter -I INPUT -p udp —dport 500 -j ACCEPT; iptables -t filter -I INPUT -p udp —dport 4500 -j ACCEPT
— Необходимо включить NAT для нашей сети: iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j MASQUERADE
— Необходимо создать группу и создать/добавить туда пользователей: groupadd vpn и useradd -G vpn vpn_user
— Необходимо запустить racoon: racoon -vF

Настройка OS X

Настройки → Сеть

Выбрать (+) → VPN → Cisco IPSec → придумать название

Выбрать соединение → ввести адрес сервера, имя пользователя и пароль

Выбрать «Настройки аутентификации» → ввести имя группы и ключ ( именно в таком порядке )

Настройка iOS

Настройки → Основные → VPN → Добавить конфигурацию VPN.

Заполнить форму по аналогии, подключиться.

Источник

Racoon vs. OpenSWAN: Настройка IPSEC VPN туннеля HOST-TO-SITE с Cisco и L2TP over IPSEC для Windows, iOS и Android

Добрых дел, уважаемые Хабравчане!

В данной статье я хотел бы увлечь вас рассказом о моих приключениях в поисках надежных и безопасных связей IPSec, где поджидает множество удивительных открытий и разочарований, загадок и ответов, историй верной службы и вероломных предательств. Итак, мой дорогой читатель, приготовься, начинаем повествование.

Читателю, которому требуется срочная помощь, а не рассказы о моих несчастьях, приведших к написанию данного топика, рекомендую пролистать до заголовка «Собственно сабж»

Где-то с полгода назад мне понадобилось поднять сервер для платежных терминалов с подключением к платежной системе по IPSec. Мой выбор пал на Debian Squeeze и KAME ipsec-tools, в простонародье racoon. Ох, и не знаю, почему моя душа прикипела к данному приложению. Сначала, поверхностно изучив теорию IPSec, я взялся за практику:

Ракун успешно скачался, установился, утянув за собой еще кучу пакетов и радостно известил меня о том, что он тут.

На другой стороне ждала его возлюбленная CISCO, которая, правда, стабильно поддерживала еще пару десятков защищенных связей, но с нетерпением ждала, что наш герой к ней постучится, назовет PreShared Key и заключит ее в объятия своего надежного IPSec канала.

Но перед этим нужно было пройти трудное испытание, ведь строгий, но справедливый отец CISCO — сисадмин на той стороне, не давал доступа к своей подопечной без успешного прохождения испытания. Условия прохождения были следующими:

Чтобы помочь влюбленным, еще примерно пару дней ушло на создание более или менее работающего конфига. И наконец, любовь восторжествовала. Одной из проблем было переделывание конфигов из существующих site-to-site, пришлось немного напрячь мозг и вспомнить, что один хост — это та же сеть, только с маской подсети 255.255.255.255, то есть /32.

Но счастье было не долгим. Возникла задача подключить и клиентские хосты по L2TP over IPSec, и здесь Ракун не смог справится. Сначала потребовалась операция по пересборке ipsec-tools, чтобы он мог поддерживать wildcard (*) для preshared key, так как IP-адреса клиентских машин неизвестны. Выглядело сие безобразие как-то так:

Банальное разрешение зависимостей при сборке потребовало еще недели кропотливого курения мана, потому что не мог пройти дальше ./configure. В итоге, я наткнулся на статью BenV, которая многозначительно вещала: And you trust your security to these clowns (И вы доверяете свою безопасность этим клоунам). Не придав большого значения этим словам, ведь статья мою проблему решила, я успешно собрал, подключил и заставил Ракун работать теперь и в конфигурации Road Warrior.

Настройки L2TP

C L2TP проблем не было:

Установил xl2tp и ppp

Настроил согласно множеству How-to:

А вот с ipsec-tools пришлось повозиться. Приведу рабочий конфиг ракуна:

Но через неделю успешной работы туннель оказался вдруг неактивным, и единственное средство, которое помогало, — это restart racoon или reboot.

Проект был пилотным, туча других дел, и, в общем, на костылях и заплатках протянул пару месяцев.

Наконец, у меня дошли руки до того, чтобы разобраться досконально в вопросе, и в надежде на bug-fixes и прочие неуловимые вещи я собрал свежую версию ipsec-tools 0.8.1. И сразу же после старта racoon сообщил мне о тяжелой болезни — segmentation fault.

Такого удара я вынести не смог. Не спал ночь: думал, как же так…

Проснувшись утром, выпил чаю, закусил бутербродом и сел за компьютер. Внезапно в голове загорелась мысль: OpenSWAN! Ай да, попробуем!

Собственно сабж

Aptitude ругнулся на то, что OpenSWAN не дружит с racoon, и с былым другом нам придется попрощаться. Ну, была не была, подумал я и подтвердил установку OpenSWAN.

После долгих мучений настройки racoon настройка OpenSWAN оказалась легче легкого (или, может, я опыта уже набрался):

Настройки L2TP даже менять не пришлось: все заработало сразу. Настройки L2TP.

И это заняло у меня порядка получаса против полутора недель мучений с racoon.

Заключение

К сожалению, как это часто бывает, капризная Циска часто ссорилась и рвала отношения с Ракуном, а вот с OpenSWAN (интересно, какого пола это приложение? может, женского, тогда это многое объясняет) уже третью неделю стабильно и без конфликтов и скандалов.

Постскриптум

Если VPN-соединения с клиентами подключаются, но хосты внутри сети недоступны друг для друга, то вам не хватает:
Или смотрите ваш iptables

Буду благодарен за комментарии, почему racoon выпадал в segfault и терял соединение после недели стабильной работы.

Отдельное спасибо НЛО за инвайт.

Через 2 месяца все-таки упало, зараза…
Нашел на Openswan форумах, что настоятельно рекомендуется dpdaction=restart_by_peer. Поправил в конфигах.

Как признался мне админ на стороне циски, падение было вызвано проблемами со связью на их стороне.
Но мне от этого не легче, потому что туннель должен был подняться.
Нашел еще в одном хау-ту, что forceencaps=yes может помочь в таких случаях. Добавил в конфиг.

Добавил:
# /etc/ppp/options:
defaultroute

Источник

Как настроить IPSec VPN для OS X и iOS

VPN используется для удаленного подключения к рабочему месту, для защиты данных, для обхода фильтров и блокировок, для выдачи себя за гражданина другой страны и вообще — штука незаменимая. Практически повсеместно в качестве простого средства для организации пользовательского VPN используется всем известный OpenVPN, который использовал и я. Ровно до тех пор, пока у меня не появился Macbook и OS X в придачу. Из-за того, что подход Apple к конфигурации DNS сильно отличается от подхода других *nix-систем, проброс DNS через VPN нормально не работал.

Настройка Linux (в моем случае — Arch Linux)

Открыть Настройки → Сеть
Нажать (+) и выбрать VPN/Cisco IPSec
Заполнить основную информацию ( адрес, имя пользователя и пароль )
Выбрать «Настройки аутентификации» и указать группу и PSK ( из файла /etc/racoon/psk.key )
Подключиться

OS X и IPSec

IPSec это не один протокол, а набор протоколов и стандартов, каждый из которых имеет кучу вариантов и опций. OS X поддерживает три вида IPSec VPN:

— IPSec/L2TP
— IKEv2
— Cisco VPN

Первый вариант избыточен — какой смысл пробрасывать ethernet-пакеты для пользовательского VPN?
Второй — требует сертификатов и сильно сложной настройки на стороне клиента, что тоже нехорошо.
Остается третий, который называется «Cisco», а на самом деле — XAuth+PSK. Его и будем использовать.

Настройка VPN в OS X

После некоторых неудачных попыток настроить VPN на OS X, я полез изучать систему на предмет того, как же именно там работает VPN.

Недолгий поиск дал мне файлик /private/etc/racoon/racoon.conf, в котором была строчка include «/var/run/racoon/*.conf»;.

После этого все стало понятно: при нажатии кнопки OS X генерирует конфиг для racoon и кладет его в /var/run/racoon/, после окончания соединения — удаляет. Осталось только получить конфиг, что я и сделал, запустив скрипт перед соединением.

Внутри я нашел именно ту информацию, которой мне не хватало для настройки сервера: IPSec proposals. Это списки поддерживаемых клиентом (и сервером) режимов аутентификации, шифрования и подписи, при несовпадении которых соединение не может быть установлено.

Итоговый proposal для OS X 10.11 и iOS 9.3 получился таким:

Выбор VDS и настройка VPN

Режим «Cisco VPN» (XAuth + PSK) предполагает двухэтапную аутентификацию:
— Используя имя группы и PSK для нее (этап 1);
— Используя имя пользователя и пароль (этап 2).

Настройка racoon

Racoon — демон, который занимается управлением ключами (IKE). Именно он дает ядру разрешение на провешивание туннеля после того, как аутентифицирует клиента и согласует все детали протокола (aka proposal).

Racoon входит в стандартный пакет ipsec-tools и есть практически в любом дистрибутиве Linux «из коробки».

Конфигурация racoon

Конфигурация psk-файла

Настройка Linux

Настройка OS X

Выбрать (+) → VPN → Cisco IPSec → придумать название:

Выбрать соединение → ввести адрес сервера, имя пользователя и пароль:

Выбрать «Настройки аутентификации» → ввести имя группы и ключ (именно в таком порядке):

Настройка iOS

Настройки → Основные → VPN → Добавить конфигурацию VPN.

Заполнить форму по аналогии, подключиться.

Настройка IPSec на iOS

Источник