Configuration d’un VPN Cisco IPSec pour les appareils Apple
Utilisez cette rubrique pour configurer votre serveur VPN Cisco de manière à pouvoir l’utiliser avec des appareils iOS, iPadOS et macOS. Ces systèmes d’exploitation prennent en charge les coupe-feu réseau Cisco Adaptive Security Appliance 5500 Series et Private Internet Exchange. Ils prennent également en charge les routeurs VPN Cisco IOS avec IOS version 12.4(15)T ou ultérieure. Les concentrateurs de la gamme VPN 3000 ne prennent pas en charge les fonctionnalités VPN.
Méthodes d’authentification
iOS, iPadOS et macOS prennent en charge les méthodes d’authentification suivantes :
L’authentification IPsec par clé prépartagée avec authentification par le biais de la commande
xauth.L’authentification IPsec basée sur des certificats client et serveur avec authentification
xauthfacultative des utilisateurs.L’authentification hybride où le serveur fournit un certificat et le client une clé prépartagée pour l’authentification IPsec. L’authentification des utilisateurs est fournie par le biais de
xauth, qui inclut le nom dʼutilisateur avec mot de passe de la méthode d’authentification, ainsi que RSA SecurID.
Groupes d’authentification
Le protocole Cisco Unity utilise des groupes d’authentification pour regrouper les utilisateurs respectant un ensemble de critères communs. Il est recommandé de créer un groupe d’authentification pour les utilisateurs. Pour une authentification hybride ou basée sur une clé prépartagée, le nom du groupe doit être configuré sur l’appareil avec le secret partagé du groupe (clé prépartagée) comme mot de passe du groupe.
Si vous utilisez une authentification par certificat, il n’y a pas de secret partagé. Le groupe d’un utilisateur est déterminé à partir des champs du certificat. Les réglages du serveur Cisco peuvent être utilisés pour mettre en correspondance des champs du certificat avec des groupes d’utilisateurs.
RSA-Sig doit avoir la priorité maximale sur la liste de priorité ISAKMP (Internet Security Association and Key Management Protocol).
Réglages et descriptions IPsec
Vous pouvez spécifier les réglages suivants afin de définir le mode de fonctionnement d’IPsec adapté à votre infrastructure :
Mode : Mode tunnel.
Modes d’échange de clés par Internet (IKE) : Mode agressif pour l’authentification par clé prépartagée et hybride, Mode principal pour l’authentification par certificat.
Algorithmes de chiffrement : 3DES, AES-128 ou AES-256.
Algorithmes d’authentification : HMAC-MD5 ou HMAC-SHA1.
Groupes Diffie-Hellman : Le groupe 2 est requis pour l’authentification par clé prépartagée et hybride, le groupe 2 avec 3DES et AES–128 est requis pour l’authentification par certificat, et les groupes 2 ou 5 sont requis avec AES-256.
Confidentialité persistante parfaite (PFS) : Si PFS est utilisé avec IKE phase 2, le groupe Diffie-Hellman doit être le même que celui utilisé pour IKE phase 1.
Mode configuration : Doit être activé.
Détection des pairs morts : Recommandée.
Transversal NAT standard : Pris en charge et peut être activé si nécessaire (IPsec sur TCP n’est pas pris en charge).
Équilibrage de charge : Pris en charge et peut être activé.
Renouvellement des clés de la phase 1 : Non supporté. Il est recommandé de régler la période de renouvellement des clés sur 1 heure côté serveur.
Masque de sous-réseau ASA : Assurez-vous que le masque de sous-réseau associé à chaque plage d’adresses IP n’est pas défini ou défini sur 255.255.255.255. Par exemple :
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Si le masque de sous-réseau recommandé est utilisé, certaines routes utilisées par la configuration VPN sont susceptibles d’être ignorées. Pour éviter cela, assurez-vous que votre tableau de routage contient toutes les routes nécessaires et vérifiez que les adresses de sous-réseau sont accessibles avant le déploiement.
Version d’application : La version du logiciel client est envoyée au serveur, ce qui lui permet d’accepter ou de rejeter des connexions en fonction de la version du logiciel de l’appareil.
Bannière : Si une bannière est configurée sur le serveur, elle s’affichera sur l’appareil et l’utilisateur devra l’accepter ou se déconnecter.
Segmentation de tunnel : Prise en charge.
Split DNS : Pris en charge.
Domaine par défaut : Pris en charge.