Configurazione della connessione VPN IPsec di Cisco per dispositivi Apple
Fai riferimento a questa sezione per configurare il tuo server VPN Cisco VPN per l’utilizzo con iOS, iPadOS e macOS (tutti supportano i firewall di rete Cisco Adaptive Security Appliance serie 5500 e Private Internet Exchange). Inoltre, anche i router VPN Cisco IOS con IOS 12.4(15)T o versioni successive sono supportati. I concentratori serie VPN 3000 non supportano le caratteristiche VPN.
Metodi di autenticazione
iOS, iPadOS e macOS supportano i seguenti metodi di autenticazione:
Autenticazione IPsec con chiave pre-condivisa con autenticazione utente mediante il comando
xauth.Certificati client e server per autenticazione IPsec con autenticazione utente facoltativa via
xauth.Autenticazione ibrida in cui il server fornisce un certificato e il client fornisce una chiave pre-condivisa per l’autenticazione IPsec. L’autenticazione dell’utente è richiesta e fornita tramite
xauth, che include il nome utente e la password del metodo di autenticazione e RSA SecurID.
Gruppi di autenticazione
Il protocollo Cisco Unity utilizza gruppi di autenticazione per riunire gli utenti in base a un set comune di parametri. Si consiglia di creare un gruppo di autenticazione per gli utenti di dispositivi. Per l’autenticazione mediante chiave pre-condivisa e ibrida, il nome del gruppo deve essere configurato sul dispositivo con la relativa chiave pre-condivisa definita come password di gruppo.
Se l’autenticazione avviene tramite certificati, non è necessaria alcuna chiave pre-condivisa. Il gruppo dell’utente viene stabilito in base ai campi presenti nel certificato. Puoi usare le impostazioni del server Cisco per mappare i campi di un certificato con i gruppi di utenti.
RSA-Sig deve avere la priorità più alta nell’elenco ISAKMP (Internet Security Association and Key Management Protocol).
Impostazioni e descrizioni di IPsec
Per definire il modo in cui IPsec viene implementato puoi specificare le seguenti impostazioni:
Modalità: modalità Tunnel.
Modalità scambio IKE: modalità Aggressive per l’autenticazione mediante chiave pre-condivisa e ibrida o modalità Main per l’autenticazione mediante certificato.
Algoritmi di crittografia: 3DES, AES-128 o AES256.
Algoritmi di autenticazione: HMAC-MD5 o HMAC-SHA1.
Gruppi Diffie Hellman: il gruppo 2 è richiesto per l’autenticazione mediante chiave pre-condivisa e ibrida, il gruppo 2 con 3DES e AES-128 per l’autenticazione tramite certificato e il gruppo 2 o 5 con AES-256.
PFS (Perfect Forward Secrecy): per IKE fase 2, in caso di utilizzo di PFS, il gruppo Diffie-Hellman deve essere lo stesso usato per IKE fase 1.
Configurazione modalità: attivata.
Rilevamento dead peer: consigliato.
Attraversamento NAT standard: supportato e attivabile (IPsec su TCP non supportato).
Bilanciamento del carico: supportato e attivabile.
Re-key della fase 1: attualmente non supportato. È consigliabile impostare i tempi di re-key sul server su un’ora.
Maschera indirizzo ASA: verifica che tutte le maschere pool degli indirizzi dei dispositivi siano impostate su 255.255.255.255 oppure non siano impostate. Ad esempio:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Se utilizzi la maschera indirizzo consigliata, alcuni percorsi adottati dalla configurazione VPN potrebbero venire ignorati. Per evitarlo, assicurati che la tabella di instradamento contenga tutti i percorsi necessari e assicurati che gli indirizzi di sottorete siano accessibili prima procedere alla distribuzione.
Versione applicazione: la versione del software client viene inviata al server per consentirgli di accettare o respingere le connessioni in base alla versione del software disponibile sul dispositivo.
Banner: se impostato sul server, il banner viene visualizzato sul dispositivo e l’utente può accettarlo o disconnettersi.
Split tunneling: supportato.
Split DNS: supportato.
Dominio predefinito: supportato.