Ställa in Cisco IPsec-VPN för Apple-enheter
Använd det här avsnittet när du vill konfigurera en VPN-server från Cisco för användning med iOS, iPadOS och macOS som alla stöder Cisco-nätverksbrandväggarna i Adaptive Security Appliance 5500 Series och Private Internet Exchange. De har även stöd för Cisco IOS VPN-routrar med IOS 12.4(15)T eller senare. VPN 3000 Series Concentrators saknar stöd för VPN-funktioner.
Autentiseringsmetoder
iOS, iPadOS och macOS har stöd för följande autentiseringsmetoder:
IPsec-autentisering med fördelad nyckel (PSK) och användarautentisering med kommandot
xauth.Klient- och servercertifikat för IPsec-autentisering, med valfri användarautentisering med
xauth.Hybridautentisering där servern tillhandahåller ett certifikat och klienten står för en fördelad nyckel för IPsec-autentisering. Användarautentisering krävs och tillhandahålls med
xauthsom inkluderar autentiseringsmetodens användarnamn med lösenord och RSA SecurID.
Autentiseringsgrupper
Cisco Unity-protokollet grupperar användare i autentiseringsgrupper baserat på en gemensam uppsättning parametrar. Du bör skapa en autentiseringsgrupp för användare. När enheten autentiseras med fördelade nycklar eller hybridautentisering måste gruppnamnet konfigureras med gruppens delade hemlighet (fördelade nyckel) som grupplösenord.
När autentisering via certifikat används finns ingen delad hemlighet. Användargruppen bestäms baserat på fälten i certifikatet. Cisco-serverns inställningar kan användas för att koppla fälten i certifikatet till användargrupper.
RSA–Sig måste ha högsta prioritet på prioritetslistan för ISAKMP (Internet Security Association and Key Management Protocol).
IPsec-inställningar och beskrivningar
Du kan definiera hur IPsec implementeras genom att ange följande inställningar:
Mode: Tunnelläge.
IKE exchange modes: Aggressive Mode för fördelad nyckel och hybridautentisering, eller Main Mode för certifikatautentisering.
Encryption algorithms: 3DES, AES–128 eller AES256.
Authentication algorithms: HMAC–MD5 eller HMAC–SHA1.
Diffie–Hellman-grupper: Group 2 krävs för fördelad nyckel och hybridautentisering, group 2 med 3DES och AES–128 för certifikatautentisering, och group 2 eller 5 med AES–256.
PFS (Perfect Forward Secrecy): Om PFS används med IKE fas 2 måste Diffie–Hellman-gruppen överensstämma med vad som användes för IKE fas 1.
Mode configuration: Måste vara aktiverat.
Dead peer detection: Rekommenderas.
Standard NAT traversal: Stöds och kan aktiveras (IPsec over TCP stöds inte).
Load balancing: Stöds och kan aktiveras.
Rekeying of phase 1: För närvarande saknas stöd. Nyckeluppdatering på servern bör ske varje timme.
ASA address mask: Se till att alla enheters adressmasker antingen är tomma eller konfigurerade som 255.255.255.255. Exempel:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Om du använder den rekommenderade adressmasken kan en del nätverksvägar som används av VPN-konfigurationen ignoreras. Du kan förhindra detta genom att före driftsättningen se till att routningstabellen innehåller alla viktiga nätverksvägar och kontrollera att delnätsadresserna kan nås.
Application version: Information om klientprogramvarans version skickas till servern så att servern kan godkänna eller neka anslutningar beroende på enhetens programvaruversion.
Banner: Välkomstmeddelandet (om det har konfigurerats på servern) visas på enheten och användaren måste godkänna det eller avbryta anslutningen.
Split tunnel: Stöds.
Split DNS: Stöds.
Default domain: Stöds.