Настройка VPN для iPhone на ASA
Вторник, 30.06.2009 – 11:53Понадобилось мне подключаться к рабочей сети с iPhone, для проверки сервисов, да и так, к своему рабочему компьютеру, например. Попробовал в базовых настройках, ASA ругалась на не соответствие типов шифрования. Было выяснено, что для iPhone нужен тип шифрования esp-aes, esp-sha-hmac, или esp-aes-256 esp-sha-hmac. Примерная конфигурация ASA:
Для начала создаем ACL для туннеля, делаем исключение NAT
access-list REMOTE extended permit ip any 192.168.3.0 255.255.255.0 access-list REMOTE_SplitTunnel standard permit 192.168.5.0 255.255.255.0 access-list NoNAT extended permit ip 192.168.5.0 255.255.255.0 192.168.3.0 255.255.255.0 nat (inside) 0 access-list NoNAT
Прописываем имя пользователя и пароль для входа
username your_name password your_password
Выдаем адресацию DHCP
ip local pool VPN_POOL 192.168.3.10-192.168.3.20
Описываем криптомап с шифрованием esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac crypto dynamic-map OUTSIDE_MAP 1 match address REMOTE crypto dynamic-map OUTSIDE_MAP 1 set transform-set ESP-AES-SHA crypto dynamic-map OUTSIDE_MAP 1 set reverse-route crypto map VPN 65535 ipsec-isakmp dynamic OUTSIDE_MAP crypto map VPN interface outside
Описываем ISAKMP
crypto isakmp enable outside crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 20
Создаем политики VPN. Да, здесь обязательно не забыть про DNS, иначе не будет находить имена.
group-policy VPN_Policy internal group-policy VPN_Policy attributes dns-server value DNS_Server_IP vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value REMOTE_SplitTunnel split-dns value domain.local
Ну и привязываем tunnel-group ко всему этому ;)
tunnel-group VPN type ipsec-ra tunnel-group VPN general-attributes address-pool VPN_POOL default-group-policy VPN_Policy tunnel-group VPN ipsec-attributes pre-shared-key your_password
В самом iPhone надо будет заполнить поля логин/пароль (строка username в конфигурации), имя группы (VPN), и т.н. ключ/secret (значение pre-shared-key). Вроде как все. Если есть вопросы – в комментарии, отвечу ;)
Похожие публикации:
Извините, комментирование отключено.