iPhone IPSec VPN клиент и Cisco ASA VPN

Автор cisco
28.04.2010 г.

Участник  сайта  faq-cisco.ru Ефремов Никита любезно предоставил полезный материал — статью о настройке Apple IPhone и Cisco ASA.

В данной статье рассмотрено как можно подключиться с мобильного телефона Apple iPhone 3G к корпоративной сети, на границе которой расположена Cisco ASA 5510.

iPhone IPSec VPN клиент и Cisco ASA VPN
iPhone IPSec VPN клиент и Cisco ASA VPN

 

В офисе внешний интерфейс ASA настроен на ip 217.X.X.X.

iPhone с прошивкой 2.0 и выше поддерживает три протокола для обеспечения защиты данных: PPTP, L2TP и IPSec.

Cisco ASA 5500 также поддерживает эти протоколы, а следовательно, мы имеем возможность, используя iPhone, подключиться при помощи IPSec VPN к нашей корпоративной сети.

Однако, у iPhone имеется ряд функциональных ограничений и при настройке ASA необходимо о них помнить:

IKE phase 1—3DES шифрование с хэшированием SHA1 (md5 метод не поддерживается)
IPSec phase 2—3DES или AES шифрование с MD5 или SHA методом хэширования
PPP Authentication—MSCHAPv2 (официальная поддержка) но PAP, MS-CHAPv1 работает в тестовом режиме
Pre-shared key (нет поддержки сертификатов).

Конфигурация

!— адреса, которые будут раздаваться подключаемым iPhon’ам
!
ip local pool IPHONE-POOL 192.168.1.1-192.168.1.10 mask 255.255.255.255
!
!— определяем IPSec transform-set с именем iPhone (алгоритм шифрования 3des, хэш-

!— функция SHA)
!
crypto ipsec transform-set iPhone esp-3des esp-sha-hmac
!
!— настраиваем динамическую crypto map
crypto dynamic-map IPHONE_CRYPTO_MAP 10 set transform-set iPhone
!
!— задаем имя iPhone-map для crypto map, которая будет использоваться с IKE для
!— установки соединения безопасных ассоциаций.
!
crypto map iPhone_map 65535 ipsec-isakmp dynamic IPHONE_CRYPTO_MAP
crypto map iPhone_map interface INTERNET
!— настройка IKE
!
crypto isakmp enable INTERNET
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 3600
!
!— настраиваем group-policy
!
group-policy iPhone internal
group-policy iPhone attributes
vpn-tunnel-protocol IPSec
address-pools value IPHONE-POOL
!
!— настраиваем tunnel-group
!
tunnel-group iPhone type remote-access
tunnel-group iPhone general-attributes
default-group-policy iPhone
tunnel-group iPhone ipsec-attributes
pre-shared-key
tunnel-group iPhone ppp-attributes
authentication ms-chap-v2
!
!— заводим пользователя
!
username iPhone password
encrypted
username iPhone attributes
vpn-group-policy iPhone

Настройки iPhone:

Заходим в Настройки -> Основные -> Сеть -> VPN -> IPSec.
Указываем описание, адрес (DNS имя) ASA, имя пользователя, пароль, название tunnel-group и pre-shared-key и подсоединяемся!

Для отслеживания процесса подключения можно на Cisco ASA ввести следующие команды:
debug ipsec-over-tcp 127
и обязательно terminal monitor для отображения данной информации.

источник: http://faq-cisco.ru/statji/bezopasnostj-cisco-pix-cisco-asa/iphone-ipsec-vpn-klient-i-cisco-asa-vpn.html