Vpn сертификат для iphone

Как установить OpenVPN на iOS

Для установки VPN через OpenVPN на iOS-устройстве, например, iPhone или iPad, скачайте программу OpenVPN Connect из App Store:

Настройка через iTunes:

1 Теперь подключите смартфон или планшет к компьютеру, синхронизируйтесь с iTunes, зайдите во вкладку «Программы», далее «Общие файлы». Выделите OpenVPN и нажмите «Добавить»:

2 Теперь добавьте один из конфигурационных файлов .ovpn (из файла whoerconfig.zip, который вы получили по почте).

3 Проверьте, что на экране устройства появилось сообщение «New profiles are available»

4 Если все хорошо, нажмите на зеленый плюсик, чтобы подтвердить настройки. Для подключения (отключения) просто выберите ON (OFF) в приложении OpenVPN Connect.

Настройка без подключения к iTunes:

1 Откройте свою электронную почту на iPhone или iPad и найдите письмо с кодом активации от Whoer VPN. В конце письма вы найдете архив с конфигами, нажмите на него.

2 В открывшемся окне нажмите «Просмотреть содержимое»

3 Выберите желаемый ВПН сервер для подключения и нажмите на иконку в левом нижнем углу

4 В появившемся окне найдите иконку «Скопировать в OpenVPN» и нажмите на неё.

5 Далее вы попадете в приложение OpenVPN, где будет предложено импортировать файл, нажмите «Add»

6 Следующее окно показывает, что конфиг уже импортирован и необходимо его добавить в список подключений. По желанию, вы можете переименовать конфиг, после чего нажмите «Add»

Готово. Для подключения к нужному серверу ВПН найдите его в списке конфигов и нажмите на иконку «ON OFF»

Чтобы проверить соединение и убедиться, что вы благополучно работаете через Whoer VPN, зайдите на сайт whoer.net.

Посмотрите также наше видео, где мы подробно рассказываем как установить OpenVPN на iOS:

Источник

Настраиваем IPSec VPN сервер через strongSwan и On-Demand на iOS

Всё началось с того что возникла необходимость защитить передаваемые на сервер пользовательские данные. И сделать нужно было так, что бы не заморочивать при этом пользователей корпоративных iPad’ов. Я не смог придумать ничего умнее как использовать IPSexc и VPN On-Demand на iOS. И поднимать я его решил через strongSwan.

Как же я намучился с этим… Как же я возненавидел это сообщение на картинке сверху… В интернете полно статей и готовых примеров, но все они используют авторизацию по логину и паролю.
И теперь я хочу сэконосить время тем кто отважится пройти этот тернистый путь.

Начало пути

Первая кровь

Как выяснилось, RSA-авторизация в strongSwan сделана через xauth. И этот самый xauth, помимо сертификата, обязательно требует ещё и логин с пароль. Вот такая у них реализация. У strongSwan есть вполне сносное описание как поднять IPSec VPN для работы с iOS. Но проблема здесь как раз в запросе пароля. Поэтому этот вариант нам не подходит.

Но не всё так плохо! Нас спасёт Tobias Brunner и его коммит! Как раз без этого коммита у нас ничего бы и не получилось. Спасибо ему огромное. Этот код представляет собой плагин к xauth, который не требует дополнительной аутентификации пользовательского логина и пароль. Т.е. происходит только RSA-аутентификация по ключам. Что нам и нужно было!

Сертификаты

Не буду рассказывать про то как сгенерировать ключи. Это очень подробно описано в туториале от strongSwan. Я лишь хочу обратить внимание на несколько важных моментов туториала:

1. Значение поля common name (CN) сертификата должно в точности воспадать с ip или доменным именем VPN сервера. В случае Amazon EC2 это будет что-то вроде «ecX-XX-XXX-XX-XX.eu-west-1.compute.amazonaws.com».
2. При установке сертификатов на iPad нужно не забыть кроме клиентского PKCS#12 (*.p12) установить ещё и корневой. В туториале она называется caCert.pem.

Приступим

Перед установкой рекомендуется прочитать и внять рекомендациям по «хакингу». А точнее по сборке пакета из репозитория.

После установки всех необходимых библиотек и тулзов перейдём к сборке:

1. Выкачаем branch с тем самым волшебным плагином: git clone git://git.strongswan.org/strongswan.git xauth-noauth strongswan-git-xauth-noauth/
2. Создадим скрипты конфигурации: ./autogen.sh
3. Сконфигурируем: ./configure —prefix=/usr —sysconfdir=/etc —enable-xauth-noauth
4. Соберём пакет: sudo checkinstall -D —install=no
5. И, наконец, установим его: dpkg -i strongswan-git-xauth_5.0.3-xauth-noauth-1_amd64.deb

Не забудьте открывать на firewall’е 500 и 4500 UDP порты, т.к. через них работает IPSec.
Разрешим проброску пакетов через NAT:

Наконец мы можем приступить к конфигурации.

/etc/ipsec.conf

/etc/ipsec.secrets

/etc/strongswan.conf

Init.d скрипт слишком длинный. Его можно будет забрать здесь.

Установка сертификатов на iOS

Установить сертификаты (clientCert.p12 и caCert.pem) можно несколькоми способами:

• Используя iPhone Configuration Utility
• Отправив сертификаты себе по почте. И дальше получить из на iPad.
• Скачав их с помощью Safari прямо на самом устройстве.

Лично я советую использовать iPhone Configuration Utility, т.к. только там можно задать домены для которых должен быть On-Demand VPN.

Вопросы, комментарии, критика приветствуется.
Спасибо за внимание.

Источник

VPN для iPhone

Организация VPN сервера для использования с iOS устройствами

Прочитав статью Теплый и ламповый интернет озаботился проблемой поднятия VPN сервера, которым можно пользоваться с iOS устройств.

Для использования OpenVPN нужен Jailbreak. Этот вариант мной не рассматривался.

iOS поддерживает L2TP, PPTP, Cisco IPSec.

Cisco IPSec работает с соответствующим оборудованием. PPTP иногда режется сотовыми операторами. Исходя из этого был выбран L2TP.

У меня уже был VQ7 сервер от Hetzner с установленной Ubuntu 12.04 32 bit, поэтому все эксперименты проводились на данном сервере.

Установка IPSec

При установке будет предложено создать сертификат x509. Это не обязательно, так как доступ будет использоваться по ключевой фразе.

Настройка IPSec:

Конфигурация выглядит следующим образом:

Конфигурируем доступ к серверу по IPSec:

Файл должен содержать одну строчку:

Ссылка на pre-shared ключ должна быть удалена, иначе IPSec не сможет инициализироваться.
YOUR.SERVER.IP.ADDRESS в обоих файлах — IP адрес вашего сервера.
%any в /etc/ipsec.secrets определяет с каких адресов может быть доступ. В данном случае разрешается доступ со всех адресов.
YourSharedSecret — ключ, который будет использоваться для доступа по IPSec.

Для того, чтобы IPSec нормально работал, делаются дополнительные настройки:

Первые две строчки на самом деле используются для L2TP

Делаем скрипт исполняемым:

Добавляем его в rc.local

Установка L2TP:

Настройка L2TP:

test — имя пользователя
l2tpd — имя сервиса из /etc/ppp/options.xl2tpd
testpassword — пароль для пользователя
* — диапазон разрешенных адресов для логина данного пользователя (формат 10.254.253.128/25)

После этого рестарт IPSec и L2TPD должны активировать всю систему:

Настройка iPhone:

Настройки > Основные > VPN > Добавить конфигурацию VPN.

Описание — Имя подключения
Сервер — IP адрес вашего сервера
Учетная запись — это user из файла /etc/ppp/chap-secrets
Пароль — password из /etc/ppp/chap-secrets
Общий ключ — YourSharedSecret из /etc/ipsec.secrets

После этого в меню Настройки и в меню Настройки > Основные > VPN появляется возможность включить VPN. Если все пройдет успешно, то появится соответствующий значок.

VPN надо будет включать вручную, при каждом использовании.

Настройка подключения в Windows 7

В центре управления сетями и общим доступом, установка нового подключения к сети создание нового подключения:

Создаете новое VPN подключение:

В поле “интернет адрес” вводите IP вашего сервера. Не подключаетесь сразу.

После этого заходите в свойства нового подключения и в настройках указываете использование L2TP, вводите ключ YourSharedSecret из /etc/ipsec.secrets

При подключении указываете логин и пароль из /etc/ppp/chap-secrets.

При написании статьи были использованы материалы ссылка1, ссылка2

Источник

Настройка OpenVPN в iOS

Тихо и незаметно прошел релиз клиента OpenVPN для iOS. Для многих, в том числе и для меня, это может стать последней причиной для отказа от Jailbreak’а. Для тех, кто желает более подробно узнать о возможностях клиента на текущий момент, а так же о подводных камнях настройки, добро пожаловать под хабракат.

Скачать клиент OpenVPN Connect можно из iTunes На текущий момент, по информации с форума разработчиков, он доступен в магазинах всех стран, кроме Франции. Задержки связаны с необходимостью получения Encryption Import License и носят временных характер.

Ограничения, присутствующие в приложении:

• Размер файла настроек не может превышать 256KB. Тем не менее, этого должно быть достаточно даже для хранения файла конфигурации в унифицированном ovpn формате, о котором будет сказано чуть позже.
• Поддерживаются только tun соединения из-за ограничений iOS VPN API.
• Не поддерживается ряд директив в конфигурационном файле: dev tap, tls-remote, fragment, mssfix.
• Не поддерживается работа клиентов без сертификатов. Эта возможность появится в будущем релизе.
• Возможно использовать только шифрование AES или Blowfish. Связано это с тем, что данные алгоритмы больше адаптированы под архитектуру ARM. Таким образом достигается большая энергоэффективность.
• Использование HTTP прокси настраивается на уровне настроек приложения, а не в конфигурационном файле.
• Использование контейнеров PKCS#12 возможно только, если они импортированы в связку ключей iOS. Такое поведение является настоятельной рекомендацией разработчиков, потому, что в отличие от хранения закрытого ключа прямо в ovpn файле, оно обеспечивает более высокий уровень сохранности секретных данных. Особенно в случае использования устройства с jailbreak.

Перейдем к настройке нашего OpenVPN. Сначала серверная часть (пример приведен для Linux). Используем easy-rsa для генерации сертификатов и закрытых ключей удостоверяющего центра (CA), сервера (server.crt и server.key) и клиента (ios.crt и ios.key). Так же сгенерируем параметры алгоритма Диффи-Хелмана.

Для большей безопасности так же сгенерируем ключ TLS аутентификации.

Общий вид конфигурации сервера представлен ниже:

Теперь перейдем к конфигурации клиента. Наиболее важный момент настройки заключается в том, что закрытый ключ клиента должен быть в формате RSA. Если вы делали все согласно инструкции на сайте OpenVPN, или у вас уже были готовые ключи, то их необходимо предварительно конвертировать. Для этого можно использовать openssl:

Теперь соберем все необходимые ключи и сертификаты в один PKCS#12 контейнер:

Обязательно укажите пароль для экспорта. Установить контейнера без пароля на экспорт в связку ключей iOS не получится. Полученный контейнер передаем на устройство через электронную почту или Safari.
Для организации файла конфигурации клиента будем использовать унифицированный ovpn формат. Общий вид конфигурации представлен ниже.

Полученный файл можно импортировать на ваше iOS устройство через iTunes (рекомендуемый вариант) или через электронную почту.

Источник

Настройка OpenVPN соединения на iPhone и iPod Touch (iOS 7, 8, 9, 10)

Установите приложение OpenVPN Connect из App Store.

В разделе Подписки скачайте OpenVPN конфиги для iOS и распакуйте ZIP архив в любую папку.

Приложение OpenVPN предлагает 2 способа сохранения конфигурационных файлов.

1. Загрузка файлов через электронную почту, которая настроена на iPhone или iPod Touch. Рекомендуем данный способ, если нужно настроить только несколько соединений.
2. Загрузка конфигурационных файлов через приложение iTunes. Рекомендуем данный способ, когда нужно настроить большое количество соединений.

Загрузка файлов через электронную почту

Отправьте файлы .ovpn на электронную почту, которая настроена на вашем iPhone или iPod Touch. Нажмите на файл.

Нажмите Скопировать в OpenVPN.

Нажмите иконку с зеленым плюсом, чтобы добавить файл в приложение OpenVPN. Эти шаги нужно будет повторять, чтобы установить все конфигурационные файлы. Если у вас много файлов, то рекомендуем настроить OpenVPN в iOS через iTunes.

Логин и Пароль VPN посмотрите в разделе «Мой аккаунт».

1. Выбор подключения
2. Логин VPN
3. Пароль VPN
4. Отметьте Сохранить, если не хотите всегда вводить пароль к подключению
5. Кнопка подключения к OpenVPN

Нажмите на кнопку подключения. Соединение установлено успешно.

Загрузка файлов через iTunes

Подключите iPhone или iPod Touch к вашему компьютеру и откройте приложение iTunes.

1. Устройство из списка
2. Раздел Программы
3. Внизу страницы в разделе Общие файлы выберите OpenVPN
4. Нажмите кнопку Добавить.

Загрузите все файлы .ovpn, которые вам необходимы. Появится список всех загруженных файлов.

Нажмите на все иконки с зелеными плюсами, чтобы добавить файлы в приложение OpenVPN.

В разделе «Мой аккаунт» посмотрите Логин и Пароль VPN.

1. Выбор страны подключения
2. Логин VPN
3. Пароль VPN
4. Нажмите Сохранить, если хотите запомнить пароль
5. Кнопка подключения к OpenVPN

Нажмите на кнопку подключения. Соединение установлено успешно.

Источник

Настройка vpn на iphone с сертификатом

VPN — (англ. Virtual Private Network — виртуальнаячастнаясеть) может зашифрованывесьинтернет-трафикквашемумобильномуустройству. iphone/ipad/ipodподдерживаетVPNL2TP, PPTP илиCiscoIPSec VPN протокол.
Вы можете, без проблем, пользоваться интернетом в кафе, на улице и везде где есть свободная точка доступу не волнуясь о вирусных атаках. Так же, используя VPN, вы останетесь анонимными для всех без исключения сайтов.

Инструкция по настройки VPN на iphone/ipad/ipod
Нажмите Настройки> Основные> VPN> Добавить конфигурацию VPN.

Откройте окно настроекприложения
Перейдите на вкладку Общие
Нажмите на VPN
Нажмите Добавить конфигурацию VPN
Выберите PPTP
В поле Описание введите vpntraffic (обязательно с маленькой буквы)
В поле Сервер-введитеВаши поставляемые сервера (например: us.vpntraffic.com)
Примечание: us.vpntraffic.com — первые две буквы указывают страну, на IPадрес которой заменяется Ваш. us -США, cn- Китай і т. д.
В поле Учетная запись введите-предоставленное Вам имя пользователя
В поле Пароль- введитепароль
В поле Шифрование — выберите Auto
В поле Для всех данных — Включено

В поле Прокси — Выкл.
Нажмите кнопку Сохранить
Установите VPN в положение ВКЛ

Как настроить Cisco IPsec VPN на iPad/iPhone/iPod Touch
1. Нажмите «Настройки»->»Основные».
2. Выберите«VPN» и нажмите «Добавить конфигурацию VPN».
5. Вверху, нажмите «IPSec».
Введите следующие данные :
«Описание «- vpntraffic.com
«Сервер» — bb.vpntraffic.com

«Учетная запись» — введите свой VPN аккаунт

«Пароль» — введите ваш пароль VPN аккаунта

«Общий ключ» — ipsec
6. Нажмите кнопку «Сохранить» в верхнем правом углу.

Готово!Теперь, когда Вы захотите включить VPN, просто перейдите в раздел «Настройки» и выберите — VPN, а затем сдвиньте ползунок — включить VPN.

VPN — (англ. Virtual Private Network — виртуальная частная сеть) были впервые использованы компаниям, чтобы их сотрудники могли иметь безопасный доступ к внутренним системам удаленно, например, электронная почта (из дома или когда сотрудник находясь в командировке). Сегодня они все чаще используются для личного пользования физическими лицами-для защиты своейчастной жизни, для защиты интернет соединения в общественных местах (например, при использовании Wi-Fi соединения в кафе) или в стране, где интернет подвергается цензуре / блокировки (например, Китай, Саудовская Аравия . ).

источник

Настраиваем VPN на iPhone или iPad

Многих владельцев смартфонов Apple пугает настройка VPN на iPhone: эта процедура вызывает ассоциации с чем-то сложным и трудновыполнимым для рядового пользователя. Но используя популярные приложения, настроить ВПН можно в несколько кликов, в том числе для iPad и iPod Touch.

Что такое VPN и зачем он нужен

VPN, или виртуальная частная сеть — надежный способ защитить данные, которые вы передаете через интернет. Технически ВПН — это отдельный защищенный шифрованием канал внутри общей глобальной сети. При подключении к интернету через виртуальную сеть вы пользуетесь теми же сайтами и приложениям, но как бы поверх соединения, предоставляемого вашим провайдером. Это означает, что для функционирования ВПН необходим работающий интернет.

После подключения виртуальной сети на вашем устройстве все данные, которые вы передаете, будут сначала проходить по защищенному каналу до сервера ВПН, а уже оттуда выходить в открытый интернет. Таким образом, ни провайдер, ни злоумышленники не смогут увидеть, какие страницы вы посещаете, а ваши данные, например пароли, будут надежно защищены от кражи.

Есть еще одно неоспоримое преимущество использования виртуальной частной сети, ставшее особенно важным в последние месяцы, когда сервисы Google и многие другие сайты оказывались случайно заблокированными правительственными структурами в погоне за нарушителями закона. Используя ВПН, вы сможете без сбоев пользоваться привычными ресурсами.

Как настроить VPN для iPhone или iPad вручную

Для лучшего понимания процесса включения ВПН стоит рассмотреть способ настройки вручную. В качестве сервиса ВПН в примере ниже используется бесплатный проект VPN Gate, технологии L2TP/IPsec и встроенное в iOS ПО.

1. Зайдите в приложение «Настройки».
2. Нужно выбрать опцию «VPN» (или «Основные» => «VPN»).
3. Нажмите кнопку «Добавить конфигурацию VPN».
4. Укажите «Тип» — L2TP.
5. В поле «Описание» напишите произвольное имя соединения.
6. После заполнения всех полей потребуется ввести адрес ВПН-сервера, через который вы хотите выходить в интернет. Чтобы его получить, откройте страницу vpngate.net/en/ и обратите внимание на большую таблицу Public VPN Relay Servers и на столбец L2TP/IPsec. Возможно использовать только те сервера, которые имеют зеленую галочку в этом столбце.
7. Сделав выбор, скопируйте строки с окончанием . onengw.net или числовой IP на выбор (рекомендуется первый вариант) в поле «Сервер».
8. В полях «Учетная запись», «Пароль» и «Общий ключ» напишите слово vpn.
9. После заполнения всех полей нажмите кнопку «Готово».
10. Чтобы начать использовать виртуальную сеть, в меню настроек ВПН переключите «Статус» в положение «Вкл». Если все в порядке, вы увидите соответствующий индикатор на верхней панели.

Настройка VPN с помощью приложений

То же можно проделать еще проще, пользуясь бесплатным приложением Betternet. Это самый простой способ настроить VPN на устройствах Apple. После его установки и запуска вы обнаружите всего две кнопки: Connect и Disconnect.

Единственным тапом по экрану можно запускать соединение через ВПН или отключать его и начинать пользоваться интернетом напрямую. Многие задаются вопросом, почему это бесплатно. Если в случае с ручной настройкой речь идет об академическом проекте, то Betternet можно помочь, установив из App Store бесплатные приложения от партнеров.

Мнение, что шифрование необходимо только хакерам и злоумышленникам, в корне неверно. Конфиденциальность передаваемых через интернет данных давно стала нормой и необходимостью, ведь информация стоит дорого, а частная жизнь неприкосновенна.

источник

Настройка VPN (L2TP/IPsec) для Android, iPhone и iPad. Бесплатные серверы VPN Gate

Настройка VPN (L2TP/IPsec) для Android

Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate с помощью L2TP/IPsec VPN клиента, встроенного в мобильную операционную систему Android.

1. Предварительная конфигурация

• Перейдите в приложение Настройки.
• В секции сетевых настроек нажмите «Еще» и выберите опцию «VPN».
• Нажмите кнопку Добавить сеть VPN.
• Откроется экран настройки нового VPN-подключения. Введите произвольное название в поле имя, например, «vpn» и выберите тип подключения L2TP/IPSec PSK.
• На данном экране нужно ввести либо имя узла, либо IP-адреса сервера из пула открытых серверов VPN Gate http://www.vpngate.net/en/.
• Откройте список публичных серверов ретрансляции и выберите VPN-сервер, к которому хотите подключиться.

Важная информация

Для столбца L2TP/IPsec Windows, Mac, iPhone, Android No client required в списке серверов должна быть отмечена галочка, которая сообщает о поддержке настраиваемого протокола L2TP/IPsec.

Скопируйте имя узла DDNS (идентификатор, который заканчивается на «.opengw.net») или IP-адрес (цифровое значение xxx.xxx.xxx.xxx) и введите его в поле “Адрес сервера” на экране конфигурации.

Примечание: рекомендуется использовать имя DDNS – его можно продолжать использовать, даже если соответствующий DDNS IP-адрес в будущем изменится. Тем не менее, в некоторых странах у вас не получиться использовать имя узла DDNS – в этом случае следует использовать IP-адрес.

2. Запуск VPN-подключения

• Вы можете в любое время установить новое подключение к VPN-серверу. Откройте настройки VPN, и вы увидите следующий список.
• Введите vpn в поля “Имя пользователя” и “Пароль” при первом использовании. Отметьте галочку “Сохранить учетные данные”. Нажмите кнопку Подключиться, чтобы установить VPN-подключение
• После установки VPN-подключения у соответствующей записи из списка VPN появится статус Подключено. На устройстве Android может появится уведомление об активации VPN. Нажмите по сообщению, чтобы посмотреть статус текущего подключения.

3. Интернет без ограничений

Когда соединение установлено, весь сетевой трафик будет проходить через VPN-сервер. Вы также можете перейти на сайт ip8.com, чтобы посмотреть глобальный IP-адрес.. Вы сможете увидеть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.

При подключении к VPN вы сможете посещать заблокированные веб-сайты и использовать заблокированные приложения.

Настройка VPN (L2TP/IPsec) для iPhone, iPad

Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate на iPhone / iPad с помощью L2TP/IPsec VPN клиента, встроенного в iOS.

источник

Настройка OpenVPN Connect для Android, iPhone и iPad. Бесплатные серверы VPN Gate

Настройка OpenVPN на устройствах Android

Данная инструкция показывает, как подключиться к серверу ретрансляции VPN Gate, используя мобильное приложение OpenVPN Connect. OpenVPN Connect является версий клиента OpenVPN для Android.

1. Установите приложение OpenVPN Connect

Загрузите и установите новейшую версию приложения OpenVPN Connect из магазина приложений “Google Play”.

2. Скачайте и загрузите файл конфигурации подключения OpenVPN (файл .ovpn).

Данная процедура требуется только при первичной настройке подключения.

• Файл конфигурации формата .ovpn понадобиться для подключения к серверу ретрансляции VPN Gate через протокол OpenVPN.
• Загрузить файл конфигурации можно на странице списка открытых бесплатных серверов ретрансляции http://www.vpngate.net/en/. Выберите VPN-сервер, к которому вы хотите подключиться и нажмите на соответствующий файл .ovpn, чтобы импортировать его в приложение OpenVPN Connect.
• Вы также можете скачать файл .ovpn на компьютере и отправить его на мобильное устройство Android по электронной почте.
• При попытке открыть файл .ovpn на смартфоне / планшете Android сразу откроется приложение OpenVPN Connect. Появится запрос, нужно ли установить файл .ovpn. Подтвердите данное действие.

3. Подключение к VPN

• Для подключения к VPN, запустите OpenVPN Connect, выберите импортированный файл и нажмите кнопку “Connect”.
• После установки подключения в приложении появится статус “Connected” (подключено).

4. Интернет без ограничений

Когда соединение установлено, весь сетевой трафик будет проходить проходить через VPN-сервер. Вы также можете перейти можете перейти на сайт ip8.com, чтобы посмотреть глобальный IP-адрес. Вы сможете определить видимое из сети местоположение, которое будет отличаться от вашей фактической локации.

При подключении к VPN вы сможете посещать заблокированные веб-сайты и использовать заблокированные приложения.

Настройка OpenVPN на iPhone / iPad

Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate, используя мобильное приложение OpenVPN Connect. OpenVPN Connect является версий клиента OpenVPN для iOS.

источник

Время на прочтение
3 мин

Количество просмотров 33K

Всё началось с того что возникла необходимость защитить передаваемые на сервер пользовательские данные. И сделать нужно было так, что бы не заморочивать при этом пользователей корпоративных iPad’ов. Я не смог придумать ничего умнее как использовать IPSe

x

c и VPN On-Demand на iOS. И поднимать я его решил через strongSwan.

Как же я намучился с этим… Как же я возненавидел это сообщение на картинке сверху… В интернете полно статей и готовых примеров, но все они используют авторизацию по логину и паролю.
И теперь я хочу сэконосить время тем кто отважится пройти этот тернистый путь.

Начало пути

Определимся что должны получить на выходе:

• настроенный VPN сервер
• клиентские сертификаты, которые мы установим на iOS

Как должно работать:
VPN должен включиться на iPad’е сам как только мы обратимся к определённом хосту, например «ya.ru». При этом не запрашивая пароль у пользователя.
Что будем использовать:

• Ubuntu
• strongSwan 5.0.3

Что будем делать:

• Снегерим ключи
• Выкачаем из git-репозитория и соберём руками strongSwan
• Настроим конфиги

Первая кровь

Как выяснилось, RSA-авторизация в strongSwan сделана через xauth. И этот самый xauth, помимо сертификата, обязательно требует ещё и логин с пароль. Вот такая у них реализация. У strongSwan есть вполне сносное описание как поднять IPSec VPN для работы с iOS. Но проблема здесь как раз в запросе пароля. Поэтому этот вариант нам не подходит.

Но не всё так плохо! Нас спасёт Tobias Brunner и его коммит! Как раз без этого коммита у нас ничего бы и не получилось. Спасибо ему огромное. Этот код представляет собой плагин к xauth, который не требует дополнительной аутентификации пользовательского логина и пароль. Т.е. происходит только RSA-аутентификация по ключам. Что нам и нужно было!

Сертификаты

Не буду рассказывать про то как сгенерировать ключи. Это очень подробно описано в туториале от strongSwan. Я лишь хочу обратить внимание на несколько важных моментов туториала:

1. Значение поля common name (CN) сертификата должно в точности воспадать с ip или доменным именем VPN сервера. В случае Amazon EC2 это будет что-то вроде «ecX-XX-XXX-XX-XX.eu-west-1.compute.amazonaws.com».
2. При установке сертификатов на iPad нужно не забыть кроме клиентского PKCS#12 (*.p12) установить ещё и корневой. В туториале она называется caCert.pem.

Приступим

Перед установкой рекомендуется прочитать и внять рекомендациям по «хакингу». А точнее по сборке пакета из репозитория.

После установки всех необходимых библиотек и тулзов перейдём к сборке:

1. Выкачаем branch с тем самым волшебным плагином: git clone git://git.strongswan.org/strongswan.git xauth-noauth strongswan-git-xauth-noauth/
2. Создадим скрипты конфигурации: ./autogen.sh
3. Сконфигурируем: ./configure –prefix=/usr –sysconfdir=/etc –enable-xauth-noauth
4. Соберём пакет: sudo checkinstall -D –install=no
5. И, наконец, установим его: dpkg -i strongswan-git-xauth_5.0.3-xauth-noauth-1_amd64.deb

Не забудьте открывать на firewall’е 500 и 4500 UDP порты, т.к. через них работает IPSec.
Разрешим проброску пакетов через NAT:

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
    echo 0 > $each/accept_redirects
    echo 0 > $each/send_redirects
done

Наконец мы можем приступить к конфигурации.

/etc/ipsec.conf

version 2.0     # conforms to second version of ipsec.conf specification

config setup
        
conn ios
      keyexchange=ikev1
      xauth=server
      leftauth=rsa
      rightauth=rsa
      rightauth2=xauth-noauth
      left=%defaultroute
      leftsubnet=0.0.0.0/0
      leftfirewall=yes
      leftcert=serverCert.pem
      right=%any
      rightsubnet=10.0.0.0/24
      rightsourceip=10.0.0.0/24
      rightcert=clientCert.pem
      auto=add

/etc/ipsec.secrets

: RSA serverKey.pem

/etc/strongswan.conf

charon {

        # number of worker threads in charon
        threads = 16
        dns1 = 8.8.8.8

        plugins {
        }
}

libstrongswan {
}

Init.d скрипт слишком длинный. Его можно будет забрать здесь.

Установка сертификатов на iOS

Установить сертификаты (clientCert.p12 и caCert.pem) можно несколькоми способами:

• Используя iPhone Configuration Utility
• Отправив сертификаты себе по почте. И дальше получить из на iPad.
• Скачав их с помощью Safari прямо на самом устройстве.

Лично я советую использовать iPhone Configuration Utility, т.к. только там можно задать домены для которых должен быть On-Demand VPN.

Вопросы, комментарии, критика приветствуется.
Спасибо за внимание.

Для работы IKEv2 VPN требуется установить профиль нашего сервиса. После этого устройство будет доверять сертификату подключения к нашим VPN-серверам. Этот профиль и сертификат используются только для подключения к нашему VPN и никак более.

Скачивание профиля и сертификата:

1. Запустите приложение и авторизуйтесь. Приложение сообщит, что необходимо установить/скачать сертификат. Нажмите на кнопку.
2. Откроется браузер Safari, подтвердите скачивание.

Чтобы установить профиль:

1. Сверните браузер Safari и перейдите в системные «Настройки».

1. Сверху должна появится новая строка «Профиль загружен», нажмите на неё.
2. Подтвердите установку. После этого возвращайтесь в наше приложение, там уже будет всё готово для подключения.

Написать в службу поддержки