IOS Apple имеет "VPN По требованию" функция. С этой функцией сделано соединение VPN каждый раз, когда устройство пытается соединиться с определенными доменами или с Интернетом вообще. iOS поддерживает "VPN По требованию" только с сертифицированной аутентификацией.
Для обеспечения "VPN По требованию" для пользователей iOS моего офиса сервер VPN, мы используем следующее решение IPSec:
Это решение хорошо работает для нас. Но мы добрались, новое требование - устанавливают несколько серверов VPN с одной пользовательской базой данных и делают учет из использования VPN.
Это - обычная практика для этой задачи использовать RADIUS, и strongSwan имеет плагин для него. Но strongSwan с IKEv1/Xauth использует имя пользователя/пароль для аутентификации пользователя на бэкенде сервер RADIUS. имя пользователя/пароль не использует в моем решении.
Мои вопросы:
P.S. Большинство моих клиентов iOS использует iOS 8, который поддерживает IKEv2. В IKEv2 существует EAP-TLS. Я могу использовать EAP-TLS для делегирования проверки аутентификации RSA к серверу RADIUS? Или я закапываю неправильное направление с EAP-TLS?
P.S. P.S. Моя вторая вещь была об интерфейсе VICI strongSwan. Я предположил для получения уведомлений о каждом новом соединении IPsec, но похож, ПОБЕДИЛ прокладывает себе путь.
Учет RADIUS в подключаемом модуле eap-radius не требует аутентификации XAuth. Фактически он работает с любым типом аутентификации, через RADIUS или нет, если клиент запрашивает виртуальный IP-адрес (для IKEv2 даже это требование можно отключить). Однако с некоторыми клиентами IKEv1 возникают некоторые проблемы в случае повторной аутентификации (см. Проблему # 937 и связанные).
EAP-TLS позволяет делегировать аутентификацию сертификата для клиентов IKEv2 серверу AAA , но это не имеет отношения к учету RADIUS.
Þökk sé ecdsa, ég hef fundið nokkrar lausnir á vandamálinu mínu.
Ef eap-radius viðbót er virk með möguleika bókhald = já , strongSwan mun senda RADIUS skilaboð til að hefja bókhald, jafnvel þótt eap-radius sé ekki notaður í ipsec.conf skrá. Í mínu tilfelli líta þessi RADIUS skilaboð svona út:
Acct-Status-Type = Start
Acct-Session-Id = 1434531934-1
NAS-Port-Type = Virtual
Service-Type = Framed-User
NAS-Port = 1
NAS-Port-Id = ios-ikev1-fakexauth
NAS-IP-Address = <nas_ip>
Called-Station-Id = <nas_ip>[4500]
Calling-Station-Id = <client_ip>[4500]
User-Name = "C=CH, O=strongSwan, CN=myemail@mail.com"
Framed-IP-Address = 172.20.1.1
NAS-Identifier = strongSwan
Ég get fengið vottorð CN frá skilaboðum og mér er nóg að gera rétt bókhald. Ef ég vil hafna aðgangi fyrir einhverja CN get ég bara hafnað RADIUS skilaboðum frá stronSwan og ipsec tengingin verður rofin.
Einnig langar mig að nota strongSwan curl tappi til að fá aðgang að afturköllunarlistanum. En ég hef fundið skort á skjölum um þessa viðbót. Er ég að missa af einhverju?