Dado que o OS X agora suporta (nativamente) conexões VPN CISCO IPSec, estou querendo saber quais são os requisitos para a configuração VPN no lado remoto?
Eu avaliei vários dispositivos CISCO (na faixa menor, como os roteadores ASA 5505, assim como os dispositivos RV120W e WRVS4400N) e não tive muita sorte em fazê-los falar com a VPN através do cliente interno, no entanto, quando eu uso algo como o IPSecuritas da Lobotomo, consigo estabelecer uma conexão sem problemas.
Então, qual é a configuração ideal para que isso funcione? Eu sinceramente preferiria não ter que instalar um cliente VPN em meus sistemas e simplesmente usar o cliente interno.
Desde que a Apple alega que a Cisco VPN é suportada nativamente, e é explicada em detalhes aqui , meu palpite seria um problema de configuração de VPN ou incompatibilidade.
Pode ser uma questão de combinar a configuração da VPN de acesso remoto ao cliente OSX, em vez do contrário.
Da minha experiência, você terá que criar um grupo no ASA e atribuir-lhe uma senha. Você adiciona o usuário a esse grupo.
No OSX, o nome da conta e a senha são do usuário. Em seguida, em "Configurações de autenticação", digite a senha (segredo compartilhado) do grupo que você configurou no ASA e digite o nome do grupo no campo "Nome do grupo".
Copiei e colei o que espero ser a configuração relevante do meu ASA (5525), em que isso está funcionando para clientes nativos do AnyConnect e do MacOS. Eu expurgi-lo de informações localizadas, então eu posso ter digitado algo ao longo do caminho. Espero não ter deixado nada de fora. (Procure por ! *** comentários.)
! *** This is a pool of IPs that will be allocated to VPN clients
ip local pool Pool_VPN 10.255.255.10-10.255.255.250 mask 255.255.255.0
! *** These are the networks accessible via the VPN
access-list Split_Tunnel standard permit 10.0.0.0 255.0.0.0
access-list Split_Tunnel standard permit 172.16.0.0 255.240.0.0
access-list Split_Tunnel standard permit 192.168.0.0 255.255.0.0
webvpn
! *** See below for the content of this file
anyconnect profiles ExampleVPN disk0:/examplevpn.xml
group-policy GP_VPN internal
group-policy GP_VPN attributes
wins-server none
! *** Replace with your internal DNS server
dns-server value 192.168.0.255
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
password-storage enable
group-lock value TG_VPN
split-tunnel-policy tunnelspecified
ipv6-split-tunnel-policy tunnelspecified
split-tunnel-network-list value Split_Tunnel
! *** Replace with your internal DNS zone
default-domain value example.com
split-dns none
split-tunnel-all-dns disable
secure-unit-authentication disable
! *** Replace with the FQDN of your ASA
gateway-fqdn value asa.example.com
address-pools value Pool_VPN
client-access-rule none
webvpn
anyconnect profiles value ExampleVPN type user
anyconnect ask none default anyconnect
tunnel-group TG_VPN type remote-access
tunnel-group TG_VPN general-attributes
address-pool Pool_VPN
default-group-policy GP_VPN
tunnel-group TG_VPN webvpn-attributes
group-alias TG_VPN enable
tunnel-group TG_VPN ipsec-attributes
! *** Replace with your own shared secret
ikev1 pre-shared-key ThisIsASharedSecret
tunnel-group-map default-group IPSecProfile
O arquivo disk0:/examplevpn.xml contém:
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/">
<ServerList>
<HostEntry>
<HostName>asa.example.com</HostName>
<HostAddress>198.51.100.1</HostAddress>
<PrimaryProtocol>IPsec</PrimaryProtocol>
</HostEntry>
</ServerList>
</AnyConnectProfile>
Substitua pelo FQDN externo e pelo endereço IP do seu ASA.
Em seguida, configure seu cliente "Cisco IPSec" do MacOS para usar o mesmo segredo compartilhado encontrado na linha "ikev1 pré-shared-key" e o nome do grupo é o grupo de túneis, neste caso "TG_VPN". O nome de usuário e senha são definidos localmente no ASA com linhas como:
username user password ***** encrypted privilege 15
Suponho que esteja usando as contas locais como resultado de:
user-identity default-domain LOCAL
Mas se você conseguir trabalhar com usuários locais, provavelmente poderá trabalhar para configurar a autenticação de maneira diferente, se precisar.
Eu direi que comecei com uma configuração AnyConnect já em funcionamento e adicionei estas linhas:
tunnel-group TG_VPN ipsec-attributes
ikev1 pre-shared-key ThisIsASharedSecret
para fazê-lo funcionar com o cliente MacOS. (Eu também tive que expandir a lista de acesso à rede do túnel dividido, mas eu suspeito que isso também fosse necessário para os usuários do AnyConnect).