鉴于OS X现在支持(本地)CISCO IPSec VPN连接,我想知道对VPNconfiguration的要求是在远程端?
我已经评估了许多CISCO设备(在较小的范围内,如ASA 5505路由器,以及RV120W和WRVS4400N设备),并没有很多运气让他们通过内置的VPN在客户端,但是当我使用从Lobotomo的IPSecuritas的东西,我能够build立一个没有任何问题的连接。
那么完成这个工作的理想configuration是什么? 我老实说,不用在我的系统上安装VPN客户端,只需使用内置的客户端。
由于苹果公司声称Cisco VPN是本地支持的,并在这里详细解释,我的猜测是VPNconfiguration问题或不匹配。
这可能是远程访问VPN设置与OSX客户端相匹配的问题,而不是相反。
根据我的经验,您将不得不在ASA上创build一个组,并为其分配一个密码。 然后,您将该用户添加到该组。
在OSX中,帐户名称和密码是用户的。 然后在“身份validation设置”下为您在ASA上configuration的组键入密码(共享密钥),并在“组名称”字段中键入该组的名称。
我已经复制并粘贴了我的ASA(5525)中的相关configuration,它适用于AnyConnect和MacOS本地客户端。 我已经把它的地方性信息删除了,所以我可能在这个过程中弄错了一些东西。 我希望我没有遗漏任何东西。 (注意! ***评论。)
! *** This is a pool of IPs that will be allocated to VPN clients ip local pool Pool_VPN 10.255.255.10-10.255.255.250 mask 255.255.255.0 ! *** These are the networks accessible via the VPN access-list Split_Tunnel standard permit 10.0.0.0 255.0.0.0 access-list Split_Tunnel standard permit 172.16.0.0 255.240.0.0 access-list Split_Tunnel standard permit 192.168.0.0 255.255.0.0 webvpn ! *** See below for the content of this file anyconnect profiles ExampleVPN disk0:/examplevpn.xml group-policy GP_VPN internal group-policy GP_VPN attributes wins-server none ! *** Replace with your internal DNS server dns-server value 192.168.0.255 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless password-storage enable group-lock value TG_VPN split-tunnel-policy tunnelspecified ipv6-split-tunnel-policy tunnelspecified split-tunnel-network-list value Split_Tunnel ! *** Replace with your internal DNS zone default-domain value example.com split-dns none split-tunnel-all-dns disable secure-unit-authentication disable ! *** Replace with the FQDN of your ASA gateway-fqdn value asa.example.com address-pools value Pool_VPN client-access-rule none webvpn anyconnect profiles value ExampleVPN type user anyconnect ask none default anyconnect tunnel-group TG_VPN type remote-access tunnel-group TG_VPN general-attributes address-pool Pool_VPN default-group-policy GP_VPN tunnel-group TG_VPN webvpn-attributes group-alias TG_VPN enable tunnel-group TG_VPN ipsec-attributes ! *** Replace with your own shared secret ikev1 pre-shared-key ThisIsASharedSecret tunnel-group-map default-group IPSecProfile
文件disk0:/examplevpn.xml包含:
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"> <ServerList> <HostEntry> <HostName>asa.example.com</HostName> <HostAddress>198.51.100.1</HostAddress> <PrimaryProtocol>IPsec</PrimaryProtocol> </HostEntry> </ServerList> </AnyConnectProfile>
用您的ASA的外部FQDN和IP地址replace。
然后,将MacOS“Cisco IPSec”客户端设置为使用与“ikev1预共享密钥”行中相同的共享密钥,组名称为隧道组,在本例中为“TG_VPN”。 用户名和密码在ASA中使用以下行进行本地定义:
username user password ***** encrypted privilege 15
我猜这是因为使用本地帐户:
user-identity default-domain LOCAL
但是如果你能和本地用户一起工作的话,你可能需要的时候可以尝试以不同的方式设置auth。
我会说,我已经开始工作的AnyConnectconfiguration,然后只是添加这些行:
tunnel-group TG_VPN ipsec-attributes ikev1 pre-shared-key ThisIsASharedSecret
让它与MacOS客户端一起工作。 (我还必须扩展拆分隧道networking访问列表,但是我怀疑AnyConnect用户也需要这样做。)