IPsec IKEv1 Strongswan split tunneling

Доброго времни суток, хабражители! Недавно передо мной встала задача, организовать «нативный» доступ с различных устройств к корпоративной сети, некоторые бизнес личности компании хотели иметь приватный доступ к внутренней сети, и к сети Internet через шифрованный туннель. Из-за «нативности» был выбран набор протоколов IPsec. В данной публикации речь пойдёт о совмещении протоколов IKEv1 и IKEv2 на стороне одного сервера, для подключения разнородных устройств.
У одного из бизнес клиентов возникла необходимость с Mac OS X иметь 2 туннеля к одному серверу (напомню Mac OS X до 10.9.5 включительно имеет поддержку только протокола IKEv1), один в dmz зону — когда весь трафик идёт через default gateway клиента, а на нужный DNS/IP через шифрованный туннель, другой туннель пускает весь трафик через default gateway сервера IPsec).

* Основная сложность — есть возможность задавать атрибуты «split tunneling» через модуль unity plugin strongswan только ГЛОБАЛЬНО, из-за этого страдают и ikev2 клиенты.

* * Решение — использовать attr-sql с sqlite, т.е. выдаём подсеть клиентам через rightsourceip=%unityclients, где прописан split tunneling в базе sqlite.

Вещь не совсем очевидная, но пусть она останется здесь. Если есть желание у хабрапользователей, выложу информацию про ikev2 для IOS8, благо включили поддержку этого протокола с выходом IOS8.

P.S. Это больше очерк, если будет много желающих выложу примеры конфигураций для Strongwan 5x for Iphone/Mac os x to 10.9.5/Windows-phone/Windows8*/GNU/Linux.

P.P.S.

У IOS8 появилась возможность задавать Always-on VPN для мобильной сети и для WI-FI, с возможностью авторизации через EAP/PSK.


Источник: RSS-лента http://habrahabr.ru/post/237521/

  • 0


0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.