IPsec IKEv1 Strongswan split tunneling

Доброго часу доби, хабражітелі! Нещодавно переді мною постало завдання, організувати «нативний» доступ з різних пристроїв до корпоративної мережі, деякі бізнес особистості компанії хотіли мати приватний доступ до внутрішньої мережі, і до мережі Internet через шифрований тунель. З-за «нативних» був обраний набір протоколів IPsec. У даній публікації мова піде про суміщення протоколів IKEv1 і IKEv2 на боці одного сервера, для підключення різних пристроїв.
В одного з бізнес клієнтів виникла необхідність з Mac OS X мати 2 тунелю до одного сервера (нагадаю Mac OS X до 10.9.5 включно має підтримку протоколу IKEv1), один в dmz зону — коли весь трафік йде через default gateway клієнта, а на потрібний DNS/IP через шифрований тунель, інший тунель пускає весь трафік через default gateway сервера IPsec).

* Основна складність — є можливість задавати атрибути «split tunneling» через модуль unity plugin strongswan тільки ГЛОБАЛЬНО, з-за цього страждають і ikev2 клієнти.

* * Рішення — використовувати attr-sql sqlite, тобто видаємо підмережа клієнтам через rightsourceip=%unityclients, де прописаний split tunneling в базі sqlite.

Річ не зовсім очевидна, але нехай вона залишиться тут. Якщо є бажання у хабрапользователей, викладу інформацію про ikev2 для IOS8, благо включили підтримку цього протоколу з виходом IOS8.

P.S. Це більше нарис, якщо буде багато бажаючих викладу приклади конфігурацій для Strongwan 5x for Iphone/Mac os x to 10.9.5/Windows-phone/Windows8*/GNU/Linux.

P.P.S.

У IOS8 з'явилася можливість задавати Always-on VPN для мобільної мережі і для WI-FI, з можливістю авторизації через EAP/PSK.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.