D
В IOS 13 импортируете CA сертификат ваш?
Нет, только серт клиента, для ios надо отдельно са ? В windows она сама из p12 его достает
Size: a a a
2020 June 30
RP
Нет, только серт клиента, для ios надо отдельно са ? В windows она сама из p12 его достает
Да, более того, его нужно сделать доверенным. IOS не поддерживает загрузку корневых сертификатов в PKSC12 bundle.
IOS 13 по крайней мере, в прошлых не помню уже.
IOS 13 по крайней мере, в прошлых не помню уже.
RP
Для сертификата пользователя достаточно tls-client
Если наличие EKU не влияет на безопасность или иные характеристики конфигурации, я то я использую шаблон для создания сертификатов с единым EKU содержанием.
JG
Нет, только серт клиента, для ios надо отдельно са ? В windows она сама из p12 его достает
Советую вам посмотреть https://www.youtube.com/watch?v=VG3ULbvz1i4
D
Советую вам посмотреть https://www.youtube.com/watch?v=VG3ULbvz1i4
По ней и делал, по са сейчас добавлю
RP
По ней и делал, по са сейчас добавлю
Apple самоподписные сертификаты, не содержащиеся в certificate store, который распространяет Apple, не считает доверенными, поэтому не инсталлирует их из PKSC12 bundle.
Что хоть и не удобно, но в целом логично с точки зрения безопасности. Сначала мы добавляем CA сертификат, делаем его доверенным, а потом уже добавляем подписанные им сертификаты, тем самым создавая цепочку доверия.
Что хоть и не удобно, но в целом логично с точки зрения безопасности. Сначала мы добавляем CA сертификат, делаем его доверенным, а потом уже добавляем подписанные им сертификаты, тем самым создавая цепочку доверия.
JG
По ней и делал, по са сейчас добавлю
По ней лучше учиться, освоить материал, а потом настраивать без подсказок. Много мануалов приходит с годами в негодность из за разности версий прошивки.
D
Apple самоподписные сертификаты, не содержащиеся в certificate store, который распространяет Apple, не считает доверенными, поэтому не инсталлирует их из PKSC12 bundle.
Что хоть и не удобно, но в целом логично с точки зрения безопасности. Сначала мы добавляем CA сертификат, делаем его доверенным, а потом уже добавляем подписанные им сертификаты, тем самым создавая цепочку доверия.
Что хоть и не удобно, но в целом логично с точки зрения безопасности. Сначала мы добавляем CA сертификат, делаем его доверенным, а потом уже добавляем подписанные им сертификаты, тем самым создавая цепочку доверия.
После добавление серта са на iphone в доверенные соединение подключилось, горит значек VPN, но трафик ходит мимо - где ещё может быть засада ?
RP
После добавление серта са на iphone в доверенные соединение подключилось, горит значек VPN, но трафик ходит мимо - где ещё может быть засада ?
Ходит мимо чего? Вы ModeConfig используете? split-tunnel настраивали?
D
Ходит мимо чего? Вы ModeConfig используете? split-tunnel настраивали?
Модеконфиг есть, сплит есть с маршрутом в локалку
RP
Модеконфиг есть, сплит есть с маршрутом в локалку
Тогда нужно нам всем сейчас понять, какие вы выдаёте адреса вашим клиентам и как выглядит split-tunnel который вы передаёте.
D
Тогда нужно нам всем сейчас понять, какие вы выдаёте адреса вашим клиентам и как выглядит split-tunnel который вы передаёте.
pool 10.0.53.2-10.0.53.254
split 192.168.53.0/24
windows подключается и весь трафик заворачивается в vpn туннель, ios сейчас подключается, но в интернет выходит через свой wifi, а не через vpn
split 192.168.53.0/24
windows подключается и весь трафик заворачивается в vpn туннель, ios сейчас подключается, но в интернет выходит через свой wifi, а не через vpn
D
или надо 0.0.0.0/0 в split-tunnel ?
RP
pool 10.0.53.2-10.0.53.254
split 192.168.53.0/24
windows подключается и весь трафик заворачивается в vpn туннель, ios сейчас подключается, но в интернет выходит через свой wifi, а не через vpn
split 192.168.53.0/24
windows подключается и весь трафик заворачивается в vpn туннель, ios сейчас подключается, но в интернет выходит через свой wifi, а не через vpn
Правильно, Windows для IKEv2 не поддерживает split-tunnel, если нечего не изменилось за последнее время.
А IOS честно отправляет через VPN туннель только те IP пакеты, которые адресованы подсети 192.168.53.0/24
Я не знаю, что вам нужно, ведь вы не озвучивали изначально свои задачи.
Если нужно весь трафик с iPhone направить через VPN туннель, то да, можно передать 0.0.0.0/0
А IOS честно отправляет через VPN туннель только те IP пакеты, которые адресованы подсети 192.168.53.0/24
Я не знаю, что вам нужно, ведь вы не озвучивали изначально свои задачи.
Если нужно весь трафик с iPhone направить через VPN туннель, то да, можно передать 0.0.0.0/0
D
Правильно, Windows для IKEv2 не поддерживает split-tunnel, если нечего не изменилось за последнее время.
А IOS честно отправляет через VPN туннель только те IP пакеты, которые адресованы подсети 192.168.53.0/24
Я не знаю, что вам нужно, ведь вы не озвучивали изначально свои задачи.
Если нужно весь трафик с iPhone направить через VPN туннель, то да, можно передать 0.0.0.0/0
А IOS честно отправляет через VPN туннель только те IP пакеты, которые адресованы подсети 192.168.53.0/24
Я не знаю, что вам нужно, ведь вы не озвучивали изначально свои задачи.
Если нужно весь трафик с iPhone направить через VPN туннель, то да, можно передать 0.0.0.0/0
для iphone отдельную ModeConfig сделать, с 0.0.0.0/0 ?
RP
D
Это зависит от вашей задачи, я же не знаю, чего вы пытаетесь достичь.
Если вы планируете весь трафик, всех клиентов отправлять в VPN туннель, то используйте для всех один split-tunnel 0.0.0.0/0
Если вы планируете весь трафик, всех клиентов отправлять в VPN туннель, то используйте для всех один split-tunnel 0.0.0.0/0
Пока "кручу" все варианты и только локалка и все в vpn
D
Это зависит от вашей задачи, я же не знаю, чего вы пытаетесь достичь.
Если вы планируете весь трафик, всех клиентов отправлять в VPN туннель, то используйте для всех один split-tunnel 0.0.0.0/0
Если вы планируете весь трафик, всех клиентов отправлять в VPN туннель, то используйте для всех один split-tunnel 0.0.0.0/0
спасибо, получилось
RP
Пока "кручу" все варианты и только локалка и все в vpn
Я использую всегда по возможности split-tunnel только для локальных префиксов, зачем весь RA трафик заворачивать в туннель? Бывают конечно иные сценарии, когда например нужно контролировать весь трафик RA клиента.
D
Я использую всегда по возможности split-tunnel только для локальных префиксов, зачем весь RA трафик заворачивать в туннель? Бывают конечно иные сценарии, когда например нужно контролировать весь трафик RA клиента.
У меня, к моему сожалению, появилось пара "клиентов-яблочников". Пришлось пробовать натянуть рабочее решение и на них 😱.
В windows я этим сносно управляю, а с IOS только сейчас попробовал
В windows я этим сносно управляю, а с IOS только сейчас попробовал