Apple iOS tiene la función "VPN On Demand". Con esta función, la conexión VPN se realiza cada vez que el dispositivo intenta conectarse a ciertos dominios o a Internet. iOS admite "VPN On Demand" solo con autenticación basada en certificados.
Para proporcionar "VPN On Demand" para los usuarios de iOS del servidor VPN de mi oficina, estamos utilizando la siguiente solución IPSec:
- Ubuntu 14.04: el sistema operativo del servidor VPN.
- strongSwan 5.1.2 - Demonio IKE.
- Para cada par, genero una clave privada individual y emito un certificado coincidente. El cliente (iOS IKEv1) se autentica mediante RSA y Xauth.
- iPhone y iPad no pueden usar IPSec sin Xauth (el llamado Cisco IPSec). Y "VPN On Demand" no puede usar el perfil VPN que requiere ingresar una contraseña, pero Xauth generalmente requiere el nombre de usuario y la contraseña. Para solucionar este problema, utilizamos xauth-noauth, un autenticador Xauth falso que permite cualquier nombre de usuario y contraseña. En este caso, utilizamos únicamente el certificado de cliente para autenticarlo.
Esta solución está funcionando bien para nosotros. Pero tenemos un nuevo requisito: configurar varios servidores VPN con una base de datos de usuarios y llevar una contabilidad del uso de VPN.
Es una práctica común para esta tarea utilizar RADIUS y strongSwan tiene un complemento para ello. Pero strongSwan con IKEv1/Xauth usa nombre de usuario/contraseña para autenticar al usuario en el servidor RADIUS backend. nombre de usuario/contraseña no se utiliza en mi solución.
Mis preguntas:
- ¿Cómo utilizar la contabilidad Radius si Xauth no utiliza nombre de usuario/contraseña?
- ¿Es posible delegar la verificación de autenticación RSA al servidor RADIUS?
PD: La mayoría de mis clientes de iOS usan iOS 8, que es compatible con IKEv2. Hay EAP-TLS en IKEv2. ¿Puedo usar EAP-TLS para delegar la verificación de autenticación RSA al servidor RADIUS? ¿O estoy investigando en la dirección equivocada con EAP-TLS?
PSPS Lo segundo que hice fue sobre la interfaz VICI de strongSwan. Se supone que recibiré notificaciones sobre cada nueva conexión IPSec, pero parece que VICI funciona de manera diferente.
Respuesta1
RADIUS Contabilidad en elradio eapEl complemento no requiere autenticación XAuth. En realidad, funciona con cualquier tipo de autenticación, vía RADIUS o no, siempre que el cliente solicite una dirección IP virtual (para IKEv2 incluso este requisito se puede desactivar). Sin embargo, con algunos clientes IKEv1 existen algunos problemas en caso de reautenticación (consulte el problema#937y relacionado).
EAP-TLS permite delegar la autenticación de certificados para clientes IKEv2 al servidor AAA, pero esto no está relacionado con la contabilidad RADIUS.
Respuesta2
Gracias a ecdsa, encontré varias soluciones a mi problema.
- Utilice contabilidad RADIUS sin autenticación RADIUS.
Si el complemento eap-radius está habilitado con la opcióncontabilidad = si, strongSwan enviará un mensaje RADIUS para iniciar la contabilidad, incluso si no se utiliza eap-radius en el archivo ipsec.conf. En mi caso, este mensaje RADIUS se ve así:
Acct-Status-Type = Start
Acct-Session-Id = 1434531934-1
NAS-Port-Type = Virtual
Service-Type = Framed-User
NAS-Port = 1
NAS-Port-Id = ios-ikev1-fakexauth
NAS-IP-Address = <nas_ip>
Called-Station-Id = <nas_ip>[4500]
Calling-Station-Id = <client_ip>[4500]
User-Name = "C=CH, O=strongSwan, [email protected]"
Framed-IP-Address = 172.20.1.1
NAS-Identifier = strongSwan
Puedo obtener el certificado CN por mensaje y me basta para llevar la contabilidad adecuada. Si quiero rechazar el acceso a algún CN, puedo simplemente rechazar el mensaje RADIUS de stronSwan y se interrumpirá la conexión ipsec.
- Realizar contabilidad y control de acceso en elarriba abajoscript en lugar de utilizar RADIUS.
También me gustaría utilizar el complemento curl strongSwan para acceder a la lista de revocación de certificados. Pero encontré falta de documentación sobre este complemento. ¿Me estoy perdiendo de algo?