Настройка VPN: Mac OS X и SonicWall

Question

Я пытаюсь получить доступ к VPN. У компании есть брандмауэр / концентратор SonicWall, и я работаю на Mac. Я не уверен в аппаратном или программном уровне SonicWall. Мой MacBook Pro - OS X 10.8, x64, полностью исправлен.

Апплет Mac Networking утверждает, что удаленный сервер не отвечает. Попытка подключения впоследствии терпит неудачу:

Это полный мусор, так как трассировка Wireshark показывает согласование защищенного режима, а затем откат к быстрому режиму:

У меня два вопроса: (1) работает ли Mac OS X VPN в реальной жизни? (2) Существуют ли какие-либо заслуживающие доверия (не Apple) инструменты для тестирования и диагностики проблемы подключения (Wireshark - пушка, и я должен интерпретировать результаты)?

И третий вопрос (не по теме): что такого сломанного в Купертино, что столько сломанного программного обеспечения проходит через отдел контроля качества? Я плачу хорошие деньги за программное обеспечение для запуска их оборудования, и это абсолютная шутка.

РЕДАКТИРОВАТЬ (14.12.2012, 18:00): Сетевой парень прислал мне "Руководство по настройке VPN" (документ Equinox SonicOS_Standard-6-EN). Похоже, что для IPSec VPN теперь требуется уникальный идентификатор брандмауэра. Просто чтобы быть уверенным, я повторно посетил RFC 2409, где обсуждаются Основной режим, Агрессивный режим и Быстрый режим. Я не могу найти ссылку на уникальный идентификатор брандмауэра.

РЕДАКТИРОВАТЬ (14/12/2012, 23:00 PM): из журналов Mac OS X (так много для окна сообщений с мусором из этой грязной операционной системы):

Wed Nov 14 16:25:41 2012 : IPSec connection started
Wed Nov 14 16:25:41 2012 : IPSec phase 1 client started
Wed Nov 14 16:25:41 2012 : IPSec phase 1 server replied
Wed Nov 14 16:25:42 2012 : IPSec phase 2 started
Wed Nov 14 16:26:12 2012 : IPSec connection failed
...
Wed Nov 14 17:23:16 2012 : L2TP connecting to server '173.167.XXX.YYY' (173.167.XXX.YYY)...
Wed Nov 14 17:23:16 2012 : IPSec connection started
Wed Nov 14 17:23:16 2012 : IPSec phase 1 client started
Wed Nov 14 17:23:16 2012 : IPSec connection failed <IKE Error 23 (0x17) Invalid hash information>

РЕДАКТИРОВАТЬ (15.12.2012, 12:00):

Я думаю, что я облажался здесь: http://forums.macrumors.com/showthread.php?t=383855. Я пытаюсь подключиться к сломанному (нестандартному) брандмауэру с поврежденным клиентом Mac OS X.

Answer 1

Этот поток встречается во многих поисках Google для совместимости Mac OS X с SonicWall VPN, поэтому, хотя поток старый, я просто хотел сообщить, что YES, собственный VPN-клиент Mac OS X, прекрасно работает с SonicWall L2TP VPN. Сторонние VPN-клиенты хороши и полнофункциональны, но, безусловно, не обязательны. Надлежащая конфигурация необходима на стороне UTM, но администратор UTM должен был подтвердить совместимость с Mac OS X, прежде чем предоставлять вам учетную запись VPN (IMHO).

Для устранения неполадок я рекомендую две вещи:

• на стороне клиента: в "Расширенных" настройках VPN Mac OS X включите "Использовать подробное ведение журнала", чтобы получить (намного) более подробный вывод в Консоль от клиента енота, чем вы получаете по умолчанию.
• Сторона UTM: хотя журналы racoon в Mac OS X очень тщательны, их может быть сложно интерпретировать и выяснить, какие конкретные изменения необходимо внести в UTM или в клиенте. Вам лучше посмотреть журналы SonicWall "VPN xxxx", чтобы выяснить, что мешает клиенту подключиться. В частности, ищите ошибки несоответствия IKE.

Тем не менее, я успешно настроил конфигурацию L2TP VPN, которая использует проверку подлинности с помощью сертификата (не PSK) и IKEv2, и я могу убедиться, что она работает как для собственных Mac OS X 10.10, так и для собственных клиентов Windows 7 VPN. Windows 8 также должна быть в порядке, но я не могу подтвердить. (IKEv1 с аутентификацией PSK также работает, но я умоляю вас не настраивать VPN таким образом - это небезопасно.). Обратите внимание, что ни в коем случае не требуется использование уникального идентификатора брандмауэра SonicWall.

Я не сторонник слепой настройки параметров, которые они не понимают. Тем не менее, вот настройки, которые я использовал в надежде, что администраторы, которые являются новыми для настройки VPN, используют следующие в качестве шаблона, чтобы прекратить использовать IKEv1 PSK и правильно настроить надежную и безопасную VPN для своей организации. Ниже приведено описание устройства серии SonicWall NSA с SonicOS 5.8.x. Я надеюсь, что это помогает:

1) VPN> Настройки> Политика VPN> Настройки WAN GroupVPN

Вкладка "Общие"

• Метод аутентификации: IKE с использованием сторонних сертификатов
• Сертификат шлюза: {сертификат, который вы загрузили в devce}
• Peer ID Тип: Отличительное имя
• Фильтр однорангового идентификатора: {соответствующий фильтр для сертификатов вашего VPN-клиента.Точная информация, которую вы используете для генерации клиентских сертификатов, будет определять синтаксис фильтра, который вы используете.}
• Разрешить только одноранговые сертификаты, подписанные издателем шлюза: {включите этот параметр, если вы выпускаете сервер и клиентские сертификаты все от одного и того же ЦС (например, от вашего собственного самостоятельно созданного ЦС)}

Вкладка предложений

Этап 1 (я предполагаю, что это настройки только для IKEv1 ??):

• DH Group: группа 2 (в ходе моего тестирования было установлено, что группа 5 не поддерживается собственными VPN-клиентами Mac OS X 10.10 или Windows 7)
• Шифрование: {выберите на основе накладных расходов и скорости.На момент написания статьи AES-128 представляет собой достойный компромисс между безопасностью и скоростью.}
• Аутентификация: SHA1 (не отлично, но немного лучше, чем MD5)
• Время жизни: 28800

Фаза 2:

• Протокол: ESP
• Шифрование: {может просто соответствовать тому, что вы выбрали для Фазы 1, чтобы упростить задачу}
• Аутентификация: {соответствует тому, что вы выбрали для Фазы 1}

Продвинутая вкладка

(Расширенные настройки будут меняться в зависимости от вашей среды, поэтому включите то, что вам нужно)

Аутентификация клиента:

• Требовать аутентификацию VPN-клиентов по XAUTH: включено
• Группа пользователей XAUTH: {имя группы, которую вы создали для своих пользователей VPN}

Вкладка клиента

• Кэшируйте имя пользователя и пароль XAUTH на клиенте: сеанс (выберите Всегда, если пользователи жалуются на необходимость повторной авторизации)

Клиентские подключения:

• Разрешить подключения к: только этому шлюзу
• Установить Маршрут по умолчанию как этот Шлюз: включено (я хотел, чтобы мои клиенты пропускали весь трафик через VPN)
• Использовать ключ по умолчанию для простой инициализации клиента: отключено (мы используем сертификаты, поэтому не хотим этого)

2) VPN> Дополнительно

Расширенные настройки VPN

• Включить IKE Dead Peer Detection: включено
• Включить обработку фрагментированных пакетов: включено
• Включить NAT Traversal: включено
• Очистить активные туннели, когда DNS-имя Peer Gateway разрешено на другой IP-адрес: включено

Настройки IKEv2:

• Отправить IKEv2 Cookie Notify: включено (мы хотим IKEv2, так как это более безопасно)
• Настройки динамического предложения клиента IKEv2: {Мне удалось без проблем установить DH Group 14/AES-256/SHA1 с собственными клиентами Mac OS X 10.10 и Windows 7.Выберите то, что подходит вашей среде}

3) VPN> L2TP-сервер

Вкладка L2TP-сервер:

{установите свои DNS-серверы (и WINS-серверы, если необходимо)}

Вкладка L2TP Users:

{Если вы не проходите аутентификацию с помощью RADIUS/LDAP, установите диапазон вашего IP-пула и настройте группу для использования в качестве пользователей VPN}

Вкладка PPP:

Установите этот порядок: MSCHAPv2, CHAP, MSCHAP, PAP

Answer 2

SonicWall VPN работает с устройствами OSX, хотя и не всегда из коробки. Политика VPN сервера SonicWall должна быть настроена правильно. Мне удалось заставить iPad и iPhone подключаться к ним, как только я правильно создал политику VPN. Если политика VPN SonicWall не настроена правильно, она просто не будет работать.

Answer 3

Мне удалось подключить OS X El Capitan к Sonicwall TZ 215 с помощью предварительного общего ключа (PSK) в WAN GroupVPN. Ранее это работало для меня с VPN Tracker, но теперь, когда я работаю в бета-версии El Capitan, VPN Tracker не работает, поэтому я решил дать родному VPN еще один шанс.

Сначала это не работало, и я подумал, что мне придется перенастроить sonicwall, как описано @AnnonymousCoward, чтобы использовать сертификаты. Однако в одном из упомянутых здесь документов KB я заметил, что следует включить флажок « Принимать множественные предложения для клиентов» на вкладке «Дополнительно» в WAN GroupVPN, если у вас возникают проблемы с подключением из iOS (и я подумал, что OS X как Что ж).

ЭТО РАБОТАЛО.

Чтобы было ясно, моя WAN GroupVPN настроена для ESP: 3DES/HMAC SHA1 (IKE) . Использование Group2 для Фазы 1. Время жизни составляет 28800 на этапе 1 и 2. XAUTH настроен.

В разделе «Настройки L2TP» в главном разделе «VPN» Sonicwall необходимо включить и настроить сервер L2TP. Я настроил мой на назначение IP-адресов доверенным пользователям (например, пользователям XAUTH) в том же диапазоне IP-сети, что и остальная часть моей удаленной сети.

На стороне OS X я создал соединение VPN (L2TP) . Адрес сервера - это адрес удаленного брандмауэра. Имя учетной записи - это имя пользователя XAUTH. В настройках аутентификации пароль установлен в качестве пароля пользователя XAUTH, а общий секретный ключ - в качестве PSK, настроенного в Sonicwall. Название группы оставлено пустым.

Я не совсем понял маршрут. Обычно в трекере VPN я определяю диапазоны сети, которые я хочу маршрутизировать через VPN (и они должны соответствовать маршрутам, которые определены в Sonicwall для конечной точки, например, 10.72.0.0/16 в моем случае). Я могу определить несколько удаленных сетей, если они мне нужны, но я не вижу, где указать такую настройку в конфигурации VPN OS X. Однако до сих пор у меня нет проблем с доступом к удаленной сети. Поэтому я предполагаю, что L2TP работает не так, как конфигурация, которую я использую в VPN Tracker.

Answer 4

IPSecuritas бесплатен и поддерживает El Captain.