IPSec VPN для OS X и iOS. Без боли
VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
© Wikipedia
VPN используется для удаленного подключения к рабочему месту, для защиты данных, для обхода фильтров и блокировок, для выдачи себя за гражданина другой страны и вообще — штука незаменимая. Практически повсеместно в качестве простого средства для организации пользовательского VPN используется всем известный OpenVPN, который использовал и я. Ровно до тех пор, пока у меня не появился Macbook и OS X в придачу. Из-за того, что подход Apple к конфигурации DNS сильно отличается от подхода других *nix-систем, проброс DNS через VPN нормально не работал.
После некоторых исследований у меня получилось два варианта:
— Использование DNS «мимо» VPN, что сильно небезопасно, но решает проблему.
— Использование нативных для OS X VPN-протоколов: PPTP и семейства IPSec.
Разумеется, я выбрал второе и разумеется — IPSec, а не устаревший PPTP.
Настройка Linux ( в моем случае — Arch Linux )
- Открыть Настройки → Сеть
- Нажать (+) и выбрать VPN/Cisco IPSec
- Заполнить основную информацию ( адрес, имя пользователя и пароль )
- Выбрать «Настройки аутентификации» и указать группу и PSK ( из файла /etc/racoon/psk.key )
- Подключиться
OS X и IPSec
IPSec это не один протокол, а набор протоколов и стандартов, каждый из которых имеет кучу вариантов и опций. OS X поддерживает три вида IPSec VPN:
— IPSec/L2TP
— IKEv2
— Cisco VPN
Первый вариант избыточен — какой смысл пробрасывать ethernet-пакеты для пользовательского VPN?
Второй — требует сертификатов и сильно сложной настройки на стороне клиента, что тоже нехорошо.
Остается третий, который называется «Cisco», а на самом деле — XAuth+PSK. Его и будем использовать.
Препарация OS X
После некоторых неудачных попыток настроить VPN на OS X, я полез изучать систему на предмет того, как же именно там работает VPN.
Недолгий поиск дал мне файлик /private/etc/racoon/racoon.conf, в котором была строчка include «/var/run/racoon/*.conf»;.
После этого все стало понятно: при нажатии кнопки OS X генерирует конфиг для racoon и кладет его в /var/run/racoon/, после окончания соединения — удаляет. Осталось только получить конфиг, что я и сделал, запустив скрипт перед соединением.
Внутри я нашел именно ту информацию, которой мне не хватало для настройки сервера: IPSec proposals. Это списки поддерживаемых клиентом ( и сервером ) режимов аутентификации, шифрования и подписи, при несовпадении которых соединение не может быть установлено.
Итоговый proposal для OS X 10.11 и iOS 9.3 получился таким:
encryption_algorithm aes 256;
hash_algorithm sha256;
authentication_method xauth_psk_server;
dh_group 14;
Выбор VDS и настройка VPN
Для VPN-сервера я выбрал VDS от OVH, поскольку они дают полноценную виртуализацию с возможностью ставить любое ядро с любыми модулями. Это очень важно, поскольку ipsec работает на уровне ядра, а не пользователя, как OpenVPN.
Режим «Cisco VPN» (XAuth + PSK) предполагает двухэтапную аутентификацию:
— Используя имя группы и PSK для нее ( этап 1 )
— Используя имя пользователя и пароль ( этап 2 )
Настройка racoon
racoon — демон, который занимается управлением ключами ( IKE ). Именно он дает ядру разрешение на провешивание туннеля после того, как аутентифицирует клиента и согласует все детали протокола ( aka proposal ). racoon входит в стандартный пакет ipsec-tools и есть практически в любом дистрибутиве Linux «из коробки».
Используя случайные 64 бита группы и 512 бит ключа, я получаю достаточно вариантов, чтоб сделать перебор бессмысленным.
Настройка Linux
— Необходимо разрешить маршрутизацию: sysctl net.ipv4.ip_forward=1
— Необходимо разрешить протокол ESP и входящие соединения на порты 500/udp и 4500/udp: iptables -t filter -I INPUT -p esp -j ACCEPT; iptables -t filter -I INPUT -p udp —dport 500 -j ACCEPT; iptables -t filter -I INPUT -p udp —dport 4500 -j ACCEPT
— Необходимо включить NAT для нашей сети: iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j MASQUERADE
— Необходимо создать группу и создать/добавить туда пользователей: groupadd vpn и useradd -G vpn vpn_user
— Необходимо запустить racoon: racoon -vF
Настройка OS X
Настройки → Сеть 
Выбрать (+) → VPN → Cisco IPSec → придумать название
Выбрать соединение → ввести адрес сервера, имя пользователя и пароль
Выбрать «Настройки аутентификации» → ввести имя группы и ключ ( именно в таком порядке )
Настройка iOS
Настройки → Основные → VPN → Добавить конфигурацию VPN.
Заполнить форму по аналогии, подключиться. 
Источник
Настройка подключения VPN на Mac
Чтобы подключиться к сети VPN, необходимо ввести настройки конфигурации на панели «Сеть». Эти настройки включают адрес сервера VPN, имя учетной записи и другие параметры идентификации, такие как пароль или сертификат, полученные от сетевого администратора.
Если Вы получили файл настроек VPN от администратора сети, можно импортировать его для настройки подключения. Если нет, то настройки можно ввести вручную.
Импорт файла настроек VPN
На Mac выполните одно из следующих действий.
Дважды нажмите на файл, чтобы открыть настройки сети и автоматически импортировать настройки.
Выберите пункт меню «Apple»
> «Системные настройки», нажмите «Сеть», нажмите раскрывающееся меню «Действия» 
, затем выберите «Импортировать конфигурации». Выберите файл, затем нажмите «Импортировать».
Введите настройки VPN автоматически
На Mac выберите меню Apple
> «Системные настройки», затем нажмите «Сеть».
Нажмите кнопку «Добавить» 
в списке слева, нажмите всплывающее меню «Интерфейс», затем выберите «VPN».
Нажмите всплывающее меню «Тип VPN», затем выберите тип VPN-подключения, который Вы хотите настроить, в зависимости от сети, к которой Вы подключаете компьютер. Присвойте имя службе VPN, затем нажмите «Создать».
Протокол L2TP — это расширенная версия протокола PPTP, который используется интернет-провайдерами для поддержки VPN через Интернет.
Протокол IPSec (Internet Protocol Security) является набором протоколов безопасности.
IKEv2 — это протокол, который настраивает сопоставление безопасности в IPSec.
Введите адрес сервера и имя учетной записи для VPN-подключения.
Нажмите «Настройки аутентификации», затем введите информацию, полученную от администратора сети.
Если Вы получили соответствующие указания от администратора сети, нажмите «Дополнительно» и введите дополнительную информацию, такую как параметры сеанса, настройки TCP/IP, DNS-серверы и прокси.
Дополнительная информация, которую Вы можете ввести, зависит от типа настраиваемого VPN-подключения.
Нажмите «Применить», затем нажмите «ОК».
Выберите «Показывать статус VPN в строке меню», чтобы использовать значок статуса VPN для подключения к сети и переключения между службами VPN.
Для удаления конфигурации VPN выберите службу VPN в списке сетевых служб и нажмите кнопку «Удалить» 
.
Источник
VPN для Mac OS — настройка и выбор сервиса.
В этой статье вы узнаете, как повысить конфиденциальность, установив и настроив VPN на вашем Mac.
Если вы хотите сделать свои действия в Интернете полностью анонимными, защитить свои персональные данные, а также просматривать заблокированный контент, то вам определенно нужна такая услуга, как VPN-сервис. Сейчас мы рассмотрим, как настроить VPN на Mac.
Для начала, если вам интересно, что такое VPN (это означает «виртуальная приватная сеть», но это еще не все), прочитайте статью «Что такое VPN и зачем он вам» на нашем сайте, в которой объясняется, что такое VPN. Как только вы узнаете всю необходимую информацию, вернитесь сюда для ознакомления по настройке VPN на вашем Mac.
Настройка VPN-приложения на Mac
Сначала выберите подходящий для себя VPN-сервис. Для примера настройки на Mac мы выберем VPN-сервис NordVPN. Сначала мы рассмотрим, как настроить VPN-приложение NordVPN, а затем покажем вам, как настроить VPN (для примера взят сервис Hidden24), требующую от вас входа в настройки сети Mac.
После того, как вы выбрали VPN-сервис, перейдите на его сайт и выберите тарифный план, который вам подходит. У NordVPN, того, которым мы сейчас воспользуемся, существуют различные тарифные планы: на один месяц, год, два года или три года.
Скачайте VPN-приложение.
Большинство пользователей скачивают обычное приложение, которое работает быстро и стабильно, но у вас есть возможность перейти на OpenVPN, который более предпочтителен для пользователей из стран с множеством заблокированного контента, таких как: Китай, Саудовская Аравия и Объединенные Арабские Эмираты, Россия.
Войдите в VPN- приложение.
Вы будете перенаправлены в Mac App Store, где у вас могут попросить войти в систему с помощью вашего Apple ID после нажатия кнопки «Установить приложение».
После установки перейдите в папку приложений или Launch Pad, чтобы открыть VPN-приложение. Там вам нужно будет войти в систему, используя данные входа в систему VPN, которые вы получили, когда ранее создали свою учетную запись.
Разрешите VPN добавлять конфигурации
После входа в систему вы увидите всплывающее окно, в котором вам будет предложено разрешить вашему VPN-приложению добавлять VPN-конфигурации на вашем компьютере. Вам нужно будет нажать «Разрешить» («Allow»), и вам может потребоваться ввести пароль, который вы используете для входа на ваш Mac.
Позже в этой статье мы рассмотрим, как настроить VPN, требующую от вас входа в настройки вашего Mac. В данном же случае, с помощью VPN-приложение, подобного NordVPN, делает это за вас, когда вы нажимаете «Разрешить».
Если вы пользуетесь проверенным VPN-сервисом, нажатие кнопки «Разрешить» является абсолютно безопасным. Если вы не уверены в том, какой VPN-сервис является проверенным, прочитайте статью на нашем сайте «Лучшие VPN-сервисы».
Доступ к цепочке ключей
Перед использованием VPN, вам будет предложено выбрать сервер. Он может находиться в пределах страны, той, где вы находитесь. Выберете его, если вы хотите защитить свою конфиденциальность, но не пытаетесь получить доступ к заблокированному контенту.
Однако если вам необходимо получить доступ, например, к US Netflix из Великобритании или BBC iPlayer из-за пределов Великобритании, вам нужно будет выбрать соответствующее расположение VPN-сервера.
Neagent может использовать вашу конфиденциальную информацию
Когда вы пытаетесь подключиться к новому серверу в первый раз, вы можете увидеть окно, в котором говорится: «Neagent хочет использовать вашу конфиденциальную информацию, хранящуюся в NordVPN в вашей цепочке ключей».
Это дополнительная функция безопасности, которая необходима для создания безопасного VPN-соединения с протоколом IKEv2, используемым NordVPN.
Вы можете ввести пароль администратора для Mac и нажать «Всегда разрешать», что означает, что NordVPN будет помнить пароль для входа в цепочку ключей для дальнейшего использования и не будет запрашивать его снова, только если вы не измените пароль.
Если в этом окне говорится, что Neagent хочет использовать конфиденциальную информацию, хранящуюся где угодно, кроме как внутри NordVPN (или VPN, которую вы выбрали), необходимо нажать «Отказать» («deny»).
Узнайте маршрут ваших серверов вокруг приложения VPN
Как пользоваться VPN приложением
Вы сможете найти новые VPN-серверы, используя кнопку поиска в верхнем правом углу, параметры доступа из левого верхнего угла, включая переключатель Kill, и возможность подключения VPN к серверу по вашему выбору, как только вы запустите приложение.
Также, вы сможете получить доступ к настройкам VPN и спискам серверов в любое время, запустив приложение обычным образом или используя значок в панели навигации в верхней части вашего компьютера, где обычно располагается дата и время.
Как настроить VPN на Mac без приложения
Если вы выбрали VPN-сервис с минимальным или отсутствующим интерфейсом для приложения, вам необходимо перейти в меню настроек вашего Mac. Это может показаться немного сложным процессом, но это довольно просто, сейчас разберем, как это делается.
Ваш конкретный VPN-сервис должен быть в состоянии предложить помощь по установке и настройке, разберем пример с использованием Hidden24, который даст вам представление о том, чего стоит ожидать.
Сначала вам нужно зарегистрироваться в VPN-сервисе и создать учетную запись.
После того, как у вас будет имя пользователя, адрес электронной почты и пароль, связанные с вашей учетной записью, вы можете начать процесс настройки VPN.
Сначала перейдите в «Системные настройки» на вашем Mac и выберите «Сеть».
Нажмите маленький символ «+» в левом нижнем углу, чтобы открыть раскрывающееся меню. Из интерфейса выберите VPN. Затем выберите тип VPN и имя службы, указанное вашим провайдером VPN.
В данном примере это L2TP через IPSec, а имя службы — Hidden24.
Заполните данные для VPN
Теперь в поле Адрес сервера введите сервер, указанный вашим VPN-сервисом. В данном примере это connect.hidden24.co.uk. Имя учетной записи — это имя пользователя, которое вы получили при регистрации.
Теперь выберите «Показать статус VPN в строке меню», прежде чем нажать «Настройки проверки подлинности».
Вам будет предложено ввести ваш пароль, а также кодовое слово, которое также должен был предоставить ваш VPN-сервис.
Затем нажмите «ОК».
В разделе «Дополнительно» вы можете выбрать «Отправить весь трафик через VPN-соединение», чтобы исключить возможность пользования интернетом без VPN (например, когда вы забыли включить VPN).
Затем нажмите «ОК» и «Применить», все готово. Появится новый значок в строке меню, который является вашим VPN.
Теперь вы знаете, как настроить приложение VPN или VPN, требующее настройки вашего Mac. Пишите вопросы в комментарии.
Источник
