IPSec VPN для OS X и iOS. Без боли
VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
© Wikipedia
VPN используется для удаленного подключения к рабочему месту, для защиты данных, для обхода фильтров и блокировок, для выдачи себя за гражданина другой страны и вообще — штука незаменимая. Практически повсеместно в качестве простого средства для организации пользовательского VPN используется всем известный OpenVPN, который использовал и я. Ровно до тех пор, пока у меня не появился Macbook и OS X в придачу. Из-за того, что подход Apple к конфигурации DNS сильно отличается от подхода других *nix-систем, проброс DNS через VPN нормально не работал.
После некоторых исследований у меня получилось два варианта:
— Использование DNS «мимо» VPN, что сильно небезопасно, но решает проблему.
— Использование нативных для OS X VPN-протоколов: PPTP и семейства IPSec.
Разумеется, я выбрал второе и разумеется — IPSec, а не устаревший PPTP.
Настройка Linux ( в моем случае — Arch Linux )
- Открыть Настройки → Сеть
- Нажать (+) и выбрать VPN/Cisco IPSec
- Заполнить основную информацию ( адрес, имя пользователя и пароль )
- Выбрать «Настройки аутентификации» и указать группу и PSK ( из файла /etc/racoon/psk.key )
- Подключиться
OS X и IPSec
IPSec это не один протокол, а набор протоколов и стандартов, каждый из которых имеет кучу вариантов и опций. OS X поддерживает три вида IPSec VPN:
— IPSec/L2TP
— IKEv2
— Cisco VPN
Первый вариант избыточен — какой смысл пробрасывать ethernet-пакеты для пользовательского VPN?
Второй — требует сертификатов и сильно сложной настройки на стороне клиента, что тоже нехорошо.
Остается третий, который называется «Cisco», а на самом деле — XAuth+PSK. Его и будем использовать.
Препарация OS X
После некоторых неудачных попыток настроить VPN на OS X, я полез изучать систему на предмет того, как же именно там работает VPN.
Недолгий поиск дал мне файлик /private/etc/racoon/racoon.conf, в котором была строчка include «/var/run/racoon/*.conf»;.
После этого все стало понятно: при нажатии кнопки OS X генерирует конфиг для racoon и кладет его в /var/run/racoon/, после окончания соединения — удаляет. Осталось только получить конфиг, что я и сделал, запустив скрипт перед соединением.
Внутри я нашел именно ту информацию, которой мне не хватало для настройки сервера: IPSec proposals. Это списки поддерживаемых клиентом ( и сервером ) режимов аутентификации, шифрования и подписи, при несовпадении которых соединение не может быть установлено.
Итоговый proposal для OS X 10.11 и iOS 9.3 получился таким:
encryption_algorithm aes 256;
hash_algorithm sha256;
authentication_method xauth_psk_server;
dh_group 14;
Выбор VDS и настройка VPN
Для VPN-сервера я выбрал VDS от OVH, поскольку они дают полноценную виртуализацию с возможностью ставить любое ядро с любыми модулями. Это очень важно, поскольку ipsec работает на уровне ядра, а не пользователя, как OpenVPN.
Режим «Cisco VPN» (XAuth + PSK) предполагает двухэтапную аутентификацию:
— Используя имя группы и PSK для нее ( этап 1 )
— Используя имя пользователя и пароль ( этап 2 )
Настройка racoon
racoon — демон, который занимается управлением ключами ( IKE ). Именно он дает ядру разрешение на провешивание туннеля после того, как аутентифицирует клиента и согласует все детали протокола ( aka proposal ). racoon входит в стандартный пакет ipsec-tools и есть практически в любом дистрибутиве Linux «из коробки».
Используя случайные 64 бита группы и 512 бит ключа, я получаю достаточно вариантов, чтоб сделать перебор бессмысленным.
Настройка Linux
— Необходимо разрешить маршрутизацию: sysctl net.ipv4.ip_forward=1
— Необходимо разрешить протокол ESP и входящие соединения на порты 500/udp и 4500/udp: iptables -t filter -I INPUT -p esp -j ACCEPT; iptables -t filter -I INPUT -p udp —dport 500 -j ACCEPT; iptables -t filter -I INPUT -p udp —dport 4500 -j ACCEPT
— Необходимо включить NAT для нашей сети: iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j MASQUERADE
— Необходимо создать группу и создать/добавить туда пользователей: groupadd vpn и useradd -G vpn vpn_user
— Необходимо запустить racoon: racoon -vF
Настройка OS X
Настройки → Сеть 
Выбрать (+) → VPN → Cisco IPSec → придумать название
Выбрать соединение → ввести адрес сервера, имя пользователя и пароль
Выбрать «Настройки аутентификации» → ввести имя группы и ключ ( именно в таком порядке )
Настройка iOS
Настройки → Основные → VPN → Добавить конфигурацию VPN.
Заполнить форму по аналогии, подключиться. 
Источник
Настройка подключения VPN на Mac
Чтобы подключиться к сети VPN, необходимо ввести настройки конфигурации на панели «Сеть». Эти настройки включают адрес сервера VPN, имя учетной записи и другие параметры идентификации, такие как пароль или сертификат, полученные от сетевого администратора.
Если Вы получили файл настроек VPN от администратора сети, можно импортировать его для настройки подключения. Если нет, то настройки можно ввести вручную.
Импорт файла настроек VPN
На Mac выполните одно из следующих действий.
Дважды нажмите на файл, чтобы открыть настройки сети и автоматически импортировать настройки.
Выберите пункт меню «Apple»
> «Системные настройки», нажмите «Сеть», нажмите раскрывающееся меню «Действия» 
, затем выберите «Импортировать конфигурации». Выберите файл, затем нажмите «Импортировать».
Введите настройки VPN автоматически
На Mac выберите меню Apple
> «Системные настройки», затем нажмите «Сеть».
Нажмите кнопку «Добавить» 
в списке слева, нажмите всплывающее меню «Интерфейс», затем выберите «VPN».
Нажмите всплывающее меню «Тип VPN», затем выберите тип VPN-подключения, который Вы хотите настроить, в зависимости от сети, к которой Вы подключаете компьютер. Присвойте имя службе VPN, затем нажмите «Создать».
Протокол L2TP — это расширенная версия протокола PPTP, который используется интернет-провайдерами для поддержки VPN через Интернет.
Протокол IPSec (Internet Protocol Security) является набором протоколов безопасности.
IKEv2 — это протокол, который настраивает сопоставление безопасности в IPSec.
Введите адрес сервера и имя учетной записи для VPN-подключения.
Нажмите «Настройки аутентификации», затем введите информацию, полученную от администратора сети.
Если Вы получили соответствующие указания от администратора сети, нажмите «Дополнительно» и введите дополнительную информацию, такую как параметры сеанса, настройки TCP/IP, DNS-серверы и прокси.
Дополнительная информация, которую Вы можете ввести, зависит от типа настраиваемого VPN-подключения.
Нажмите «Применить», затем нажмите «ОК».
Выберите «Показывать статус VPN в строке меню», чтобы использовать значок статуса VPN для подключения к сети и переключения между службами VPN.
Для удаления конфигурации VPN выберите службу VPN в списке сетевых служб и нажмите кнопку «Удалить» 
.
Источник
Как подключиться по vpn mac os
Подробная настройка VPN подключения для MAC OS.
1. Выберете в меню значок «Системные настройки».
2. В открывшемся окне необходимо
нажать на значок «Сеть».
3. В левой нижней части
открывшегося окна нажмите на знак «+».
4. В открывшемся диалоговом окне напротив строки «Интерфейс»нажмите на стрелочки справа.
5. В открывшемся списке необходимо выбрать пункт «VPN».
6. В открывшемся
диалоговом окне напротив строки «Тип VPN»нажмите на стрелочки справа.
7.В открывшемся списке необходимо выбрать пункт «PPTP».
8.Нажмите на кнопку «Создать».
9. В строке «Адрес сервера» необходимо ввести адрес для подключения.
«Адрес VPN сервера»
- Квартал 66,67,95 — vpnk95.a-n-t.ru
- Заречье — vpnzar.a-n-t.ru
- Новоивановское, Немчиновка — vpnnem.a-n-t.ru
10.В строке «Имя учетной записи» необходимо ввести ВАШ логин для VPN подключения.
11. Нажмите на стрелочки в строке «Кодирование».
12. В открывшемся списке необходимо выбрать пункт «Нет».
13. Нажмите на кнопку «Настройки идентификации».
14. Введите Ваш пароль дляVPN подключения.
15. Отметьте для отображения состояния подключения на строке меню (возле часов).
16. Нажмите на кнопку «Дополнительно».
17. Отметьте пункт «Отправлять весь трафик через VPN.
18. Нажмите кнопку «OK».
19. Нажмите на кнопку «Применить».
20. Нажмите на кнопку «Подключить».
21. Если Вы верно следовали инструкции, то в меню у вас появился значок и информация о подключении.
22. Отключить подключение VPN можно нажав на значок в меню и выбрав пункт «Отключить».
23. В дальнейшем после загрузки компьютера Вы сможете подключать VPN с помощью значка в меню.
Источник
Как настроить свой VPN на Mac
За последние две недели тема собственного VPN-сервера для жителей России стоит как никогда остро. И пока Роскомнадзор пытается заблокировать Telegram, в стране регулярно сбоят самые разные сервисы.
Сервера PlayStation, видеохостинг YouTube, облачные сервера и ряд сервисов Google – продолжать можно бесконечно долго.
Выход из этого беспредела один — настроить собственный VPN-сервер и забыть о бесконечных надписях «Невозможно подключиться».
В этой статье я расскажу как штатными средствами macOS подключить VPN-сервер с доступом в один тап.
Обратите внимание, данная статья подразумевает, что у вас есть IP-адрес, логин и пароли соответствующего VPN-сервера. О том, как создать собственный VPN максимально бюджетно, я рассказывал в отдельном материале.
Настраиваем VPN средствами Mac
Шаг 1. Открываем Настройки —> Сеть. Чуть ниже списка подключений тапаем на «+» и выбираем:
Тип VPN: L2TP через IPSec
Имя службы: по вашему желанию.
Шаг 2. Появится новое соединение с указанным вами именем. Внимательно заполняем появившиеся поля.
Конфигурация: Добавляете новую и даете любое желаемое имя
Адрес сервера: выданный IP-адрес от VPN
Имя учетной записи: указанное или полученное в процессе создания VPN-сервера имя пользователя
Сразу же поставьте галочку напротив пункта Показывать статус VPN в строке меню. Так вы сможете быстро включать и отключать VPN при необходимости.
Шаг 3. Нажмите на пункт Настройки аутентификации. В открывшемся всплывающем окне укажите общий ключ (он же пароль IPsec PSK) и пароль пользователя (Пароль).
Поле Имя группы можно оставить пустым. Выбираем «OK» и в нижнем правом углу нажимаем Применить.
Нажмите Дополнительно и поставьте галочку напротив пункта Отправлять весь трафик через VPN.
Настройка VPN на Mac окончена. Смело тапаем на пункт подключить. На меню Dock в строке состояния Mac появится новая пиктограмма с состоянием подключения.
VPN успешно подключен и теперь весь трафик проходит через промежуточный удаленный сервер, а у вас есть доступ к любым ресурсам.
Источник
