Mac os server vpn server

IPSec VPN для OS X и iOS. Без боли

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
© Wikipedia

VPN используется для удаленного подключения к рабочему месту, для защиты данных, для обхода фильтров и блокировок, для выдачи себя за гражданина другой страны и вообще — штука незаменимая. Практически повсеместно в качестве простого средства для организации пользовательского VPN используется всем известный OpenVPN, который использовал и я. Ровно до тех пор, пока у меня не появился Macbook и OS X в придачу. Из-за того, что подход Apple к конфигурации DNS сильно отличается от подхода других *nix-систем, проброс DNS через VPN нормально не работал.

После некоторых исследований у меня получилось два варианта:
— Использование DNS «мимо» VPN, что сильно небезопасно, но решает проблему.
— Использование нативных для OS X VPN-протоколов: PPTP и семейства IPSec.
Разумеется, я выбрал второе и разумеется — IPSec, а не устаревший PPTP.

Настройка Linux ( в моем случае — Arch Linux )

1. Открыть Настройки → Сеть
2. Нажать (+) и выбрать VPN/Cisco IPSec
3. Заполнить основную информацию ( адрес, имя пользователя и пароль )
4. Выбрать «Настройки аутентификации» и указать группу и PSK ( из файла /etc/racoon/psk.key )
5. Подключиться

OS X и IPSec

IPSec это не один протокол, а набор протоколов и стандартов, каждый из которых имеет кучу вариантов и опций. OS X поддерживает три вида IPSec VPN:
— IPSec/L2TP
— IKEv2
— Cisco VPN

Первый вариант избыточен — какой смысл пробрасывать ethernet-пакеты для пользовательского VPN?
Второй — требует сертификатов и сильно сложной настройки на стороне клиента, что тоже нехорошо.
Остается третий, который называется «Cisco», а на самом деле — XAuth+PSK. Его и будем использовать.

Препарация OS X

После некоторых неудачных попыток настроить VPN на OS X, я полез изучать систему на предмет того, как же именно там работает VPN.
Недолгий поиск дал мне файлик /private/etc/racoon/racoon.conf, в котором была строчка include «/var/run/racoon/*.conf»;.
После этого все стало понятно: при нажатии кнопки OS X генерирует конфиг для racoon и кладет его в /var/run/racoon/, после окончания соединения — удаляет. Осталось только получить конфиг, что я и сделал, запустив скрипт перед соединением.

Внутри я нашел именно ту информацию, которой мне не хватало для настройки сервера: IPSec proposals. Это списки поддерживаемых клиентом ( и сервером ) режимов аутентификации, шифрования и подписи, при несовпадении которых соединение не может быть установлено.
Итоговый proposal для OS X 10.11 и iOS 9.3 получился таким:
encryption_algorithm aes 256;
hash_algorithm sha256;
authentication_method xauth_psk_server;
dh_group 14;

Выбор VDS и настройка VPN

Для VPN-сервера я выбрал VDS от OVH, поскольку они дают полноценную виртуализацию с возможностью ставить любое ядро с любыми модулями. Это очень важно, поскольку ipsec работает на уровне ядра, а не пользователя, как OpenVPN.
Режим «Cisco VPN» (XAuth + PSK) предполагает двухэтапную аутентификацию:
— Используя имя группы и PSK для нее ( этап 1 )
— Используя имя пользователя и пароль ( этап 2 )

Настройка racoon

racoon — демон, который занимается управлением ключами ( IKE ). Именно он дает ядру разрешение на провешивание туннеля после того, как аутентифицирует клиента и согласует все детали протокола ( aka proposal ). racoon входит в стандартный пакет ipsec-tools и есть практически в любом дистрибутиве Linux «из коробки».

Используя случайные 64 бита группы и 512 бит ключа, я получаю достаточно вариантов, чтоб сделать перебор бессмысленным.

Настройка Linux

— Необходимо разрешить маршрутизацию: sysctl net.ipv4.ip_forward=1
— Необходимо разрешить протокол ESP и входящие соединения на порты 500/udp и 4500/udp: iptables -t filter -I INPUT -p esp -j ACCEPT; iptables -t filter -I INPUT -p udp —dport 500 -j ACCEPT; iptables -t filter -I INPUT -p udp —dport 4500 -j ACCEPT
— Необходимо включить NAT для нашей сети: iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j MASQUERADE
— Необходимо создать группу и создать/добавить туда пользователей: groupadd vpn и useradd -G vpn vpn_user
— Необходимо запустить racoon: racoon -vF

Настройка OS X

Настройки → Сеть

Выбрать (+) → VPN → Cisco IPSec → придумать название

Выбрать соединение → ввести адрес сервера, имя пользователя и пароль

Выбрать «Настройки аутентификации» → ввести имя группы и ключ ( именно в таком порядке )

Настройка iOS

Настройки → Основные → VPN → Добавить конфигурацию VPN.

Заполнить форму по аналогии, подключиться.

Источник

Домашний Мак-сервер. Часть 8: Настройка VPN

В нашей сегодняшней статье цикла «Домашний Мак-сервер» мы продолжим начатый уже достаточно давно разговор о тонкостях настройки серверной разновидности OS X. По многочисленным заявкам читателей, на этот раз нами будет рассмотрена возможность настройки своего собственного VPN-сервера. Полагаем, что те, для кого эта аббревиатура ровным счётом ничего не значит, вряд ли станут читать материал дальше, поэтому ограничимся кратким пояснением. Virtual Private Network позволяет организовать частную сеть поверх другого сетевого подключения, объединив в виртуальную локалку устройства, которые могут находиться вдали друг от друга. Классический пример использования VPN – корпоративная сеть, к которой имеют доступ сотрудники в разных городах или даже регионах.

Процедура базовой конфигурации VPN средствами OS X достаточно проста и не требует углубленных знаний в этой области. Тем не менее, тут тоже есть о чём рассказать.

Начнём с того, что запустим Server.app и залогинимся в качестве администратора. Обратим внимание на вкладку VPN.

Включение этого сервиса может потребовать достаточно большое количество времени, каждый раз после смены настроек нужно будет дожидаться уже привычного нам зелёного светодиода и статуса «Available».

При активации VPN потребуется указать протоколы, по которым возможно будет осуществлять соединение. Если будут использоваться современные устройства, то что-либо менять не требуется. Если предполагаемые пользователи не имеют возможности работать с L2TP или есть какие-то сомнения, можно включить ещё и PPTP. Ниже указано наше доменное имя. Его смело можно указывать в качестве заменителя IP-адреса, разницы никакой не будет. Shared Secret желательно будет поменять на что-нибудь, известное вам.

Адресацию клиентов менять не стоит. Для домашних целей хватит настроек по умолчанию. Настройки DNS будут доступны те, которые установлены для нашей машины-сервера. Проще говоря, если мы можем открывать сайты на серверном компьютере, то сможем это делать и на подключенном девайсе. Мы всегда сможем добавить иные DNS-адреса, вписав их в специальную форму, вызываемую нажатием на кнопку «DNS Settings».

Точно также стоит поступить и с маршрутами («routes»). Их рекомендуется добавлять в том случае, если необходимо дать доступ к тому ресурсу, который так или иначе не доступен с настройками по умолчанию. Делается это аналогично добавлению DNS-сервера. После изменения настроек Server.app предложит нам перезапустить наш VPN-сервер. Затем можно будет экспериментировать с подключением к нему.

Для этого можем воспользоваться iOS-девайсом, а также любым компьютером. Рассмотрим настройку на примере обеих категорий устройств.

Для iOS необходимо зайти в Настройки -> Основные -> VPN. Добавим новую конфигурацию. Описание задаём произвольно, оно нужно для нас самих же. Сервер — здесь вписываем IP-адрес или доменное имя нашего компьютера, учётная запись с паролем — здесь можем воспользоваться своим OS X-аккаунтом. Общий ключ (Shared Secret) мы меняли ранее, вписываем его аналогично. Готово. Проверим и убедимся в работоспособности.

Вновь добавленная конфигурация станет доступна в общем списке.

Настройки для Mac OS X аналогичны. Необходимо зайти в настройки сети, после чего создадим новое подключение, укажем ему имя и впишем точно такой же набор данных, как и только что на iOS девайсе. В качестве способа аутентификации выберем «пароль». Скриншоты приведём ниже.

Как видите, базовая настройка своей собственной VPN-сети с помощью Server.app осуществляется достаточно просто. Трудности могут возникнуть в том случае, если нам будут необходимы какие-то дополнительные манипуляции, например, добавление тех же самых маршрутов. Такие проблемы часто решаются индивидуально. В том случае, если сеть настроена несколько нестандартно, это может потребовать от администратора дополнительных углубленных знаний. Однако в общем случае, достаточно простом, настроек по умолчанию будет достаточно.

Желаем успешных начинаний в администрировании собственных сетевых сервисов 😉

Источник

Как настроить свой собственный VPN с MacOS Server |

Если вы решили, что вам нужна виртуальная частная сеть (VPN), но вы не хотите платить за стороннюю службу VPN, то MacOS Server может быть отличной альтернативой. Он построен на MacOS, который вы уже знаете и любите, и позволяет быстро и легко настроить и запустить собственный VPN.

Настройте сервер MacOS

Если вы еще этого не сделали, загрузите и установите сервер MacOS и при необходимости включите удаленное администрирование для упрощения настройки.

Найдите интернет-адрес вашего роутера

Прежде чем мы начнем с фактической настройки службы VPN, вам необходимо знать ваши «интернет-координаты» — IP-адрес вашего маршрутизатора.

Довольно просто определить ваш текущий IP-адрес с помощью Google: «Какой у меня IP-адрес». У большинства домашних пользователей есть так называемый динамический IP-адрес. Это означает, что IP-адрес вашего маршрутизатора может меняться очень часто.

Если для настройки службы VPN вы используете динамический IP-адрес, нет гарантии, что в будущем у вас все равно останется ваш IP-адрес, и удаленное соединение не будет установлено.

Чтобы обойти это, есть несколько динамических сервисов доменных имен, которые вы можете приобрести. Таким образом, вы получите псевдоним, известный как «имя хоста», который не изменится, даже если ваш IP-адрес изменится.

Многие интернет-провайдеры также предлагают так называемый статический IP-адрес. Они обычно используются для бизнес-аккаунтов, но, в зависимости от вашего провайдера, могут быть доступны за дополнительную плату.

Если у вас есть статический IP-адрес или имя хоста для вашего динамического IP-адреса, вы можете перейти к настройке VPN-сервиса на MacOS Server.

Настройте службу VPN сервера MacOS

1. Запустите Серверное приложение из ваших приложений.
2. Войдите в свой сервер MacOS.

Выбрать VPN под списками услуг.

Нажмите Изменить разрешения и выберите пользователей, которых вы хотите подключить к вашему VPN.

Выберите Доступ Вкладка.

Нажмите на Добавлять кнопку (выглядит как +) и выберите VPN.

Выбрать Разрешить подключения от только некоторые пользователи.

Введите пользователей, которым вы хотите иметь доступ VPN.

Нажмите Хорошо.

Выбрать VPN под списками услуг.

Переключить ВКЛ ВЫКЛ переключиться на Вкл.

Если вы находитесь в сети, ориентированной на Apple, с базовой станцией аэропорта, вам будет предложено автоматически настроить базовую станцию ​​аэропорта, чтобы разрешить подключения к вашей службе MacOS Server VPN.

Если у вас нет базовой станции Apple Airport, вам придется вручную настроить маршрутизатор, чтобы разрешить VPN-трафику проходить через ваш маршрутизатор на ваш сервер MacOS. Вот как!

Разрешить VPN-трафик через ваш маршрутизатор на MacOS Server

В зависимости от того, кто изготовил ваш маршрутизатор, вам нужно будет обратиться к документации от производителя, чтобы иметь возможность пропустить трафик VPN на ваш внутренний macOS-сервер, на котором работает служба VPN. Порты, которые необходимо перенаправить на ваш macOS-сервер, — это UDP 500, UDP 1701 и UDP 4500. Вот что нужно на базовой станции аэропорта, если вам нужно вручную настроить переадресацию портов VPN-трафика.

запуск Аэропорт Утилита.

Выберите свой роутер и нажмите редактировать.

В Частные UDP-порты печатать 500, 1701, 4500.

Нажмите Сохранить.

Нажмите Обновить и разрешите перезапуск базовой станции аэропорта.

Подключайтесь, используя различные клиенты

Все, что вам осталось сделать, это подключиться к вашим различным клиентским устройствам! Служба VPN на MacOS Server использует L2TP поверх IPSec в качестве модуля аутентификации, поэтому просто выберите эту версию VPN при настройке клиентов. Введите ваше имя пользователя и пароль, а также ваш общий ключ, который вы создали выше.

Как настроить и подключиться к VPN на iPhone и iPad

Вы настроили VPN-сервер MacOS?

Преимущества VPN-доступа не ограничиваются безопасным подключением к домашней или офисной сети. Это позволяет иметь зашифрованный трафик, так что ваше личное использование остается именно таким. Частный. Он предлагает уровень защиты от хакеров, пытающихся получить доступ к вашим паролям. Это удерживает интернет-провайдеров от сбора ваших привычек просмотра.

Вы настроили VPN-сервер MacOS? Вы планируете? Оставьте комментарий или вопрос ниже!

Источник