Отключить macOS ipsec

Обновлено: 21.11.2024

Начиная с OS X 10.11 (El Capitan) можно настроить VPN типа IKEv2 вручную в графическом интерфейсе без необходимости в файле конфигурации профиля VPN. Базовая конфигурация для IKEv2 интегрирована в настройки управления сетью так же, как и другие подключения, но она весьма ограничена.

Пакет ipsec-profile-wizard в программном обеспечении pfSense® Plus создает набор файлов, которые могут автоматически импортировать настройки VPN в Apple OS X и iOS (VPN > Экспорт IPsec: профиль Apple), а также в клиенты Windows (VPN > IPsec Экспорт: Windows).

Эта функция обеспечивает гораздо большую гибкость в настройках, поскольку она будет настраивать клиентов в соответствии с тем, что установлено на сервере, а не заставлять сервер приспосабливаться к настройкам по умолчанию в различных операционных системах.

Этот пакет является эксклюзивным для программного обеспечения pfSense ® Plus и недоступен в версии для сообщества.

Если пакет еще не установлен, добавьте его с помощью диспетчера пакетов.

Рекомендуется использовать профиль VPN, например, из Apple Configurator или из пакета экспорта IPsec. Профиль требует меньшей настройки на клиенте и может использовать более безопасные и более быстрые параметры, чем клиент по умолчанию. Кроме того, без использования профиля может оказаться невозможным создать конфигурацию мобильного IPsec, изначально поддерживающую различные типы клиентов.

Импорт сертификата ЦС в OS X¶

Сертификат ЦС VPN-сервера должен быть импортирован, прежде чем клиент сможет подключиться.

Скопируйте сертификат ЦС в систему OS X

Дважды щелкните файл сертификата ЦС в Finder (рис. Файл сертификата OS X в Finder), чтобы открыть доступ к связке ключей

Файл сертификата OS X в Finder ¶

Установите для цепочки ключей значение Система в диалоговом окне "Добавить сертификаты"

Доступ к цепочке ключей OS X Добавить сертификат ¶

Нажмите "Добавить"

Если это диалоговое окно не появляется, а ЦС добавлен в другую связку ключей, найдите его в Доступе к связке ключей и перетащите в системную связку ключей.

Найдите импортированный сертификат в разделе Система, Сертификаты, как показано на рисунке Список сертификатов системы доступа к цепочке ключей OS X

Список сертификатов системы доступа к связке ключей OS X ¶

Нажмите на сертификат

Нажмите «Файл» > «Получить информацию».

Расширить доверие

Установите при использовании этого сертификата значение Всегда доверять, как показано на рисунке Настройки доверия сертификата OS X

Настройки доверия сертификатов OS X ¶

Нажмите красную кнопку закрытия, чтобы закрыть окно информации о сертификате

Это инициирует запрос аутентификации, чтобы разрешить изменение.

Введите учетные данные для входа и нажмите «Обновить настройки».

Закрыть доступ к связке ключей

Сертификат теперь находится в системных сертификатах и ​​помечен как доверенный, поэтому его можно использовать для VPN.

Настройка VPN-подключения¶

Открыть Системные настройки

Нажмите "Сеть"

Нажмите значок блокировки и введите учетные данные, чтобы внести изменения, если настройки еще не разблокированы

Нажмите +, чтобы добавить новую запись VPN, как показано на рисунке OS X. Кнопка «Добавить сеть»

Кнопка добавления сети в OS X ¶

Выберите VPN для интерфейса

Выберите IKEv2 в качестве типа VPN (по умолчанию)

Задайте для названия службы описание VPN (например, ExampleCo Mobile VPN ), чтобы заполнить форму, которая будет выглядеть примерно так, как показано на рисунке OS X. Запрос на создание VPN

Подсказка создания VPN для OS X ¶

Нажмите "Создать"

Введите имя хоста брандмауэра в DNS в качестве адреса сервера

Введите имя хоста брандмауэра еще раз в Remote ID

Это должно совпадать с общим именем сертификата сервера и записью SAN.

Оставьте локальный идентификатор пустым, настройки теперь будут выглядеть так, как показано на рисунке OS X IKEv2 VPN Settings

Настройки OS X IKEv2 VPN ¶

Нажмите Настройки аутентификации

Выберите имя пользователя

Введите имя пользователя и пароль, как показано на рисунке OS X IKEv2 VPN Authentication Settings

В случае EAP-MSCHAPv2 имя пользователя – это идентификатор, настроенный для входа пользователя на вкладке Pre-Shared Keys в разделе VPN > IPsec. При использовании EAP-RADIUS это будет имя пользователя, установленное на сервере RADIUS.

Настройки аутентификации OS X IKEv2 VPN ¶

Отметьте флажок Показать статус VPN в строке меню (при желании)

Нажмите "Применить"

Подключение и отключение¶

Управлять подключением можно несколькими способами. Первый способ — нажать «Подключить» или «Отключить» в записи VPN в настройках сети. Второй, более простой способ — установить флажок «Показать статус VPN» в строке меню в настройках VPN, а затем управлять подключением с помощью этого значка, как показано на рис. Меню статуса VPN в OS X.

жирный волк

макруморс новичок

Всем привет. Я только что столкнулся с проблемой, которая меня убивает. По какой-то причине мне нужно сделать VPN-соединение для Интернета в моем новом офисе. Проблема в том, что VPN - это L2TP без IPSec. Я попытался просто очистить раздел сертификата машины в настройках VPN, но это просто выдало мне ошибку об «отсутствующем сертификате машины». Итак, кто-нибудь знает, как это сделать, или это просто невозможно? Заранее огромное спасибо!

надин

макруморс 6502a

Это полностью зависит от того, как настроена ваша сеть. Похоже, вам нужно как-то сгенерировать сертификат. Я находил другого пользователя Mac и спрашивал его, как он настроился в первый раз.

В моей корпоративной сети мне нужно пройти через окно Windows, чтобы сгенерировать нужный мне сертификат. Но у вас может быть по-другому, так что вам, вероятно, придется поспрашивать.

жирный волк

макруморс новичок

Это полностью зависит от того, как настроена ваша сеть. Похоже, вам нужно как-то сгенерировать сертификат. Я находил другого пользователя Mac и спрашивал его, как он настроился в первый раз.

В моей корпоративной сети мне нужно пройти через окно Windows, чтобы сгенерировать нужный мне сертификат. Но у вас может быть по-другому, так что вам, вероятно, придется поспрашивать.


Спасибо за ответ. Но я не думаю, что сертификат - это проблема, которая у меня есть. Сетевой центр сказал, что эта VPN не использует IPSec для защиты передачи данных (что звучит просто глупо для меня), и если вы используете Windows, вам действительно нужно использовать regedit, чтобы отключить IPSec для работы. Насколько я знаю, сертификат предназначен для IPSec, поэтому единственная проблема, которую я думаю, заключается в том, как отключить его в Leopard.

надин

макруморс 6502a

Отказ от ответственности: я не эксперт по безопасности, поэтому могу ошибаться здесь.

Но L2TP — это просто расширение PPTP, поэтому создайте новое VPN-подключение, используя PPTP, и посмотрите, работает ли оно.

жирный волк

макруморс новичок

Отказ от ответственности: я не эксперт по безопасности, поэтому могу ошибаться здесь.

Но L2TP — это просто расширение PPTP, поэтому создайте новое VPN-подключение, используя PPTP, и посмотрите, работает ли оно.

надин

макруморс 6502a

ДжеймсАрм97

макруморс 65816

У меня точно такая же проблема. Нам нужно подключиться к компании Crossbridge Solutions для доступа к беспроводным модемам через vpn. Они отключают IPSec в реестре, и я всю жизнь не мог подключиться с помощью Mac вместо Windows. Все, что вы используете, это имя сервера vpn, имя пользователя и пароль. Нет сертификатов или общего ключа.

колесоspng

макруморс новичок

L2TP без IPsec на Mac

Привет, ребята, у меня проблемы с подключением моего macbook pro через VPN с использованием L2TP без Ipsec. IPsec отключен для Windows. и отлично работает на окнах. Однако я не могу подключиться с помощью Mac, потому что он продолжает запрашивать общий ключ? МОЖЕТ КТО-НИБУДЬ ПОМОЧЬ?

sim667

макруморс 65816

Было бы намного полезнее, если бы вы разместили точное сообщение, которое mac os x выдает вам, когда вы не можете подключиться.

Однако, если это для работы, тогда ваш ИТ-отдел должен разобраться с этим.

Проблема, с которой вы можете столкнуться, заключается в том, что Mac OS X требует принудительного шифрования при подключении к VPN, однако, если VPN не настроена как таковая, у вас могут возникнуть проблемы с подключением. Я настроил PPTP vpn на маршрутизаторе ddwrt. Однако маршрутизатор по умолчанию не требует шифрования, поэтому мне пришлось использовать командную строку на маршрутизаторе linux ddwrt, чтобы изменить файл настроек на самом маршрутизаторе. Это давало мне аналогичную ошибку сертификата, прежде чем я внес изменение.

Прежде чем начать, вам необходимо получить данные своей учетной записи VPN в клиентской зоне StrongVPN.
Чтобы войти в клиентскую зону, вам необходимо использовать свою электронную почту в качестве логина. Пароль — это тот, который вы создали при первом заказе (если, конечно, вы его с тех пор не меняли).
Вы можете войти с сайта StrongVPN, ссылка вверху :

После входа в систему наведите указатель мыши на пункт «Учетные записи VPN» вверху, затем выберите пункт меню «Сводка учетных записей VPN».

Нажмите "Получить файл конфигурации OpenVPN" рядом с учетной записью OpenVPN/IPSec.

На этой странице вы увидите учетные данные для настройки учетной записи: адрес сервера, имя пользователя, пароль и секрет.

Обратите внимание: учетные данные на экране выше не будут работать — это всего лишь пример.

Мы рекомендуем оставить окно Инструкции по настройке учетной записи открытым, так как эта информация понадобится вам для настройки.
Убедитесь, что у вас есть учетные данные, пока вы не закончите.

Это руководство создано для Mac OS X 10.8 (Mountain Lion), но оно протестировано и совместимо со всеми версиями macOS от 10.6 до 10.12.
Этапы одинаковы.

Шаг 1

Начните с нажатия значка Apple в левом верхнем углу экрана (верхняя панель).
Перейдите в «Системные настройки…».

Шаг 2

Перейдите в «Сеть».

Шаг 3

В окне «Сеть» нажмите кнопку «+» в левом нижнем углу списка подключений (слева, рядом со значком замка). Это добавит новое соединение.

Шаг 4

Для «Интерфейс» выберите «VPN».
Для «Тип VPN» выберите «Cisco IPSec».
«Имя службы» — это имя подключения, оно может быть любым по вашему усмотрению. , мы рекомендуем изменить его на «StrongVPN (Cisco IPSec)». (Обратите внимание, что если у вас уже есть соединение с таким именем, вы не сможете сохранить конфигурацию.)

Нажмите кнопку «Создать».

Шаг 5

Выберите созданное подключение в списке слева.

"Адрес сервера" – это ваши учетные данные, которые вы получаете в Личном кабинете в начале этого руководства. Если вы не знаете, где его взять, прокрутите страницу вверх, там вы найдете инструкции.
Имя в поле «Адрес сервера» должно быть IP-адресом с этой страницы, а не «127.0.0.0.0». 0.1», это просто пример.
Заполните поля «Имя учетной записи» и «Пароль» своими учетными данными, которые вы получили ранее.
«Имя пользователя» — это логин, а не ваш адрес электронной почты.

Отметьте «Показывать статус VPN в строке меню».

Шаг 6

Нажмите кнопку "Настройки аутентификации...".

Шаг 7

Выберите «Общий секрет» для проверки подлинности компьютера.
Вашим секретом для IPSec являются ваши учетные данные, которые вы получили ранее в Личном кабинете.

Нажмите кнопку «ОК», а затем «Применить» в предыдущем окне.

Шаг 8

Теперь нажмите значок VPN на верхней панели (справа, рядом с часами) и выберите «Подключить StrongVPN (Cisco IPSec)».

Шаг 9

Появится статус «Подключение…», а затем «Аутентификация…».

Шаг 10

При подключении к VPN вы увидите текущее время рядом со значком VPN.

Шаг 11

Готово. Вы подключены.

Подключение IPSec в macOS 10.6—10.12

Если вы правильно установили флажок о статусе VPN в строке меню на шаге 5, у вас должен появиться значок VPN на верхней панели (справа, рядом с часами — значок выглядит как батарея).
Нажмите на этом значке и выберите «Подключить StrongVPN (Cisco IPSec)».
Если у вас его нет, щелкните значок Apple вверху слева, перейдите в «Системные настройки…» > «Сеть».
Выберите Соединение StrongVPN (Cisco IPSec) в списке подключений и нажмите кнопку «Подключиться».

Отключение IPSec в macOS 10.6—10.12

Если у вас есть значок VPN на верхней панели (справа, рядом с часами — значок выглядит как батарея) и время рядом с ним, просто нажмите на этот значок и выберите «Отключить StrongVPN (Cisco IPSec)». ».
Если у вас его нет, щелкните значок Apple вверху слева, перейдите в «Системные настройки…» > «Сеть».
Выберите соединение StrongVPN (IKEv2) в списке подключений и нажмите « кнопку «Отключить».

Функция IPsec VPN Server по умолчанию отключена. Вы можете легко включить его, выполнив следующие действия.

Руководство по настройке

Запустите диспетчер VPN-серверов

Запустите SoftEther VPN Server Manager (который работает в Windows, но может подключаться к удаленному SoftEther VPN Server, работающему в Linux, Mac OS X или другой UNIX). В диспетчере серверов вы можете увидеть кнопку «Настройка L2TP/IPsec». Нажмите на нее.

Значения каждой опции следующие:

  • Функция L2TP-сервера (L2TP через IPsec)
    Эта функция предназначена для приема VPN-подключений от iPhone, iPad, Android и других смартфонов, а также встроенного VPN-клиента L2TP/IPsec в Windows или Mac OS X. Включить это, если вы хотите поддерживать одно из этих устройств в качестве VPN-клиента.
  • Функция сервера L2TP (необработанный L2TP без шифрования)
    Некоторые специально настроенные VPN-маршрутизаторы или клиентские устройства используют только протокол L2TP без шифрования IPsec. Чтобы поддерживать такое странное устройство, вы должны включить его.
  • Функция сервера EtherIP/L2TPv3 через IPsec
    Если вы хотите построить VPN-подключение типа «сеть-сеть» (удаленный мост Ethernet уровня 2), включите EtherIP/L2TPv3 через IPsec. Вы должны добавить определение пограничного устройства в список.
  • Предварительный общий ключ IPsec
    Предварительный общий ключ IPsec иногда называют «PSK» или «секретным». Эта строка по умолчанию «vpn». Тем не менее, рекомендуется изменить его. Вы должны сообщить последний ключ всем пользователям VPN.

Как включить и настроить IPsec с помощью vpncmd

Если вы не можете использовать графический интерфейс диспетчера VPN-сервера для Windows, в качестве альтернативы вы можете использовать vpncmd для активации и настройки функции IPsec VPN-сервера с помощью команды IPSecEnable. Чтобы узнать, как это сделать в vpncmd, запустите «IPsecEnable?» в командной строке vpncmd.

Как пользователь L2TP/IPsec VPN должен указать свое имя пользователя для входа в систему? (со стандартной аутентификацией по паролю)

Основной принцип; когда пользователь VPN хочет установить VPN-соединение с SoftEther VPN-сервером с функцией IPsec/L2TP VPN-сервера, он должен указать имя виртуального концентратора назначения в поле имени пользователя.

Например, предположим, что VPN-сервер SoftEther имеет два виртуальных концентратора: "HUB1" и "HUB2" . И есть пользователь "yas" в "HUB1" и "jiro" в "HUB2".

В этом случае укажите имя виртуального концентратора назначения после имени пользователя с добавлением символа '@', например "[email protected]" или "[email protected]" . Обратите внимание, что и имя пользователя, и имя концентратора нечувствительны к регистру.

Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настроек IPsec. Если имя целевого виртуального концентратора в имени пользователя, пытающегося войти в систему, опущено, то предполагается, что виртуальный концентратор по умолчанию назначается пользователем.

Например, если виртуальным концентратором по умолчанию является «HUB2», пользователь «jiro» на HUB2 может войти в систему только «jiro». "@HUB2" можно опустить.

Как пользователь L2TP/IPsec VPN должен указать свое имя пользователя для входа в систему? (с аутентификацией домена RADIUS ИЛИ NT)

Основной принцип; когда пользователь VPN хочет установить VPN-соединение с SoftEther VPN-сервером с функцией IPsec/L2TP VPN-сервера, он должен указать имя виртуального концентратора назначения в поле имени пользователя.

Например, предположим, что VPN-сервер SoftEther имеет два виртуальных концентратора: "HUB1" и "HUB2" . И есть пользователь "yas" в "HUB1" и "jiro" в "HUB2".

В этом случае укажите имя виртуального концентратора назначения перед именем пользователя с добавлением символа '\', например, "HUB1\yas" или "HUB2\jiro" . Обратите внимание, что и имя пользователя, и имя концентратора нечувствительны к регистру.

Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настроек IPsec. Если имя целевого виртуального концентратора в имени пользователя, пытающегося войти в систему, опущено, то предполагается, что виртуальный концентратор по умолчанию назначается пользователем.

Например, если виртуальным концентратором по умолчанию является «HUB2», пользователь «jiro» на HUB2 может войти в систему только «jiro». "HUB2\" можно опустить.

Аутентификация пользователя с функцией L2TP/IPsec VPN

Вы должны создать объект пользователя, прежде чем пользователь попытается подключиться к VPN-подключению с помощью функции L2TP/IPsec. Вы не можете использовать аутентификацию сертификата для L2TP/IPsec VPN Function в текущей версии SoftEther VPN Server.

Конфигурация для EtherIP/L2TPv3

EtherIP и L2TPv3 предназначены для использования VPN-маршрутизаторов для создания VPN типа "сеть-сеть". Вы можете нажать кнопку «Подробные настройки EtherIP / L2TPv3» на экране конфигурации, чтобы добавить запись клиентского устройства в список. В записи клиентского устройства в списке строка идентификатора ISAKMP (IKE) фазы 1 и соответствующие учетные данные (имя пользователя и пароль пользователя, зарегистрированного на целевом виртуальном концентраторе).

Вы можете указать звездочку ('*') в качестве подстановочного знака для имени пользователя в записи. Такая запись будет применяться для любых попыток входа в систему маршрутизатора VPN-клиента с удаленной стороны.

Подробные настройки сервера EtherIP/L2TPv3

Отключите все функции IPsec/L2TP на сервере, которые могут конфликтовать с функциями IPsec/L2TP SoftEther VPN Server. Если порты UDP (500, 4500 и 1701) конфликтуют с другими программами, связь IPsec будет работать неправильно.

Если вы включите функцию IPsec/L2TP в SoftEther VPN Server, функция IPsec/L2TP в Windows будет временно отключена.

Назначение IP-адреса для пользователей, вошедших в L2TP

В функции L2TP IP-адрес VPN-клиента должен автоматически назначаться DHCP-сервером в целевом сегменте виртуального концентратора.

Поэтому у вас должен быть хотя бы один работающий DHCP-сервер в целевом сегменте L2, в который L2TP VPN-клиент пытается войти.

IP-адрес будет арендован у DHCP-сервера, и IP-адрес будет назначен в сеансе клиента L2TP VPN. Шлюз по умолчанию, маска подсети, адрес DNS и адрес WINS также будут применяться к клиенту L2TP VPN. Поэтому, если нет DHCP-сервера, вход в систему невозможен.

Вы можете использовать любой DHCP-сервер, который уже существует в вашей локальной сети. Вы можете использовать функцию виртуального DHCP-сервера SecureNAT, которая реализована на SoftEther VPN-сервере, если у вас нет DHCP-серверов в локальной сети.

Как обойти NAT/брандмауэр?

Если ваш SoftEther VPN-сервер находится за NAT или брандмауэром, вы должны открыть порты UDP 500 и 4500. По NAT UDP 500 и 4500 должны передаваться на VPN-сервер. Если существуют фильтры пакетов или брандмауэры, откройте порты UDP 500 и 4500.

Читайте также: