VPN a mobilon 2010/03/14
Az okostelefonok, angolul smartphone-ok korát éljük. Ezek a készülékek tartalmaznak TCP/IP potokollcsomagot, böngészőt, és alkalmazásokat telepíthetünk rájuk. Üzleti környezetben felmerülhet a kérdés, hogyan érhetjük róla el a céges hálózatot?
Ennek megvalósítására való tipikusan a VPN, asztali környezetben. A sokféle létező megoldás nehézkessé teszi a egész kérdést. Ebben a cikkben két vezető telefongyártó készülékeit fogom megnézni, képesek -e csatlakozni a Cisco UC520 beépített IPSec VPN szolgáltatásához.
Talán az egyik legnagyobb mobiltelefon cég a Nokia, üzleti készülékei közül volt szerencsém kipróbálni az E51-est és az E52-est. Mindkettő rendelkezik valamilyen alapértelmezetten beépített VPN klienssel. Ezen a linken meg lehet találni ezt a szoftvert, és van leírás is, iga angolul, az ISR routerhez történő illesztésre. A tapasztalatom ezzel kapcsolatban az, hogy a leírás elavult, nem tér ki arra, melyik telefon melyik verziós klienssel tud működni, és csak és kizárólag a tanúsítványos megoldást írja le, az osztottkulcsosat nem. Egyébként sikerült az utóbbit is megoldani, a Nokia VPN Policy Tool-lal kell generálni egy “iránylev” fájlt (.vpn) kiterjesztéssel, és ezt lefuttatni a telefonon.
Végül az E51-en indult el a dolog, igaz, minden kapcsolódáskor kérte a jelszót, amit elmenteni nem tudott, és a kis billentyűkön nem volt nagy élmény pötyögni. A kapcsolat stabilitása hagy kívánni valót maga után. Az E52-esen is elindult a dolog, bár 3G-s hálózatról nem sikerült csatlakozni. A tapasztalatom az, hogy a Nokia telefonok régebbi szériái működnek jobban.
A másik készülék meg inkább slágertéma, Az Apple iPhone. A 2.0-ás szoftver egyik nagy újítása volt, hogy beépítették a Cisco VPN klienst. Hivatalosan az ASA és VPN Concentrator sorozatokhoz készült, de működésre lehet bírni UC520-al is. A készülék tényleg egyszerűségéről híres. Nem kell policykkal játszani, sőt a tanúsítványra sincs szükség, csak opció. Egyetlen hibát véltem felfedezni, már ha ez hiba, és nem ez a rendeltetés szerinti működése, hogy csak az első hálózatot szedi össze az access-groupból. Tehát esetleg érdemes lehet az ilyen készülékekeknek egy külön groupot létrehozni:
crypto isakmp client configuration group iPhones
key nagyontitkos
dns 208.67.222.222 208.67.220.220
pool iphonedhcppool
acl vpnclient-iphoneacl
netmask 255.255.255.0
!
Majd a lényeg az acl-nél van:
ip access-list extended vpnclient-iphoneacl
permit ip 192.168.1.0 0.0.0.255 any
és ide hiába írogatunk többet, csak az első lesz érvényes. A jelszót ez a készülék sem jegyzi meg, csak egy kicsit könnyebb rajta gépelni.
Mire lehet ez nekünk jó? Elérhetjük belsős intranetünket, levelezésünket. Ezek a készülékek már mind rendelkeznek WLANnel, ezzel a megoldással gyakorlatilag mindent el fogunk érni amit eddig csak az irodai WLANon át sikerült. Exchange kiszolgáló elérése támogatott az iPhone esetén, de van ilyen Symbian program Nokiára (ezt még nem sikerült beüzemelnem). SharePoint intranetünket is elérhetjük böngészőből, de iPhonera van erre külön alkalmazás, az “iShare“. Akár SIP-es melléket is csinálhatunk magunknak ha van kliensünk a telefonon.
Elfelejtettem írni, de a DNS kiszolgálós sor is felesleges, ezt a beállítást sem veszi át egyik mobil kliens sem.