strongSwan VPN Client Описание
Официальный порт популярного VPN-решения StrongSwan для Android.
# ОСОБЕННОСТИ И ОГРАНИЧЕНИЯ #
* Использует API VpnService, представленный в Android 4+. Устройства некоторых производителей, похоже, не поддерживают эту функцию — VPN-клиент StrongSwan не будет работать на этих устройствах!
* Использует протокол обмена ключами IKEv2 (IKEv1 *не* поддерживается)
* Использует IPsec для трафика данных (L2TP *не* поддерживается)
* Полная поддержка измененных возможностей подключения и мобильности через MOBIKE (или повторную аутентификацию)
* Поддерживает аутентификацию EAP по имени пользователя и паролю (а именно EAP-MSCHAPv2, EAP-MD5 и EAP-GTC), а также аутентификацию по секретному ключу/сертификату RSA/ECDSA для аутентификации пользователей, также поддерживается EAP-TLS с клиентскими сертификатами.
* Комбинированная аутентификация RSA/ECDSA и EAP поддерживается за счет использования двух раундов аутентификации, как определено в RFC 4739.
* Сертификаты VPN-сервера проверяются по сертификатам CA, предварительно установленным или установленным пользователем в системе. Сертификаты ЦС или сервера, используемые для аутентификации сервера, также можно импортировать непосредственно в приложение.
* Фрагментация IKEv2 поддерживается, если ее поддерживает VPN-сервер (strongSwan делает это начиная с версии 5.2.1).
* Сплит-туннелирование позволяет отправлять через VPN только определенный трафик и/или исключать из него определенный трафик.
* VPN для каждого приложения позволяет ограничить VPN-подключение определенными приложениями или исключить их из его использования.
* Реализация IPsec в настоящее время поддерживает алгоритмы AES-CBC, AES-GCM, ChaCha20/Poly1305 и SHA1/SHA2.
* Пароли в настоящее время хранятся в базе данных в виде открытого текста (только если они хранятся вместе с профилем)
* Профили VPN можно импортировать из файлов.
* Поддержка управляемых конфигураций с помощью управления мобильностью предприятия (EMM).
Подробности и журнал изменений можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html.
# РАЗРЕШЕНИЯ #
* READ_EXTERNAL_STORAGE: позволяет импортировать профили VPN и сертификаты CA из внешнего хранилища в некоторых версиях Android.
* QUERY_ALL_PACKAGES: требуется на Android 11+ для выбора приложений для исключения/включения в профили VPN и дополнительного варианта использования EAP-TNC.
# ПРИМЕР КОНФИГУРАЦИИ СЕРВЕРА #
Примеры конфигураций сервера можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration.
Обратите внимание, что имя хоста (или IP-адрес), настроенное с помощью профиля VPN в приложении, *должно* содержаться в сертификате сервера как расширение subjectAltName.
# ОБРАТНАЯ СВЯЗЬ #
Публикуйте отчеты об ошибках и запросы функций через GitHub: https://github.com/strongswan/strongswan/issues/new/choose.
Если вы это сделаете, укажите информацию о вашем устройстве (производитель, модель, версия ОС и т. д.).
Файл журнала, записанный службой обмена ключами, можно отправить непосредственно из приложения.
# ОСОБЕННОСТИ И ОГРАНИЧЕНИЯ #
* Использует API VpnService, представленный в Android 4+. Устройства некоторых производителей, похоже, не поддерживают эту функцию — VPN-клиент StrongSwan не будет работать на этих устройствах!
* Использует протокол обмена ключами IKEv2 (IKEv1 *не* поддерживается)
* Использует IPsec для трафика данных (L2TP *не* поддерживается)
* Полная поддержка измененных возможностей подключения и мобильности через MOBIKE (или повторную аутентификацию)
* Поддерживает аутентификацию EAP по имени пользователя и паролю (а именно EAP-MSCHAPv2, EAP-MD5 и EAP-GTC), а также аутентификацию по секретному ключу/сертификату RSA/ECDSA для аутентификации пользователей, также поддерживается EAP-TLS с клиентскими сертификатами.
* Комбинированная аутентификация RSA/ECDSA и EAP поддерживается за счет использования двух раундов аутентификации, как определено в RFC 4739.
* Сертификаты VPN-сервера проверяются по сертификатам CA, предварительно установленным или установленным пользователем в системе. Сертификаты ЦС или сервера, используемые для аутентификации сервера, также можно импортировать непосредственно в приложение.
* Фрагментация IKEv2 поддерживается, если ее поддерживает VPN-сервер (strongSwan делает это начиная с версии 5.2.1).
* Сплит-туннелирование позволяет отправлять через VPN только определенный трафик и/или исключать из него определенный трафик.
* VPN для каждого приложения позволяет ограничить VPN-подключение определенными приложениями или исключить их из его использования.
* Реализация IPsec в настоящее время поддерживает алгоритмы AES-CBC, AES-GCM, ChaCha20/Poly1305 и SHA1/SHA2.
* Пароли в настоящее время хранятся в базе данных в виде открытого текста (только если они хранятся вместе с профилем)
* Профили VPN можно импортировать из файлов.
* Поддержка управляемых конфигураций с помощью управления мобильностью предприятия (EMM).
Подробности и журнал изменений можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html.
# РАЗРЕШЕНИЯ #
* READ_EXTERNAL_STORAGE: позволяет импортировать профили VPN и сертификаты CA из внешнего хранилища в некоторых версиях Android.
* QUERY_ALL_PACKAGES: требуется на Android 11+ для выбора приложений для исключения/включения в профили VPN и дополнительного варианта использования EAP-TNC.
# ПРИМЕР КОНФИГУРАЦИИ СЕРВЕРА #
Примеры конфигураций сервера можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration.
Обратите внимание, что имя хоста (или IP-адрес), настроенное с помощью профиля VPN в приложении, *должно* содержаться в сертификате сервера как расширение subjectAltName.
# ОБРАТНАЯ СВЯЗЬ #
Публикуйте отчеты об ошибках и запросы функций через GitHub: https://github.com/strongswan/strongswan/issues/new/choose.
Если вы это сделаете, укажите информацию о вашем устройстве (производитель, модель, версия ОС и т. д.).
Файл журнала, записанный службой обмена ключами, можно отправить непосредственно из приложения.
Если размещение этого приложения нарушает ваши права свяжитесь с нами.
