Настройка клиента iOS/macOS
Создание сертификата и профиля клиента
Сертификаты и ключи клиентского устройства мы будем создавать на нашем сервере вызовом скрипта из данного проекта.
Следует напомнить, что в примере, описанном в инструкции по настройке сервера, сервер был назван
oscar
и доступ к нему осуществлялся по oscar.domain.com
. Эти данные будут взяты из конфигурационного файла
config.json
. Назовем клиентское устройство, my_iphone
:
Создание сертификата и профиля для устройства iOS/macOS:
./gen_client_key.py -a my_iphone
В результате создан профиль clients/my_iphone/my_iphone.mobileconfig
Если указать при запуске скрипта вместо -a
команду -ak
, то скрипт не удалит созданные ключ и сертификат клиента:
/etc/ipsec.d/certs/my_iphone.pem
— сертификат клиентского устройства;
/etc/ipsec.d/private/my_iphone.pem
— закрытый ключ.
В обычной жизни они вряд ли понадобятся.
Импорт профиля на устройство
Созданный на предыдущем этапе профиль my_iphone.mobileconfig
следует отправить на ваше устройство любым
способом, телеграмом, дропбоксом или как-то иначе.
Телеграм и дропбокс этот файл открывают как текстовый, так не пойдет — в этом случае файл необходимо экспортировать и сохранить на самом устройстве. После этого найти его в стандартном приложении “Files”, ткнуть на него и он автоматически будет “скачан” как профиль настроек VPN.
После этого надо перейти в настройки (Settings
) и найти появившийся пункт Downloaded profiles
, зайти туда, и скачанный профиль установить,
согласившись с предупреждениями о самоподписанном корневом сертификате. Останется только включить VPN, чтобы все
заработало.
Настройка Connect on demand
по-умолчанию отключена. Если она требуется,
то идем в Settings → General → VPN & Device Management
, там находим профиль под именем нашего
VPN-сервера и в нем уже включаем Connect on demand
.