¿Es posible en iOS activar una VPN siempre activa y sin pérdidas? He escuchado que esto solo se puede hacer en modo supervisado y con un proveedor de VPN que admita "IKEv2", ¿es correcto? ¿Hay algún inconveniente en este enfoque, para el uso diario en un teléfono personal?
También, ¿el modo supervisado es configurable en Windows / Linux?
Es posible activar VPN "siempre activa" activando la opción "Conectar a pedido" a través de un perfil VPN tanto en iOS como en OSX / MacOS.
Por ejemplo, algunos proveedores comerciales de VPN hacen eso.
Sin embargo, eso solo se aplica a cualquier tipo de VPN realizada / configurada a través del cliente nativo, y no a VPN de terceros como OpenVPN.
El comportamiento de las VPN de Connect on demand es que tan pronto como los paquetes TCP / IP intentan dejar el iDevice, la VPN aumenta.
Lo he estado usando con VPN con IPsec con IKEv1 en iOS 8 y iOS 9, por lo que el requisito de IKEv2 no parece aplicarse. También lo he estado usando sin modo supervisado.
El archivo de perfil es un archivo xml, que se puede escribir a mano o con la ayuda de las herramientas de Apple. El archivo debe tener una extensión .mobileconfig y el navegador Safari debe cargarlo en iOS.
Como ejemplo, estoy usando este archivo, para un túnel VPN completo, IPsec "Cisco" con contraseña de grupo y autenticación XAUTH de usuario.
Pongo "Cisco", porque en mi caso, los servidores VPN son, respectivamente, un firewall PfSense y un servidor Debian de Linux.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>IPSec</key>
<dict>
<key>AuthenticationMethod</key>
<string>SharedSecret</string>
<key>LocalIdentifier</key>
<string>*group_name*</string>
<key>LocalIdentifierType</key>
<string>KeyID</string>
<key>RemoteAddress</key>
<string>*11.11.11.11*</string>
<key>SharedSecret</key>
<data>
*ksjksdjksdf*
</data>
<key>XAuthEnabled</key>
<integer>1</integer>
<key>XAuthName</key>
<string>*username*</string>
<key>XAuthPassword</key>
<string>*password*</string>
<key>DisconnectOnIdle</key>
<integer>0</integer>
<key>OnDemandEnabled</key>
<integer>1</integer>
<key>OnDemandRules</key>
<array>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array>
</dict>
<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
<integer>1</integer>
</dict>
<key>PayloadDescription</key>
<string>Configures VPN settings, including authentication.</string>
<key>PayloadDisplayName</key>
<string>*VPN (MyHOME)*</string>
<key>PayloadIdentifier</key>
<string>*com.myhome.pt.vpn*</string>
<key>PayloadOrganization</key>
<string>*MY-HOME*</string>
<key>PayloadType</key>
<string>com.apple.vpn.managed</string>
<key>PayloadUUID</key>
<string>D758D99C-7CCE-44DC-8CAE-B2A5FFC86985</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>Proxies</key>
<dict/>
<key>UserDefinedName</key>
<string>*VPN My-HOME*</string>
<key>VPNType</key>
<string>IPSec</string>
</dict>
</array>
<key>PayloadDescription</key>
<string>*VPN provisioning for My-HOME*</string>
<key>PayloadDisplayName</key>
<string>*MY-HOME*</string>
<key>PayloadIdentifier</key>
<string>*com.myhome.pt*</string>
<key>PayloadOrganization</key>
<string>*MY-HOME*</string>
<key>PayloadRemovalDisallowed</key>
<false/>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>A8E086BE-C9B1-4EA8-9E6A-F25001E0A293</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Como usted sospecha correctamente, hay desventajas en este enfoque. Mientras que el perfil de conexión bajo demanda está activo, no parece que se realicen las activaciones periódicas para obtener datos (al menos hasta iOS 9, aún se debe probar iOS 10), y como tal, las llamadas de FaceTime no siempre se reciben mientras el dispositivo está "inactivo ").
La documentación de Apple sobre estas directivas es aquí . Las "claves de diccionario IPSec" son de particular interés.
Sí, necesitas IKEv2 y tu dispositivo debe estar supervisado por un mac. Siempre en VPN y bajo demanda no es lo mismo.