Je ne suis pas du tout un utilisateur Mac, donc j’ai besoin d’aide ici. D’après ce que m’ont dit mes collègues utilisant Mac, les Mac disposent d’un client VPN intégré. La société a récemment revu ses normes de sécurité et les connexions VPN IPsec utilisant le Mode agressif ne sont plus autorisées. J’ai vérifié les VPN RA et seul le Mac utilise le mode AG.
Donc, y a-t-il un client VPN (de préférence gratuit) qui peut être configuré pour utiliser MM ?
La passerelle VPN est un Cisco ASA. Mon patron refuse de payer les frais de licence pour le client AnyConnect, donc nous utilisons toujours le client IPsec.
Tout d’abord, ils utilisent probablement le mode agressif parce que votre ASA est configuré pour le permettre. Modifiez la configuration de l’ASA et votre problème pourrait être résolu.
Sinon, regardez l’application « Apple Configurator », qui vous permet de générer des profils VPN très configurables, que vous pouvez distribuer à vos utilisateurs. Avec cette approche, vous aurez accès à tous les paramètres IPSec que vous attendez, y compris le mode principal/mode agressif.
Nous utilisons (et utilisons encore) différents modèles ASA avec VPN IPSec classique pour Mac ainsi que l’AnyConnect ces dernières années. Je n’ai jamais utilisé le mode agressif cependant.
Cela serait attendu, sauf si les clients VPN ont une logique intégrée pour faire défiler les modes si la connexion échoue. Le bon sens veut que le changement en mode principal sur le serveur VPN soit associé à la modification des configurations du client VPN pour utiliser aussi le mode principal.
Pouvez-vous configurer le Mac pour ne pas utiliser le mode agressif ? Si oui, comment ?
Malheureusement, je n’ai pas de Mac pour expérimenter, je dois donc comprendre comment ça fonctionne avant de faire quitter un de nos utilisateurs Mac pour changer les réglages VPN…
Vous construisez un profil de configuration VPN en utilisant l’Apple Configurator mentionné ci-dessus, puis vous le déployez sur la machine de l’utilisateur. Apple expose très peu de paramètres de configuration via l’interface graphique, vous devez donc le faire en construisant un fichier plist avec votre configuration désirée.
C’est dommage. Les choix évidents sont soit de rester en mode agressif, soit de passer à un client qui peut utiliser le mode principal, mais je n’ai clairement pas besoin de vous le dire.
