1. Stažení a instalace VPN klienta. Nevím z jakého důvodu, ale nefungují žádné vygooglené odkazy na stránky Nokia. Vypadá to jako by klienta stáhli nebo zpoplatnili. Odeslal jsem tedy oficiální dotaz na support Nokia, ale zatím jsem nedostal žádnou odpověď. Naštěstí se mi povedlo najít dva fungující odkazy:
- http://www.stud.fh-dortmund.de/~michael_g/Nokia_N71_VPN_client.sis
- http://marga.mobile9.com/download/content_delivery.php?key=MTgzL25va2lhbjgwdnAxODQ4MDkuc2lzfDExOTcyMDM4Nzh8
2. Vytvoření souboru my-vpn.pin s následujícím obsahem:
[POLICYNAME]
MY VPN Policy
[POLICYDESCRIPTION]
my-vpn.pol for MY VPN
[POLICYVERSION]
1.1
[ISSUERNAME]
Do not edit
[CONTACTINFO]
Do not edit
3. Vytvoření souboru my-vpn.pol s následujícím obsahem:
SECURITY_FILE_VERSION: 3
[INFO]
my-vpn.pol for MY VPN
[POLICY]
sa ipsec_1 = {
esp
encrypt_alg 12
max_encrypt_bits 256
auth_alg 3
identity_remote 0.0.0.0/0
pfs
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
}
remote 0.0.0.0 0.0.0.0 = { ipsec_1(IP_firewallu) }
inbound = { }
outbound = { }
[IKE]
ADDR: IP_firewallu 255.255.255.255
MODE: Aggressive
SEND_NOTIFICATION: TRUE
ID_TYPE: 11
FQDN: nazev_grupy
GROUP_DESCRIPTION_II: MODP_1536
USE_COMMIT: FALSE
IPSEC_EXPIRE: FALSE
SEND_CERT: FALSE
INITIAL_CONTACT: FALSE
RESPONDER_LIFETIME: TRUE
REPLAY_STATUS: TRUE
USE_INTERNAL_ADDR: FALSE
USE_NAT_PROBE: FALSE
ESP_UDP_PORT: 0
NAT_KEEPALIVE: 60
USE_XAUTH: TRUE
USE_MODE_CFG: TRUE
REKEYING_THRESHOLD: 90
PROPOSALS: 1
ENC_ALG: AES256-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: SHA1
GROUP_DESCRIPTION: MODP_1536
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 28800
PRF: NONE
PRESHARED_KEYS:
FORMAT: STRING_FORMAT
KEY: 15 heslo_pro_grupu
Zde je veškerá konfigurace VPN, která musí korespondovat s nastavením firewallu. Nezapomeňte nastavit IP firewallu (2x), název grupy a heslo pro grupu na kterou se bude připojovat. Číslo před heslem pro grupu oznamuje délku hesla (je to počet znaků hesla). Výše uvedený příklad je konfigurace pro PreSharedKey, šifrování AES 256 bitů.
4. Vytvoření souboru my-vpn.pkg s následujícím obsahem:
%{"Vendor-EN"}
:"MY ID"
&EN
#{"MY VPN Policy"},(0x3D08B4F7),1,0,0,TYPE = SA
"my-vpn.pol"-"C:\System\Data\Security\Install\my-vpn.pol"
"my-vpn.pin"-"C:\System\Data\Security\Install\my-vpn.pin",
FM, "application/x-ipsec-policy-info"
(0x3D08B4F7), 1, 0, 0, {"VPN Policy Installer"}
[0x102032BE], 0, 0, 0, {"S60ProductID"}
Pozor: Cesty k souborům se netýkají PC, ale telefonu, takže je neměňte, jinak VPN client nedokáže v telefonu příslušnou politiku najít.
Dále se v souboru vyskytují dvě hexa čísla (první se vyskytuje 2x). První z čísel je ID aplikace VPN Client. Zjistíte jej v detailech u nainstalované aplikace v telefonu. Druhé číslo je verze Symbianu. Pro detaily viz seznam kódů.
5. Kompilace a certifikace SIS souboru
Kompilaci provedete pomocí programu makesis.exe, který si vygooglete a nainstalujte. Po kompilaci je třeba ještě výsledný SIS soubor podepsat certifikátem. Pro detailní postup certifikace viz můj předchozí článek v blogu.
Já používám následující dávkový soubor, který samozřejmě není nutný, mužete si vše zadat ručně z konzole.
del my-vpn.sis
del my-vpn.sisx
makesis -v my-vpn.pkg my-vpn.sis
signsis -cd -o -s -v my-vpn.sis my-vpn.sisx my.cer my.key key
6. Instalace do telefonu. Nainstalujte výsledný sobour my-vpn.sisx do telefonu.
7. Konfigurace VPN klienta. Menu -> Settings -> Connection -> VPN -> VPN access points, vytvořte nový přístupový bod. VPN policy bude My VPN Policy, a vyberte vhodný Internet Access point.
8. Nyní můžete využívat výše uvedený VPN access point pro různé síťové aplikace.
Známé chyby: Nefunguje mi DNS, zatím jsem nepřišel na příčinu.
Pro inspiraci přikládám i relevantní část konfigurace Cisca:
crypto isakmp policy 5
encr aes 256
authentication pre-share
group 5
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 30 5
!
crypto isakmp client configuration group MYGROUNAME
key HESLO
dns 192.168.neco.neco
domain mydomain.cz
pool POOL_MYGROUPNAME
acl ACL_CRYPTO_MYGROUPNAME
include-local-lan
netmask 255.255.255.0
!
crypto ipsec transform-set ESP-AES-SHA esp-aes 256 esp-sha-hmac
crypto ipsec fragmentation after-encryption
crypto ipsec df-bit clear
!
crypto dynamic-map DYNMAP_1 1
set ip access-group ACL_DYN_TUNNEL_ACCESS in
set security-association idle-time 3600
set transform-set ESP-AES-SHA
reverse-route
!
The certificate of the N97 VPN client has expired?
OdpovědětVymazatThe marga link is dead?
Do I need to install the VPN client on my phone seperately? Shouldn't it already be installed, but just in need of a policy?