strongSwan VPN Client

Oficiální port Android populárního řešení strongSwan VPN.

# VLASTNOSTI A OMEZENÍ #

* Používá rozhraní VpnService API, které nabízí Android 4+. Zdá se, že zařízení některých výrobců tuto podporu postrádají – klient strongSwan VPN na těchto zařízeních nebude fungovat!
* Používá protokol výměny klíčů IKEv2 (IKEv1 *není* podporován)
* Používá IPsec pro datový provoz (L2TP *není* podporováno)
* Plná podpora pro změněnou konektivitu a mobilitu prostřednictvím MOBIKE (nebo opětovné autentizace)
* Podporuje autentizaci uživatelského jména/hesla EAP (jmenovitě EAP-MSCHAPv2, EAP-MD5 a EAP-GTC), stejně jako autentizaci RSA/ECDSA privátním klíčem/certifikátem pro ověřování uživatelů, podporován je také EAP-TLS s klientskými certifikáty
* Kombinovaná autentizace RSA/ECDSA a EAP je podporována pomocí dvou ověřovacích kol, jak je definováno v RFC 4739
* Certifikáty serveru VPN jsou ověřeny podle certifikátů CA předem nainstalovaných nebo nainstalovaných uživatelem v systému. Certifikáty CA nebo serveru používané k ověření serveru lze také importovat přímo do aplikace.
* Fragmentace IKEv2 je podporována, pokud ji podporuje server VPN (strongSwan tak činí od verze 5.2.1)
* Split-tunel umožňuje posílat pouze určitý provoz přes VPN a/nebo z něj vyloučit konkrétní provoz
* VPN pro jednotlivé aplikace umožňuje omezit připojení VPN na konkrétní aplikace nebo je vyloučit z jeho používání
* Implementace IPsec aktuálně podporuje algoritmy AES-CBC, AES-GCM, ChaCha20/Poly1305 a SHA1/SHA2
* Hesla jsou aktuálně uložena jako čistý text v databázi (pouze pokud jsou uložena s profilem)
* Profily VPN lze importovat ze souborů
* Podporuje spravované konfigurace prostřednictvím správy podnikové mobility (EMM)

Podrobnosti a seznam změn naleznete v našich dokumentech: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html

# OPRÁVNĚNÍ #

* READ_EXTERNAL_STORAGE: Umožňuje importovat profily VPN a certifikáty CA z externího úložiště v některých verzích systému Android
* QUERY_ALL_PACKAGES: Vyžaduje se v systému Android 11+ k výběru aplikací, které mají být ex-/zahrnuty do profilů VPN a volitelného případu použití EAP-TNC

# PŘÍKLAD KONFIGURACE SERVERU #

Příklad konfigurace serveru lze nalézt v našich dokumentech: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration

Vezměte prosím na vědomí, že název hostitele (nebo IP adresa) nakonfigurovaný pomocí profilu VPN v aplikaci *musí být* obsažen v certifikátu serveru jako přípona subjectAltName.

# ZPĚTNÁ VAZBA #

Odešlete hlášení o chybách a požadavky na funkce prostřednictvím GitHubu: https://github.com/strongswan/strongswan/issues/new/choose
Pokud tak učiníte, uveďte prosím informace o svém zařízení (výrobce, model, verzi operačního systému atd.).

Soubor protokolu zapsaný službou výměny klíčů lze odeslat přímo z aplikace.