strongSwan VPN Client

Oficiálny port Android populárneho riešenia strongSwan VPN.

# VLASTNOSTI A OBMEDZENIA #

* Používa rozhranie VpnService API, ktoré obsahuje Android 4+. Zdá sa, že zariadeniam od niektorých výrobcov chýba táto podpora – klient strongSwan VPN na týchto zariadeniach nebude fungovať!
* Používa protokol výmeny kľúčov IKEv2 (IKEv1 *nie je* podporovaný)
* Používa IPsec pre dátovú prevádzku (L2TP *nie je* podporované)
* Plná podpora pre zmenenú konektivitu a mobilitu prostredníctvom MOBIKE (alebo opätovnej autentifikácie)
* Podporuje autentifikáciu EAP užívateľským menom/heslom (konkrétne EAP-MSCHAPv2, EAP-MD5 a EAP-GTC), ako aj autentifikáciu súkromným kľúčom/certifikátom RSA/ECDSA na autentifikáciu používateľov, podporuje sa aj EAP-TLS s klientskymi certifikátmi
* Kombinovaná autentifikácia RSA/ECDSA a EAP je podporovaná použitím dvoch kôl autentifikácie, ako je definované v RFC 4739
* Certifikáty servera VPN sa overujú podľa certifikátov CA vopred nainštalovaných alebo nainštalovaných používateľom v systéme. Certifikáty CA alebo servera používané na overenie servera možno tiež importovať priamo do aplikácie.
* Fragmentácia IKEv2 je podporovaná, ak ju podporuje server VPN (strongSwan to robí od verzie 5.2.1)
* Split-tunel umožňuje odosielanie iba určitej prevádzky cez VPN a/alebo vylúčenie konkrétnej prevádzky z nej
* Sieť VPN pre jednotlivé aplikácie umožňuje obmedziť pripojenie VPN na konkrétne aplikácie alebo ich vylúčiť z používania
* Implementácia IPsec v súčasnosti podporuje algoritmy AES-CBC, AES-GCM, ChaCha20/Poly1305 a SHA1/SHA2
* Heslá sú momentálne uložené ako čistý text v databáze (iba ak sú uložené s profilom)
* Profily VPN je možné importovať zo súborov
* Podporuje spravované konfigurácie prostredníctvom správy podnikovej mobility (EMM)

Podrobnosti a zoznam zmien nájdete v našich dokumentoch: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html

# POVOLENIA #

* READ_EXTERNAL_STORAGE: Umožňuje importovať profily VPN a certifikáty CA z externého úložiska v niektorých verziách systému Android
* QUERY_ALL_PACKAGES: Vyžaduje sa v systéme Android 11+ na výber aplikácií, ktoré sa majú ex-/zahrnuté do profilov VPN a voliteľného prípadu použitia EAP-TNC

# PRÍKLAD KONFIGURÁCIE SERVERA #

Príklady konfigurácií servera možno nájsť v našich dokumentoch: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration

Upozorňujeme, že názov hostiteľa (alebo adresa IP) nakonfigurovaný pomocou profilu VPN v aplikácii *musí* obsahovať certifikát servera ako rozšírenie subjectAltName.

# SPÄTNÁ VÄZBA #

Uverejnite hlásenia o chybách a žiadosti o funkcie cez GitHub: https://github.com/strongswan/strongswan/issues/new/choose
Ak tak urobíte, uveďte informácie o vašom zariadení (výrobca, model, verzia operačného systému atď.).

Súbor denníka napísaný službou výmeny kľúčov možno odoslať priamo z aplikácie.