strongSwan VPN Client Application
Port officiel d'Android de la solution VPN populaire strongSwan.
CARACTÉRISTIQUES ET LIMITATIONS
- Utilise l'API VpnService proposée par Android 4+. Les appareils de certains fabricants semblent manquer de support pour cela - le client VPN strongSwan ne fonctionnera pas sur ces appareils !
- Utilise le protocole d'échange de clés IKEv2 (IKEv1 n'est pas supporté)
- Utilise IPsec pour le trafic de données (L2TP n'est pas supporté)
- Support complet pour la connectivité et la mobilité modifiées via MOBIKE (ou réauthentification)
- Supporte l'authentification EAP par nom d'utilisateur/mot de passe (notamment EAP-MSCHAPv2, EAP-MD5 et EAP-GTC) ainsi que l'authentification par clé privée/certificat RSA/ECDSA pour authentifier les utilisateurs, EAP-TLS avec certificats clients est également supporté
- L'authentification combinée RSA/ECDSA et EAP est prise en charge en utilisant deux tours d'authentification comme défini dans la RFC 4739
- Les certificats de serveur VPN sont vérifiés par rapport aux certificats CA préinstallés ou installés par l'utilisateur sur le système. Les certificats CA ou serveurs utilisés pour authentifier le serveur peuvent également être importés directement dans l'application.
- La fragmentation IKEv2 est prise en charge si le serveur VPN le supporte (strongSwan le fait depuis 5.2.1)
- Le split-tunneling permet d'envoyer uniquement certains trafics via le VPN et/ou d'exclure des trafics spécifiques
- Le VPN par application permet de limiter la connexion VPN à des applications spécifiques, ou de les exclure de son utilisation
- L'implémentation IPsec supporte actuellement les algorithmes AES-CBC, AES-GCM, ChaCha20/Poly1305 et SHA1/SHA2
- Les mots de passe sont actuellement stockés en clair dans la base de données (uniquement s'ils sont stockés avec un profil)
- Les profils VPN peuvent être importés depuis des fichiers
Des détails et un journal des modifications peuvent être trouvés dans notre documentation : https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html
AUTORISATIONS
- READ_EXTERNAL_STORAGE : Permet d'importer des profils VPN et des certificats CA depuis le stockage externe sur certaines versions d'Android
- QUERY_ALL_PACKAGES : Requis sur Android 11+ pour sélectionner des applications à inclure/exclure dans les profils VPN et le cas d'utilisation EAP-TNC optionnel
CONFIGURATION D'EXEMPLE DU SERVEUR
Des configurations de serveur d'exemple peuvent être trouvées dans notre documentation : https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration
Veuillez noter que le nom d'hôte (ou l'adresse IP) configuré avec un profil VPN dans l'application doit être contenu dans le certificat du serveur comme extension subjectAltName.
RETROACTION
Veuillez soumettre des rapports de bogues et des demandes de fonctionnalités via GitHub : https://github.com/strongswan/strongswan/issues/new/choose
Si vous le faites, veuillez inclure des informations sur votre appareil (fabricant, modèle, version OS, etc.).
Le fichier journal écrit par le service d'échange de clés peut être envoyé directement depuis l'application.
