strongSwan VPN Client

Oficjalny port Androida popularnego rozwiązania strongSwan VPN.

# FUNKCJE I OGRANICZENIA #

* Korzysta z interfejsu API VpnService dostępnego w systemie Android 4+. Wydaje się, że urządzenia niektórych producentów nie obsługują tej funkcji – klient strongSwan VPN nie będzie działał na tych urządzeniach!

* Wykorzystuje protokół wymiany kluczy IKEv2

* Używa protokołu IPsec do transmisji danych

* Pełne wsparcie dla zmienionej łączności i mobilności poprzez MOBIKE (lub ponowne uwierzytelnienie)

* Obsługuje uwierzytelnianie za pomocą nazwy użytkownika/hasła EAP (mianowicie EAP-MSCHAPv2, EAP-MD5 i EAP-GTC), a także uwierzytelnianie klucza prywatnego/certyfikatu RSA/ECDSA w celu uwierzytelniania użytkowników, obsługiwany jest również EAP-TLS z certyfikatami klienta

* Obsługiwane jest łączone uwierzytelnianie RSA/ECDSA i EAP przy użyciu dwóch rund uwierzytelniania zgodnie z definicją w RFC 4739

* Certyfikaty serwera VPN są weryfikowane z certyfikatami CA preinstalowanymi lub zainstalowanymi przez użytkownika w systemie. Certyfikaty urzędu certyfikacji lub serwera używane do uwierzytelniania serwera można również zaimportować bezpośrednio do aplikacji.

* Fragmentacja IKEv2 jest obsługiwana, jeśli serwer VPN ją obsługuje (strongSwan robi to od wersji 5.2.1)

* Tunelowanie dzielone umożliwia przesyłanie tylko określonego ruchu przez VPN i/lub wykluczanie z niego określonego ruchu

* VPN dla poszczególnych aplikacji umożliwia ograniczenie połączenia VPN do określonych aplikacji lub wykluczenie ich z korzystania

* Implementacja IPsec obsługuje obecnie algorytmy AES-CBC, AES-GCM, ChaCha20/Poly1305 i SHA1/SHA2

* Hasła są obecnie przechowywane w bazie danych w postaci zwykłego tekstu (tylko jeśli są przechowywane w profilu)

* Profile VPN można importować z plików

* Obsługuje konfiguracje zarządzane za pośrednictwem zarządzania mobilnością przedsiębiorstwa (EMM)

Szczegóły i listę zmian można znaleźć w naszych dokumentach: https://docs.strongswan.org/docs/latest/os/androidVpnClient.html

# UPRAWNIENIA #

* READ_EXTERNAL_STORAGE: Umożliwia importowanie profili VPN i certyfikatów CA z pamięci zewnętrznej w niektórych wersjach Androida

* QUERY_ALL_PACKAGES: wymagane w systemie Android 11+ w celu wybrania aplikacji do umieszczenia/uwzględnienia w profilach VPN oraz w opcjonalnym przypadku użycia EAP-TNC

# PRZYKŁADOWA KONFIGURACJA SERWERA #

Przykładowe konfiguracje serwerów można znaleźć w naszych dokumentach: https://docs.strongswan.org/docs/latest/os/androidVpnClient.html#_server_configuration

Należy pamiętać, że nazwa hosta (lub adres IP) skonfigurowana z profilem VPN w aplikacji *musi* być zawarta w certyfikacie serwera jako rozszerzenie topicAltName.

# INFORMACJA ZWROTNA #

Prosimy publikować raporty o błędach i prośby o nowe funkcje za pośrednictwem GitHuba: https://github.com/strongswan/strongswan/issues/new/choose

Jeśli to zrobisz, prosimy o dołączenie informacji o swoim urządzeniu (producent, model, wersja systemu operacyjnego itp.).

Plik dziennika pisany przez usługę wymiany kluczy można przesłać bezpośrednio z poziomu aplikacji.