Puerto oficial de Android de la popular solución VPN strongSwan.
# CARACTERÍSTICAS Y LIMITACIONES #
* Utiliza la API VpnService presentada por Android 4+. Los dispositivos de algunos fabricantes parecen carecer de soporte para esto: ¡strongSwan VPN Client no funcionará en estos dispositivos!
* Utiliza el protocolo de intercambio de claves IKEv2 (IKEv1 *no* es compatible)
* Utiliza IPsec para el tráfico de datos (L2TP *no* es compatible)
* Soporte completo para cambios de conectividad y movilidad a través de MOBIKE (o reautenticación)
* Admite autenticación EAP de nombre de usuario/contraseña (es decir, EAP-MSCHAPv2, EAP-MD5 y EAP-GTC), así como autenticación de certificado/clave privada RSA/ECDSA para autenticar a los usuarios, EAP-TLS con certificados de cliente también es compatible
* Se admite la autenticación combinada de RSA/ECDSA y EAP mediante el uso de dos rondas de autenticación como se define en RFC 4739
* Los certificados del servidor VPN se verifican con los certificados de CA preinstalados o instalados por el usuario en el sistema. Los certificados de servidor o CA utilizados para autenticar el servidor también se pueden importar directamente a la aplicación.
* La fragmentación IKEv2 es compatible si el servidor VPN lo admite (strongSwan lo hace desde 5.2.1)
* El túnel dividido permite enviar solo cierto tráfico a través de la VPN y/o excluir tráfico específico de la misma
* La VPN por aplicación permite limitar la conexión VPN a aplicaciones específicas o excluirlas de su uso
* La implementación de IPsec actualmente es compatible con los algoritmos AES-CBC, AES-GCM, ChaCha20/Poly1305 y SHA1/SHA2
* Las contraseñas se almacenan actualmente como texto sin cifrar en la base de datos (solo si se almacenan con un perfil)
* Los perfiles de VPN se pueden importar desde archivos
Los detalles y un registro de cambios se pueden encontrar en nuestros documentos: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html
# PERMISOS #
* READ_EXTERNAL_STORAGE: permite importar perfiles de VPN y certificados de CA desde almacenamiento externo en algunas versiones de Android
* QUERY_ALL_PACKAGES: Requerido en Android 11+ para seleccionar aplicaciones para excluir/incluir en perfiles VPN y el caso de uso EAP-TNC opcional
# EJEMPLO DE CONFIGURACIÓN DEL SERVIDOR #
Se pueden encontrar configuraciones de servidor de ejemplo en nuestros documentos: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration
Tenga en cuenta que el nombre de host (o dirección IP) configurado con un perfil VPN en la aplicación *debe* estar incluido en el certificado del servidor como extensión subjectAltName.
# RETROALIMENTACIÓN #
Publique informes de errores y solicitudes de funciones a través de GitHub: https://github.com/strongswan/strongswan/issues/new/choose
Si lo hace, incluya información sobre su dispositivo (fabricante, modelo, versión del sistema operativo, etc.).
El archivo de registro escrito por el servicio de intercambio de claves se puede enviar directamente desde la aplicación.
# CARACTERÍSTICAS Y LIMITACIONES #
* Utiliza la API VpnService presentada por Android 4+. Los dispositivos de algunos fabricantes parecen carecer de soporte para esto: ¡strongSwan VPN Client no funcionará en estos dispositivos!
* Utiliza el protocolo de intercambio de claves IKEv2 (IKEv1 *no* es compatible)
* Utiliza IPsec para el tráfico de datos (L2TP *no* es compatible)
* Soporte completo para cambios de conectividad y movilidad a través de MOBIKE (o reautenticación)
* Admite autenticación EAP de nombre de usuario/contraseña (es decir, EAP-MSCHAPv2, EAP-MD5 y EAP-GTC), así como autenticación de certificado/clave privada RSA/ECDSA para autenticar a los usuarios, EAP-TLS con certificados de cliente también es compatible
* Se admite la autenticación combinada de RSA/ECDSA y EAP mediante el uso de dos rondas de autenticación como se define en RFC 4739
* Los certificados del servidor VPN se verifican con los certificados de CA preinstalados o instalados por el usuario en el sistema. Los certificados de servidor o CA utilizados para autenticar el servidor también se pueden importar directamente a la aplicación.
* La fragmentación IKEv2 es compatible si el servidor VPN lo admite (strongSwan lo hace desde 5.2.1)
* El túnel dividido permite enviar solo cierto tráfico a través de la VPN y/o excluir tráfico específico de la misma
* La VPN por aplicación permite limitar la conexión VPN a aplicaciones específicas o excluirlas de su uso
* La implementación de IPsec actualmente es compatible con los algoritmos AES-CBC, AES-GCM, ChaCha20/Poly1305 y SHA1/SHA2
* Las contraseñas se almacenan actualmente como texto sin cifrar en la base de datos (solo si se almacenan con un perfil)
* Los perfiles de VPN se pueden importar desde archivos
Los detalles y un registro de cambios se pueden encontrar en nuestros documentos: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html
# PERMISOS #
* READ_EXTERNAL_STORAGE: permite importar perfiles de VPN y certificados de CA desde almacenamiento externo en algunas versiones de Android
* QUERY_ALL_PACKAGES: Requerido en Android 11+ para seleccionar aplicaciones para excluir/incluir en perfiles VPN y el caso de uso EAP-TNC opcional
# EJEMPLO DE CONFIGURACIÓN DEL SERVIDOR #
Se pueden encontrar configuraciones de servidor de ejemplo en nuestros documentos: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration
Tenga en cuenta que el nombre de host (o dirección IP) configurado con un perfil VPN en la aplicación *debe* estar incluido en el certificado del servidor como extensión subjectAltName.
# RETROALIMENTACIÓN #
Publique informes de errores y solicitudes de funciones a través de GitHub: https://github.com/strongswan/strongswan/issues/new/choose
Si lo hace, incluya información sobre su dispositivo (fabricante, modelo, versión del sistema operativo, etc.).
El archivo de registro escrito por el servicio de intercambio de claves se puede enviar directamente desde la aplicación.
