Port Android officiel de la solution populaire strongSwan VPN.
# CARACTÉRISTIQUES ET LIMITES #
* Utilise l'API VpnService présentée par Android 4+. Les appareils de certains fabricants semblent ne pas prendre en charge cela - le client VPN strongSwan ne fonctionnera pas sur ces appareils !
* Utilise le protocole d'échange de clés IKEv2 (IKEv1 n'est *pas* pris en charge)
* Utilise IPsec pour le trafic de données (L2TP n'est *pas* pris en charge)
* Prise en charge complète de la connectivité et de la mobilité modifiées via MOBIKE (ou réauthentification)
* Prend en charge l'authentification EAP par nom d'utilisateur/mot de passe (à savoir EAP-MSCHAPv2, EAP-MD5 et EAP-GTC) ainsi que l'authentification par clé privée/certificat RSA/ECDSA pour authentifier les utilisateurs, EAP-TLS avec certificats client est également pris en charge
* L'authentification combinée RSA/ECDSA et EAP est prise en charge en utilisant deux cycles d'authentification comme défini dans la RFC 4739
* Les certificats de serveur VPN sont vérifiés par rapport aux certificats CA préinstallés ou installés par l'utilisateur sur le système. Les certificats CA ou de serveur utilisés pour authentifier le serveur peuvent également être importés directement dans l'application.
* La fragmentation IKEv2 est prise en charge si le serveur VPN la prend en charge (strongSwan le fait depuis 5.2.1)
* Le split-tunneling permet de n'envoyer qu'un certain trafic via le VPN et/ou d'en exclure un trafic spécifique
* Le VPN par application permet de limiter la connexion VPN à des applications spécifiques ou de les exclure de son utilisation
* L'implémentation IPsec prend actuellement en charge les algorithmes AES-CBC, AES-GCM, ChaCha20/Poly1305 et SHA1/SHA2
* Les mots de passe sont actuellement stockés en texte clair dans la base de données (uniquement s'ils sont stockés avec un profil)
* Les profils VPN peuvent être importés à partir de fichiers
Les détails et un journal des modifications peuvent être trouvés sur nos documents : https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html
# AUTORISATIONS #
* READ_EXTERNAL_STORAGE : permet d'importer des profils VPN et des certificats CA à partir d'un stockage externe sur certaines versions d'Android
* QUERY_ALL_PACKAGES : requis sur Android 11+ pour sélectionner les applications à ex-/inclure dans les profils VPN et le cas d'utilisation EAP-TNC en option
# EXEMPLE DE CONFIGURATION DE SERVEUR #
Des exemples de configurations de serveur peuvent être trouvés dans nos documents : https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration
Veuillez noter que le nom d'hôte (ou l'adresse IP) configuré avec un profil VPN dans l'application *doit être* contenu dans le certificat du serveur en tant qu'extension subjectAltName.
# RETOUR D'INFORMATION #
Veuillez publier des rapports de bugs et des demandes de fonctionnalités via GitHub : https://github.com/strongswan/strongswan/issues/new/choose
Si vous le faites, veuillez inclure des informations sur votre appareil (fabricant, modèle, version du système d'exploitation, etc.).
Le fichier journal écrit par le service d'échange de clés peut être envoyé directement depuis l'application.
# CARACTÉRISTIQUES ET LIMITES #
* Utilise l'API VpnService présentée par Android 4+. Les appareils de certains fabricants semblent ne pas prendre en charge cela - le client VPN strongSwan ne fonctionnera pas sur ces appareils !
* Utilise le protocole d'échange de clés IKEv2 (IKEv1 n'est *pas* pris en charge)
* Utilise IPsec pour le trafic de données (L2TP n'est *pas* pris en charge)
* Prise en charge complète de la connectivité et de la mobilité modifiées via MOBIKE (ou réauthentification)
* Prend en charge l'authentification EAP par nom d'utilisateur/mot de passe (à savoir EAP-MSCHAPv2, EAP-MD5 et EAP-GTC) ainsi que l'authentification par clé privée/certificat RSA/ECDSA pour authentifier les utilisateurs, EAP-TLS avec certificats client est également pris en charge
* L'authentification combinée RSA/ECDSA et EAP est prise en charge en utilisant deux cycles d'authentification comme défini dans la RFC 4739
* Les certificats de serveur VPN sont vérifiés par rapport aux certificats CA préinstallés ou installés par l'utilisateur sur le système. Les certificats CA ou de serveur utilisés pour authentifier le serveur peuvent également être importés directement dans l'application.
* La fragmentation IKEv2 est prise en charge si le serveur VPN la prend en charge (strongSwan le fait depuis 5.2.1)
* Le split-tunneling permet de n'envoyer qu'un certain trafic via le VPN et/ou d'en exclure un trafic spécifique
* Le VPN par application permet de limiter la connexion VPN à des applications spécifiques ou de les exclure de son utilisation
* L'implémentation IPsec prend actuellement en charge les algorithmes AES-CBC, AES-GCM, ChaCha20/Poly1305 et SHA1/SHA2
* Les mots de passe sont actuellement stockés en texte clair dans la base de données (uniquement s'ils sont stockés avec un profil)
* Les profils VPN peuvent être importés à partir de fichiers
Les détails et un journal des modifications peuvent être trouvés sur nos documents : https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html
# AUTORISATIONS #
* READ_EXTERNAL_STORAGE : permet d'importer des profils VPN et des certificats CA à partir d'un stockage externe sur certaines versions d'Android
* QUERY_ALL_PACKAGES : requis sur Android 11+ pour sélectionner les applications à ex-/inclure dans les profils VPN et le cas d'utilisation EAP-TNC en option
# EXEMPLE DE CONFIGURATION DE SERVEUR #
Des exemples de configurations de serveur peuvent être trouvés dans nos documents : https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration
Veuillez noter que le nom d'hôte (ou l'adresse IP) configuré avec un profil VPN dans l'application *doit être* contenu dans le certificat du serveur en tant qu'extension subjectAltName.
# RETOUR D'INFORMATION #
Veuillez publier des rapports de bugs et des demandes de fonctionnalités via GitHub : https://github.com/strongswan/strongswan/issues/new/choose
Si vous le faites, veuillez inclure des informations sur votre appareil (fabricant, modèle, version du système d'exploitation, etc.).
Le fichier journal écrit par le service d'échange de clés peut être envoyé directement depuis l'application.
