Официальный порт популярного VPN-решения StrongSwan для Android.

# ОСОБЕННОСТИ И ОГРАНИЧЕНИЯ #

* Использует API VpnService, представленный в Android 4+. Устройства некоторых производителей, похоже, не поддерживают эту функцию — VPN-клиент StrongSwan не будет работать на этих устройствах!
* Использует протокол обмена ключами IKEv2 (IKEv1 *не* поддерживается)
* Использует IPsec для трафика данных (L2TP *не* поддерживается)
* Полная поддержка измененных возможностей подключения и мобильности через MOBIKE (или повторную аутентификацию)
* Поддерживает аутентификацию EAP по имени пользователя и паролю (а именно EAP-MSCHAPv2, EAP-MD5 и EAP-GTC), а также аутентификацию по секретному ключу/сертификату RSA/ECDSA для аутентификации пользователей, также поддерживается EAP-TLS с клиентскими сертификатами.
* Комбинированная аутентификация RSA/ECDSA и EAP поддерживается за счет использования двух раундов аутентификации, как определено в RFC 4739.
* Сертификаты VPN-сервера проверяются по сертификатам CA, предварительно установленным или установленным пользователем в системе. Сертификаты ЦС или сервера, используемые для аутентификации сервера, также можно импортировать непосредственно в приложение.
* Фрагментация IKEv2 поддерживается, если ее поддерживает VPN-сервер (strongSwan делает это начиная с версии 5.2.1).
* Сплит-туннелирование позволяет отправлять через VPN только определенный трафик и/или исключать из него определенный трафик.
* VPN для каждого приложения позволяет ограничить VPN-подключение определенными приложениями или исключить их из его использования.
* Реализация IPsec в настоящее время поддерживает алгоритмы AES-CBC, AES-GCM, ChaCha20/Poly1305 и SHA1/SHA2.
* Пароли в настоящее время хранятся в базе данных в виде открытого текста (только если они хранятся вместе с профилем)
* Профили VPN можно импортировать из файлов.
* Поддержка управляемых конфигураций с помощью управления мобильностью предприятия (EMM).

Подробности и журнал изменений можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html.

# РАЗРЕШЕНИЯ #

* READ_EXTERNAL_STORAGE: позволяет импортировать профили VPN и сертификаты CA из внешнего хранилища в некоторых версиях Android.
* QUERY_ALL_PACKAGES: требуется на Android 11+ для выбора приложений для исключения/включения в профили VPN и дополнительного варианта использования EAP-TNC.

# ПРИМЕР КОНФИГУРАЦИИ СЕРВЕРА #

Примеры конфигураций сервера можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration.

Обратите внимание, что имя хоста (или IP-адрес), настроенное с помощью профиля VPN в приложении, *должно* содержаться в сертификате сервера как расширение subjectAltName.

# ОБРАТНАЯ СВЯЗЬ #

Публикуйте отчеты об ошибках и запросы функций через GitHub: https://github.com/strongswan/strongswan/issues/new/choose.
Если вы это сделаете, укажите информацию о вашем устройстве (производитель, модель, версия ОС и т. д.).

Файл журнала, записанный службой обмена ключами, можно отправить непосредственно из приложения.

Официальный порт популярного VPN-решения StrongSwan для Android.

# ОСОБЕННОСТИ И ОГРАНИЧЕНИЯ #

* Использует API VpnService, представленный в Android 4+. Устройства некоторых производителей, похоже, не поддерживают эту функцию — VPN-клиент StrongSwan не будет работать на этих устройствах!
* Использует протокол обмена ключами IKEv2 (IKEv1 *не* поддерживается)
* Использует IPsec для трафика данных (L2TP *не* поддерживается)
* Полная поддержка измененных возможностей подключения и мобильности через MOBIKE (или повторную аутентификацию)
* Поддерживает аутентификацию EAP по имени пользователя и паролю (а именно EAP-MSCHAPv2, EAP-MD5 и EAP-GTC), а также аутентификацию по секретному ключу/сертификату RSA/ECDSA для аутентификации пользователей, также поддерживается EAP-TLS с клиентскими сертификатами.
* Комбинированная аутентификация RSA/ECDSA и EAP поддерживается за счет использования двух раундов аутентификации, как определено в RFC 4739.
* Сертификаты VPN-сервера проверяются по сертификатам CA, предварительно установленным или установленным пользователем в системе. Сертификаты ЦС или сервера, используемые для аутентификации сервера, также можно импортировать непосредственно в приложение.
* Фрагментация IKEv2 поддерживается, если ее поддерживает VPN-сервер (strongSwan делает это начиная с версии 5.2.1).
* Сплит-туннелирование позволяет отправлять через VPN только определенный трафик и/или исключать из него определенный трафик.
* VPN для каждого приложения позволяет ограничить VPN-подключение определенными приложениями или исключить их из его использования.
* Реализация IPsec в настоящее время поддерживает алгоритмы AES-CBC, AES-GCM, ChaCha20/Poly1305 и SHA1/SHA2.
* Пароли в настоящее время хранятся в базе данных в виде открытого текста (только если они хранятся вместе с профилем)
* Профили VPN можно импортировать из файлов.
* Поддержка управляемых конфигураций с помощью управления мобильностью предприятия (EMM).

Подробности и журнал изменений можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html.

# РАЗРЕШЕНИЯ #

* READ_EXTERNAL_STORAGE: позволяет импортировать профили VPN и сертификаты CA из внешнего хранилища в некоторых версиях Android.
* QUERY_ALL_PACKAGES: требуется на Android 11+ для выбора приложений для исключения/включения в профили VPN и дополнительного варианта использования EAP-TNC.

# ПРИМЕР КОНФИГУРАЦИИ СЕРВЕРА #

Примеры конфигураций сервера можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration.

Обратите внимание, что имя хоста (или IP-адрес), настроенное с помощью профиля VPN в приложении, *должно* содержаться в сертификате сервера как расширение subjectAltName.

# ОБРАТНАЯ СВЯЗЬ #

Публикуйте отчеты об ошибках и запросы функций через GitHub: https://github.com/strongswan/strongswan/issues/new/choose.
Если вы это сделаете, укажите информацию о вашем устройстве (производитель, модель, версия ОС и т. д.).

Файл журнала, записанный службой обмена ключами, можно отправить непосредственно из приложения.

Официальный порт Android популярного решения strongSwan VPN.

# ВОЗМОЖНОСТИ И ОГРАНИЧЕНИЯ #

* Использует API VpnService, представленный в Android 4+. Устройства некоторых производителей, похоже, не поддерживают эту функцию — StrongSwan VPN Client не будет работать на этих устройствах!
* Использует протокол обмена ключами IKEv2 (IKEv1 *не* поддерживается)
* Использует IPsec для трафика данных (L2TP *не* поддерживается)
* Полная поддержка измененного подключения и мобильности через MOBIKE (или повторную аутентификацию)
* Поддерживает аутентификацию EAP по имени пользователя/паролю (а именно EAP-MSCHAPv2, EAP-MD5 и EAP-GTC), а также аутентификацию с закрытым ключом/сертификатом RSA/ECDSA для аутентификации пользователей, также поддерживается EAP-TLS с клиентскими сертификатами
* Комбинированная аутентификация RSA/ECDSA и EAP поддерживается за счет использования двух раундов аутентификации, как определено в RFC 4739.
* Сертификаты VPN-сервера сверяются с сертификатами ЦС, предварительно установленными или установленными пользователем в системе. Сертификаты ЦС или сервера, используемые для аутентификации сервера, также можно импортировать непосредственно в приложение.
* Фрагментация IKEv2 поддерживается, если ее поддерживает VPN-сервер (strongSwan делает это, начиная с версии 5.2.1)
* Раздельное туннелирование позволяет пропускать через VPN только определенный трафик и/или исключать из него определенный трафик
* VPN для каждого приложения позволяет ограничить VPN-подключение определенными приложениями или запретить им его использовать.
* В настоящее время реализация IPsec поддерживает алгоритмы AES-CBC, AES-GCM, ChaCha20/Poly1305 и SHA1/SHA2.
* Пароли в настоящее время хранятся в базе данных в виде открытого текста (только если они хранятся вместе с профилем)
* Профили VPN могут быть импортированы из файлов

Подробности и журнал изменений можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html.

# РАЗРЕШЕНИЯ #

* READ_EXTERNAL_STORAGE: позволяет импортировать профили VPN и сертификаты ЦС из внешнего хранилища на некоторых версиях Android.
* QUERY_ALL_PACKAGES: требуется на Android 11+ для выбора приложений, которые нужно исключать или включать в профили VPN, а также дополнительный вариант использования EAP-TNC.

# ПРИМЕР КОНФИГУРАЦИИ СЕРВЕРА #

Примеры конфигураций сервера можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration.

Обратите внимание, что имя хоста (или IP-адрес), настроенное для профиля VPN в приложении, *должно* содержаться в сертификате сервера как расширение subjectAltName.

# ОБРАТНАЯ СВЯЗЬ #

Пожалуйста, публикуйте отчеты об ошибках и запросы функций через GitHub: https://github.com/strongswan/strongswan/issues/new/choose.
Если вы это сделаете, укажите информацию о вашем устройстве (производитель, модель, версия ОС и т. д.).

Файл журнала, написанный службой обмена ключами, можно отправить непосредственно из приложения.

Официальный порт Android популярного решения strongSwan VPN.

# ВОЗМОЖНОСТИ И ОГРАНИЧЕНИЯ #

* Использует API VpnService, представленный в Android 4+. Устройства некоторых производителей, похоже, не поддерживают эту функцию — StrongSwan VPN Client не будет работать на этих устройствах!
* Использует протокол обмена ключами IKEv2 (IKEv1 *не* поддерживается)
* Использует IPsec для трафика данных (L2TP *не* поддерживается)
* Полная поддержка измененного подключения и мобильности через MOBIKE (или повторную аутентификацию)
* Поддерживает аутентификацию EAP по имени пользователя/паролю (а именно EAP-MSCHAPv2, EAP-MD5 и EAP-GTC), а также аутентификацию с закрытым ключом/сертификатом RSA/ECDSA для аутентификации пользователей, также поддерживается EAP-TLS с клиентскими сертификатами
* Комбинированная аутентификация RSA/ECDSA и EAP поддерживается за счет использования двух раундов аутентификации, как определено в RFC 4739.
* Сертификаты VPN-сервера сверяются с сертификатами ЦС, предварительно установленными или установленными пользователем в системе. Сертификаты ЦС или сервера, используемые для аутентификации сервера, также можно импортировать непосредственно в приложение.
* Фрагментация IKEv2 поддерживается, если ее поддерживает VPN-сервер (strongSwan делает это, начиная с версии 5.2.1)
* Раздельное туннелирование позволяет пропускать через VPN только определенный трафик и/или исключать из него определенный трафик
* VPN для каждого приложения позволяет ограничить VPN-подключение определенными приложениями или запретить им его использовать.
* В настоящее время реализация IPsec поддерживает алгоритмы AES-CBC, AES-GCM, ChaCha20/Poly1305 и SHA1/SHA2.
* Пароли в настоящее время хранятся в базе данных в виде открытого текста (только если они хранятся вместе с профилем)
* Профили VPN могут быть импортированы из файлов

Подробности и журнал изменений можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html.

# РАЗРЕШЕНИЯ #

* READ_EXTERNAL_STORAGE: позволяет импортировать профили VPN и сертификаты ЦС из внешнего хранилища на некоторых версиях Android.
* QUERY_ALL_PACKAGES: требуется на Android 11+ для выбора приложений, которые нужно исключать или включать в профили VPN, а также дополнительный вариант использования EAP-TNC.

# ПРИМЕР КОНФИГУРАЦИИ СЕРВЕРА #

Примеры конфигураций сервера можно найти в нашей документации: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration.

Обратите внимание, что имя хоста (или IP-адрес), настроенное для профиля VPN в приложении, *должно* содержаться в сертификате сервера как расширение subjectAltName.

# ОБРАТНАЯ СВЯЗЬ #

Пожалуйста, публикуйте отчеты об ошибках и запросы функций через GitHub: https://github.com/strongswan/strongswan/issues/new/choose.
Если вы это сделаете, укажите информацию о вашем устройстве (производитель, модель, версия ОС и т. д.).

Файл журнала, написанный службой обмена ключами, можно отправить непосредственно из приложения.

Official Android port of the popular strongSwan VPN solution.

# FEATURES AND LIMITATIONS #

* Uses the VpnService API featured by Android 4+. Devices by some manufacturers seem to lack support for this - strongSwan VPN Client won't work on these devices!
* Uses the IKEv2 key exchange protocol (IKEv1 is *not* supported)
* Uses IPsec for data traffic (L2TP is *not* supported)
* Full support for changed connectivity and mobility through MOBIKE (or reauthentication)
* Supports username/password EAP authentication (namely EAP-MSCHAPv2, EAP-MD5 and EAP-GTC) as well as RSA/ECDSA private key/certificate authentication to authenticate users, EAP-TLS with client certificates is also supported
* Combined RSA/ECDSA and EAP authentication is supported by using two authentication rounds as defined in RFC 4739
* VPN server certificates are verified against the CA certificates pre-installed or installed by the user on the system. The CA or server certificates used to authenticate the server can also be imported directly into the app.
* IKEv2 fragmentation is supported if the VPN server supports it (strongSwan does so since 5.2.1)
* Split-tunneling allows sending only certain traffic through the VPN and/or excluding specific traffic from it
* Per-app VPN allows limiting the VPN connection to specific apps, or exclude them from using it
* The IPsec implementation currently supports the AES-CBC, AES-GCM, ChaCha20/Poly1305 and SHA1/SHA2 algorithms
* Passwords are currently stored as cleartext in the database (only if stored with a profile)
* VPN profiles may be imported from files

Details and a changelog can be found on our docs: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html

# PERMISSIONS #

* READ_EXTERNAL_STORAGE: Allows importing VPN profiles and CA certificates from external storage on some Android versions
* QUERY_ALL_PACKAGES: Required on Android 11+ to select apps to ex-/include in VPN profiles and the optional EAP-TNC use case

# EXAMPLE SERVER CONFIGURATION #

Example server configurations may be found in our docs: https://docs.strongswan.org/docs/5.9/os/androidVpnClient.html#_server_configuration

Please note that the host name (or IP address) configured with a VPN profile in the app *must be* contained in the server certificate as subjectAltName extension.

# FEEDBACK #

Please post bug reports and feature requests via GitHub: https://github.com/strongswan/strongswan/issues/new/choose
If you do so, please include information about your device (manufacturer, model, OS version etc.).

The log file written by the key exchange service can be sent directly from within the application.

Official Android port of the popular strongSwan VPN solution.

# FEATURES AND LIMITATIONS #

* Uses the VpnService API featured by Android 4+. Devices by some manufacturers seem to lack support for this - strongSwan VPN Client won't work on these devices!
* Uses the IKEv2 key exchange protocol (IKEv1 is not supported)
* Uses IPsec for data traffic (L2TP is not supported)
* Full support for changed connectivity and mobility through MOBIKE (or reauthentication)
* Supports username/password EAP authentication (namely EAP-MSCHAPv2, EAP-MD5 and EAP-GTC) as well as RSA/ECDSA private key/certificate authentication to authenticate users, EAP-TLS with client certificates is also supported
* Combined RSA/ECDSA and EAP authentication is supported by using two authentication rounds as defined in RFC 4739
* VPN server certificates are verified against the CA certificates pre-installed or installed by the user on the system. The CA or server certificates used to authenticate the server can also be imported directly into the app.
* IKEv2 fragmentation is supported if the VPN server supports it (strongSwan does so since 5.2.1)
* Split-tunneling allows sending only certain traffic through the VPN and/or excluding specific traffic from it
* Per-app VPN allows limiting the VPN connection to specific apps, or exclude them from using it
* The IPsec implementation currently supports the AES-CBC, AES-GCM, ChaCha20/Poly1305 and SHA1/SHA2 algorithms
* Passwords are currently stored as cleartext in the database (only if stored with a profile)
* VPN profiles may be imported from files

Details and a changelog can be found on our wiki: https://wiki.strongswan.org/projects/strongswan/wiki/AndroidVPNClient

# PERMISSIONS #

* READ_EXTERNAL_STORAGE: Allows importing VPN profiles and CA certificates from external storage on some Android versions
* QUERY_ALL_PACKAGES: Required on Android 11+ to select apps to ex-/include in VPN profiles and the optional EAP-TNC use case

# EXAMPLE SERVER CONFIGURATION #

Example server configurations may be found on our wiki: https://wiki.strongswan.org/projects/strongswan/wiki/AndroidVPNClient#Server-Configuration

Please note that the host name (or IP address) configured with a VPN profile in the app *must be* contained in the server certificate as subjectAltName extension.

# FEEDBACK #

Please post bug reports and feature requests via GitHub: https://github.com/strongswan/strongswan/issues/new/choose
If you do so, please include information about your device (manufacturer, model, OS version etc.).

The log file written by the key exchange service can be sent directly from within the application.

Official Android 4+ port of the popular strongSwan VPN solution.
# FEATURES AND LIMITATIONS #
* Uses the VpnService API featured by Android 4+. Devices by some manufacturers seem to lack support for this - strongSwan VPN Client won't work on these devices!
* Uses the IKEv2 key exchange protocol (IKEv1 is not supported)
* Uses IPsec for data traffic (L2TP is not supported)
* Full support for changed connectivity and mobility through MOBIKE (or reauthentication)
* Supports username/password EAP authentication (namely EAP-MSCHAPv2, EAP-MD5 and EAP-GTC) as well as RSA/ECDSA private key/certificate authentication to authenticate users, EAP-TLS with client certificates is also supported
* Combined RSA/ECDSA and EAP authentication is supported by using two authentication rounds as defined in RFC 4739
* VPN server certificates are verified against the CA certificates pre-installed or installed by the user on the system. The CA or server certificates used to authenticate the server can also be imported directly into the app.
* IKEv2 fragmentation is supported if the VPN server supports it (strongSwan does so since 5.2.1)
* Split-tunneling allows sending only certain traffic through the VPN and/or excluding specific traffic from it
* Per-app VPN allows limiting the VPN connection to specific apps, or exclude them from using it
* The IPsec implementation currently supports the AES-CBC, AES-GCM, ChaCha20/Poly1305 and SHA1/SHA2 algorithms
* Passwords are currently stored as cleartext in the database (only if stored with a profile)
* VPN profiles may be imported from files (this is the only reason why the app requests android.permission.READ_EXTERNAL_STORAGE)
Details and a changelog can be found on our wiki: https://wiki.strongswan.org/projects/strongswan/wiki/AndroidVPNClient
# EXAMPLE SERVER CONFIGURATION #
Example server configurations may be found on our wiki: https://wiki.strongswan.org/projects/strongswan/wiki/AndroidVPNClient#Server-Configuration
Please note that the host name (or IP address) configured with a VPN profile in the app *must be* contained in the server certificate as subjectAltName extension.
# FEEDBACK #
Please post bug reports and feature requests on our wiki: https://wiki.strongswan.org/projects/strongswan/issues
If you do so, please include information about your device (manufacturer, model, OS version etc.).
The log file written by the key exchange service can be sent directly from within the application.