Aplikacja OpenVPN for Enterprise

Aplikacja OpenVPN for Enterprise

Wstęp

OpenVPN for Enterprise to aplikacja klienta OpenVPN dla urządzeń z systemem operacyjnym Android, która umożliwia zestawienie bezpiecznego dostępu do poufnych danych za zaporą sieciową. Aplikacja obsługuje import profilu .ovpn oraz konfiguracji zarządzaną wysyłaną przez serwer Proget.

OpenVPN for Enterprise:
  1. To klient SSL VPN oparty na rozwiązaniu OpenVPN, posiadający konfigurację zarządzaną wysyłaną przez serwer Proget.
  2. Po zestawieniu bezpiecznego tunelu komunikacyjnego, zapewnia dodatkową warstwę szyfrowania dla przesyłanych danych firmowych.
  3. Poprawia bezpieczeństwo danych i chroni prywatność użytkowników.
  4. Łączy się z serwerem OpenVPN i zapewnia dostęp do danych firmowych przez firewall na urządzeniach z systemem Android Enterprise (BYOD, COBO, COPE).
  5. Gwarantuje bezpieczny tunel SSL VPN wybranym aplikacjom biznesowym, w tym aplikacjom wewnętrznym i innym aplikacjom ze sklepu Google Play.
  6. Blokuje dostęp VPN dla aplikacji osobistych i chroni przepływ danych biznesowych za pomocą bezpiecznego tunelu VPN.

Procedura

1. Zaloguj się do konsoli Proget.
2. Przejdź do zakładki APLIKACJE (1) i kliknij Dodaj (2).



3. Następnie uaktywnij opcję Google Play (3).
4. W polu Search (4), wpisz nazwę OpenVPN for Enterprise i kliknij przycisk wyszukiwania (5).



5. Znajdź odpowiednią aplikacje, a następnie kliknij Wybierz (6).



6. Po pomyślnym dodaniu aplikacji, wyszukaj aplikację OpenVPN for Enterprise (7) na liście aplikacji, a następnie kliknij (8), aby wyświetlić dodatkowe opcje.



7. Na karcie szczegółów aplikacji wybierz opcję Dodaj konfigurację (9).



8. Uzupełnij konfigurację aplikacji, wprowadzając dane serwera OpenVPN.
9. Po zapisaniu konfiguracji, przypisz aplikację wraz z utworzoną konfiguracją do grupy lub bezpośrednio do urządzenia. Czytaj więcej...

Zastosowanie

Aplikacja OpenVPN for Enterprise umożliwia podłączenie się do serwera OpenVPN zainstalowanego wewnątrz sieci firmowej. Po zaimportowaniu aplikacji do systemu Proget, klient OpenVPN for Enterprise oferuje konfigurację zarządzaną, która pozwala ustawiać jej parametry w zakresie:
  1. ustawień połączenia,
  2. typu uwierzytelniania,
  3. danych serwera OpenVPN,
  4. ustawień adresacji IP oraz DNS,
  5. routingu sieciowego,
  6. stosowanego szyfrowania i zabezpieczeń,
  7. aplikacji wchodzących w tunelowanie VPN,
  8. poziomu logowania aplikacji,
  9. ustawień zaawansowanych.
Serwer Proget wspomaga integracje klienta OpenVPN for Enterprise w zakresie:
  1. dostarczania profilu .ovpn użytkownika,
  2. automatyzacji generowania certyfikatu użytkownika, wykorzystywanego do uwierzytelniania.

Profil .ovpn

Plik z profilem konfiguracyjnym OpenVPN (.ovpn), zawiera wszystkie niezbędne informacje i ustawienia potrzebne do nawiązania połączenia VPN z serwerem OpenVPN. Plik ten zawiera instrukcje dotyczące konfiguracji klienta OpenVPN for Enterprise, w tym adres IP serwera, port, protokół, certyfikaty SSL, klucze, opcje szyfrowania i wiele innych. Profile .ovpn to z reguły personalne konfiguracje połączenia z OpenVPN wydawane przez administratora systemu VPN, każdemu użytkownikowi. Zaletą profili .ovpn jest możliwość wykorzystywania ich pomiędzy platformami. Oznacza to, że obecnie używany na komputerze służbowym, profil .ovpn, może działać również na urządzeniu mobilnym z systemem Android oraz iOS. Aplikacja OpenVPN for Enterprise umożliwia import profilu .ovpn.

Przykład profilu .ovpn

  1. client
  2. dev tun
  3. remote SERVER.domain
  4. proto TCP
  5. port PORT

  7. ca CACERT.pem
  8. cert CLIENT.crt
  9. key CLIENT.key

Import profilu .ovpn

Aplikacja OpenVPN for Enterprise umożliwia import profilu .ovpn wewnątrz aplikacji, aby na jego podstawie zestawić bezpieczny tunel VPN pomiędzy interfejsem sieciowym aplikacji a bramą VPN. Profil .ovpn musi zostać dostarczony na urządzenie we własnym zakresie np. za pomocą OpenVPN Access Server lub inny wewnętrzny kanał jak poczta elektroniczna email. Serwer Proget może wspomóc dystrybucję profili .ovpn za pośrednictwem profilu Dokumenty firmowe. Czytaj więcej...
1. Utwórz nowy profil Dokumenty firmowe.
2. Podaj Nazwę profilu (1).
3. [Wymagane] Zaznacz opcję Dodaj plik do folderu Pobrane (2), aby profil został zapisany w katalogu Pobrane na urządzeniu.
4. [Opcjonalne] Zaznacz opcję Pobieraj pliki automatycznie (3), aby dodany plik został pobrany automatycznie, bez interakcji z użytkownikiem.
5. Dodaj profil .ovpn (4).
6. Zapisz (4) zmiany.



Profil .ovpn z reguły jest profilem osobistym. Utwórz osobny profil Dokumenty firmowe dla każdego użytkownika.
7. Przypisz profil Dokumenty firmowe do grupy użytkownika lub bezpośrednio na urządzenie.
8. Upewnij się, że aplikacja OpenVPN for Enterprise została już zainstalowana na urządzeniu.
9. Uruchom aplikacje OpenVPN for Enterprise na urządzeniu.
10. W prawym górnym roku kliknij ikonę trzech kropek (6), aby uruchomić menu.



11. Następnie kliknij opcję Import profile (7).


12. Aplikacja automatycznie uruchomi eksplorator plików. Wybierz profil .ovpn (8), aby go zaimportować.



13. Po powrocie do aplikacji OpenVPN for Enterprise zestaw tunel VPN (9).



14. System Android poprosi o zgodę na utworzenie połączenia VPN. Kliknij OK (10), aby wyrazić zgodę.



15. Aplikacja zmieni status na "Started", jeżeli zaimportowany profil jest poprawny.



Aby zestawić tunel VPN konieczne jest włączenie polityki "Pozwalaj konfigurować profil VPN" lub zastosowanie mechanizmu Always on VPN. Szczegóły dostępne są w dalszej części artykułu.

Konfiguracja zarządzana

Aplikacja OpenVPN for Enterprise obsługuje konfigurację zarządzaną wysyłaną z serwera Proget. Przy pomocy konfiguracji zarządzanej, administrator systemu Proget może zautomatyzować proces konfiguracji. Integracji można dokonać poprzez wskazanie danych serwera OpenVPN oraz posłużenie się zmiennymi globalnymi w celu dynamicznej podmiany danych w konfiguracji, którą otrzyma urządzenie użytkownika. Przy pomocy zmiennych globalnych konfiguracja aplikacji będzie dynamiczna. Przykład, pole Username (1) może przyjąć wartość {UserName} (2). Pozostałe pola również mogą zostać skonfigurowane przy pomocy Zmiennych globalnych.







Dostępne do konfiguracji pola opisane zostały w tabeli poniżej.

Serwer OpenVPN może wykorzystywać opcję "push" do wysyłania informacji do klientów (w tym przypadku, aplikacji OpenVPN for Enterprise), aby dostarczyć informacje na temat opcji konfiguracyjnych lub zezwalać klientowi VPN na pobranie konfiguracji "pull".

Nazwa konfiguracji
Opis
Name of VPN profile
Nazwa profilu VPN widoczna w obrębie powiadomienia na urządzeniu Android informująca o statusie połączenia.
Domyślnie: <pusty>
Auto connect
Parametr wymusza na aplikacji próby automatycznego zestawiania połączenia VPN jeżeli jest ono rozłączone na skutek restartu urządzenia lub problemów z transmisją danych.
Domyślnie: <prawda>
Allow disconnect VPN
Parametr określa czy użytkownik końcowy może samodzielnie rozłączać połączenie VPN.
Domyślnie: <prawda>
Allow import profile from .ovpn file
Parametr określa czy użytkownik może importować profile .ovpn.
Domyślnie: <fałsz>
Authentication type
Parametr określa rodzaj uwierzytelnienia użytkownika, który będzie używany do nawiązania połączenia VPN.
Domyślnie: <Certificates>
Use LZO compression
Parametr określa czy mechanizm kompresji danych LZO powinien zostać użyty po zestawieniu połączenia VPN.
Domyślnie: <prawda>
CA certificate
Parametr oczekuje certyfikatu podpisującego certyfikat SSL serwera oraz użytkowników OpenVPN. Wartość certyfikatu powinna zostać podana w formacie base64 (inline) lub za pomocą zmiennych globalnych. Parametr jest wymagany jeżeli typ uwierzytelniania zakłada wykorzystanie certyfikatów użytkownika.
Domyślnie: <pusty>

Zmienne globalne:
  1. CERT:<profil_certyfikat>:CA:PEM:BASE64:CHAIN
  2. SCEP:<profil_scep>:CA:PEM:BASE64:CHAIN
Client certificate
Parametr oczekuje certyfikatu klienta tj. użytkownika serwera OpenVPN (klucza publicznego) w formacie base64 (inline). Parametr jest wymagany jeżeli typ uwierzytelniania zakłada wykorzystanie certyfikatów użytkownika.
Domyślnie: <pusty>

Zmienne globalne:
  1. CERT:<profil_certyfikat>:USER:PEM:BASE64:CHAIN
  2. SCEP:<profil_scep>:USER:PEM:BASE64:CHAIN
Client key
Parametr oczekuje klucza prywatnego użytkownika dostarczonego w formacie base64 (inline). Parametr jest wymagany jeżeli typ uwierzytelniania zakłada wykorzystanie certyfikatów użytkownika.
Domyślnie: <pusty>

Zmienne globalne:
  1. CERT:<profil_certyfikat>:USER:PEM:BASE64:KEY
  2. SCEP:<profil_scep>:USER:PEM:BASE64:KEY
PKCS12
Parametr oczekuje certyfikatu PKCS12 w formacie base64 (inline). Parametr jest wymagany jeżeli typ uwierzytelniania zakłada wykorzystanie certyfikatów użytkownika.
Domyślnie: <pusty>

Zmienne globalne:
  1. CERT:<profil_certyfikat>:USER:P12:BASE64
  2. SCEP:<profil_scep>:USER:P12:BASE64
PKCS12 password
Parametr pozwala na wprowadzenie hasła do certyfikatu PKCS12 (jeżeli został określony). Opcja pozwala na automatyczną instalację certyfikatu PKCS12, bez  interakcji z użytkownikiem końcowym i konieczności podania hasła. Parametr jest wymagany jeżeli typ uwierzytelniania zakłada wykorzystanie certyfikatów użytkownika.
Domyślnie: <pusty>

Zmienne globalne:
  1. CERT:<profil_certyfikat>:USER:P12:PASSWORD
  2. SCEP:<profil_scep>:USER:P12:BASE64:PASSWORD
Username
Parametr oczekuje nazwy użytkownika serwera OpenVPN jeżeli typ uwierzytelniania zakłada jego wykorzystanie.
Domyślnie: <pusty>

Zmienne globalne:
  1. {UserName}
  2. {UserEmail}
  3. {UserPrincipalName}
Password
Parametr pozwala na wprowadzenie hasła użytkownika serwera OpenVPN jeżeli typ uwierzytelniania zakłada jego wykorzystanie. Opcja pozwala na automatyczne uwierzytelnianie użytkownika, bez konieczności podania hasła. Ze względów bezpieczeństwa zalecane jest posługiwanie się zmiennymi globalnymi w połączeniu z atrybutami użytkownika LDAP.
Domyślnie: <pusty>

Zmienne blobalne:
  1. {UserAttr.pass}
Server Address
Parametr określa adres serwera OpenVPN (brama VPN) w postaci FQDN lub adresu IP.
Domyślnie: <pusty>
Server port
Parametr określa port serwera OpenVPN.
Domyślnie: <1194>
Protocol
Parametr określa obsługiwany protokół serwera OpenVPN.
Domyślnie: <UDP>
Connection timeout
Parametr określa okres czasu (w sekundach) do automatycznego rozłączenia połączenia, kiedy nie może ono zostać poprawnie zestawione w danym momencie lub dane dostarczone w konfiguracji nie są poprawne.
Domyślnie: <120>
Proxy
Parametr definiuje rodzaj serwera proxy (jeśli używany).
Domyślnie: <None>
Proxy server address
Parametr oczekuje nazwy bądź adresu IP serwera proxy, który zostanie wykorzystany do kierowania ruchem wychodzącym poprzez interfejs VPN. Parametr jest wykorzystywany jeżeli pole Proxy zostało zdefiniowane.
Domyślnie: <pusty>
Proxy server port
Parametr oczekuje portu serwera proxy, który zostanie wykorzystany do kierowania ruchem wychodzącym poprzez interfejs VPN. Parametr jest wykorzystywany jeżeli pole Proxy zostało zdefiniowane.
Domyślnie: <pusty>
Enable Proxy authentication
Parametr określa czy w przypadku zastosowania serwera proxy, wymagane jest również uwierzytelnianie proxy. Parametr jest wykorzystywany jeżeli pole Proxy zostało zdefiniowane.
Domyślnie: <fałsz>
Proxy username
Parametr określa użytkownika proxy wykorzystanego do uwierzytelnienia na serwerze proxy. Parametr jest wykorzystywany jeżeli pole "Enable Proxy authentication" ma wartość <prawda>.
Domyślnie: <pusty>
Proxy password
Parametr określa hasło użytkownika proxy wykorzystanego do uwierzytelnienia na serwerze proxy. Parametr jest wykorzystywany jeżeli pole "Enable Proxy authentication" ma wartość <prawda>.
Domyślnie: <pusty>
Use server IP settings (pull)
Parametr określa czy ustawienia dotyczące adresacji IP, tras i opcji synchronizacji zostaną pobrane z serwera. Jeżeli pole ma wartość <fałsz>, należy określić ustawienia dotyczące adresacji IP, tras i opcji synchronizacji.
Domyślnie: <prawda>
IPv4 Address
Parametr używany, gdy opcja "Use server IP settings (pull)" nie jest ustawiona. Parametr przyjmuje adres IPv4 w formacie CIDR (np. 1.2.3.4/24).
Domyślnie: <pusty>
IPv6 Address
Parametr używany, gdy opcja "Use server IP settings (pull)" nie jest ustawiona. Parametr przyjmuje adres IPv6 w formacie CIDR (np. 2000:dd::23/64).
Domyślnie: <pusty>
No local binding
Parametr zapobiega utworzeniu powiązania loalnego. Klient nie będzie wiązał się ze stałym adresem i portem sesji. Port zostanie wybrany losowo, a adres będzie taki, jaki nakaże routing systemowy.
Domyślnie: <pusty>
Override DNS settings
Parametr określa czy konfiguracja aplikacji nadpisuje ustawienia DNS dostarczone przez serwer OpenVPN.
Domyślnie: <fałsz>
Search domain
Parametr określa domenę wyszukiwania, która umożliwia posługiwanie się krótkimi nazwami hosta. Np. po podaniu domena.pl, host abcd zostanie odszukany na serwerze DNS jako abcd.domena.pl. Parametr będzie używany tylko wtedy, gdy włączona została opcja "Override DNS settings".
Domyślnie: <pusty>
DNS Server
Parametr określa adres serwera DNS. Parametr będzie używany tylko wtedy, gdy włączona została opcja "Override DNS settings".
Domyślnie: <pusty>
Alternative DNS server
Parametr określa alternatywny adres serwera DNS. Parametr będzie używany tylko wtedy, gdy włączona została opcja "Override DNS settings".
Domyślnie: <pusty>
Ignore pushed routes
Parametr określa czy aplikacja ma ignrować trasy (routes) dostarczone przez serwer OpenVPN.
Domyślnie: <fałsz>
Bypass VPN for local networks
Parametr określa czy urządzenie podłączone bezpośrednio do interfejsów lokalnych (ta sama, którą definiują ustawienia serwera OpenVPN) nie będą kierowane przez VPN. Odznaczenie tej opcji spowoduje przekierowanie całego ruchu przeznaczonego dla sieci lokalnych do VPN.
Domyślnie: <fałsz>
Block IPv6 (or IPv4) if not set
Parametr określa czy system operacyjny Android, ma zezwalać na protokoły (IPv4/IPv6), jeśli VPN nie ustawi żadnych adresów IPv4 lub IPv6.
Domyślnie: <prawda>
Use default Route (IPv4)
Parametr określa czy przekierować cały ruch dla protokołu IPv4 przez tunel VPN.
Domyślnie: <prawda>
Custom routes (IPv4)
Parametr pozwala określić trasy (routes) w formacie CIDR (np. 10.0.0.0/8) dla protokołu IPv4, które mają być kierowane przez VPN. Parametr używany jest tylko wtedy, gdy opcja "Route all traffic through VPN" nie jest włączona.
Domyślnie: <puste>
Excluded networks (IPv4)
Parametr pozwala określić trasy (routes) w formacie CIDR (np. 10.0.0.0/8) dla protokołu IPv4, które nie powinny być kierowane przez VPN.  Parametr używany jest tylko wtedy, gdy opcja "Route all traffic through VPN" nie jest włączona.
Domyślnie: <puste>
Use default Route (IPv6)
Parametr określa czy przekierować cały ruch dla protokołu IPv6 przez tunel VPN.
Domyślnie: <prawda>
Custom routes (IPv6)
Parametr pozwala określić trasy (routes) w formacie CIDR (np. 2000:dd::23/64) dla protokołu IPv6, które mają być kierowane przez VPN. Parametr używany jest tylko wtedy, gdy opcja "Route all traffic through VPN" nie jest włączona.
Domyślnie: <puste>
Excluded networks (IPv6)
Parametr pozwala określić trasy (routes) w formacie CIDR (np. 2000:dd::23/64) dla protokołu IPv6, które nie powinny być kierowane przez VPN.  Parametr używany jest tylko wtedy, gdy opcja "Route all traffic through VPN" nie jest włączona.
Domyślnie: <puste>
Expect TLS server certificate
Parametr wymusza sprawdzenie czy serwer OpenVPN używa certyfikatu z rozszerzeniami serwera TLS (—remote-cert-tls server)
Domyślne: <fałsz>
Certificate Hostname Check
Parametr wymusza sprawdzenie nazwy podmiotu certyfikatu serwera OpenVPN (Subject DN).
Domyślnie: <fałsz>
Certificate verification type
Parametr określa sposób weryfikacji certyfikatu serwera OpenVPN. Parametr będzie używany tylko wtedy, gdy włączona została opcja "Certificate Hostname Check".
Domyślnie: <fałsz>​
Remote certificate subject
Parametr określa treść sprawdzenia nazwy certyfikatu serwera OpenVPN. Parametr będzie używany tylko wtedy, gdy włączona została opcja "Certificate Hostname Check".
Domyślnie: <fałsz>​
X509 Username field
Parametr określa pole w certyfikacie X.509, które ma być używane jako nazwa użytkownika. Parametr będzie używany tylko wtedy, gdy włączona została opcja "Certificate Hostname Check".
Domyślnie: <CN>
Use TLS Authentication
Parametr włącza uwierzytelnianie kluczem TLS.
Domyślnie: <fałsz>
TLS Certificate
Parametr oczekuje certyfikatu serwera OpenVPN w formacie base64 (inline). Parametr będzie używany tylko wtedy, gdy włączona została opcja "Use TLS Authentication".
Domyślnie: <pusty>
TLS Direction
Parametr określa określ kierunek sprawdzania klucza TLS.
Domyślnie: <pusty>
Encryption cipher
Parametr określa algorytm szyfrowania używany przez serwer OpenVPN.
Domyślnie: <AES-256-CBC>
Packet authentication
Parametr określa skrót uwierzytelniania używany w serwer OpenVPN.
Domyślnie <SHA256>
Persistent tun
Parametr zapewnia automatyczne wznowienie połączenia w przypadku zakłóceń w podstawowej sieci urządzenia.
Domyślnie: <prawda>
Push Peer info
Parametr określa czy klienta VPN powinien wysyłać dodatkowe informacje na serwer OpenVPN tj. wersja protokołu SSL, wersja systemu Android.
Domyślnie: <fałsz>
Random Host Prefix
Parametr okresla czy 6 losowych znaków ma zostać dodane przed nazwą serwera OpenVPN.
Domyślnie: <fałsz>
Allow floating server
Parametr określa czy możliwe jest uwierzytelnianie pakietów z dowolnego adresu IP np. podczas korzystania z dynamicznej adresacji IP.
Domyślnie: <fałsz>
Set MSS of TCP payload
Parametr określa maksymalny rozmiar segmentu TCP wysyłamy w komunikacji z serwerem OpenVPN.
Domyślnie: <1280>
Tunnel MTU (tun-mtu)
Parametr określa maksymalny rozmiar pakietu transmisyjnego dla tunelu VPN.
Domyślnie: <1500>
Custom options
Parametr pozwala wprowadzić niestandardowe ustawienia klienta.
Domyślnie: <explicit-exit-notify>
Connection retries
Parametr określa liczbe ponownych prób połączenia w przypadku ponownego zestawiania połączenia.
Domyślnie: <Unlimited reconnection retries>
Seconds between connections
Parametr określa liczbę sekund oczekiwania między próbami ponownego połączenia.
Domyślnie: <2>
Maximum time between connection attempts
Parametr określa maksymalny czas (ilość sekund) pomiędzy próbami ponownego połączenia. Klient będzie powoli zwiększał czas oczekiwania po nieudanej próbie połączenia do ustawionej wartości.
Domyślnie: <300>
Use VPN for all applications
Parametr określa czy wszystkie aplikacje zainstalowane na urządzeniu powinny korzystać z tunelu VPN. Parametr powinien zostać wyłączony jeżeli używana jest opcja "List of applications".
Domyślnie: <prawda>
List of applications
Parametr przyjmuje listę aplikacji, które będą korzystać z tunelu VPN, zapisaną w postaci package ID (np. pl.proget.filesharing). Identyfikatory aplikacji powinny być oddzielone od siebie za pomocą znaku średnika (;). Parametr będzie używany tylko wtedy, gdy opcja "Use VPN for all applications", została wyłączona.
Domyślnie: <pusty>
Max time to keep logs (in days)
Parametr określa ilość dni powyżej której logi aplikacji zostaną nadpisane.
Domyślnie: <1>
Log level
Parametr określa jaki poziom logowania powinien zawierać się w gromadzonych logach aplikacji.
Domyślnie: <INFO, WARNING, ERROR>

Rozpatrywanym scenariuszem jest podłączenie się do istniejącego serwera OpenVPN. Przed przystąpieniem do konfiguracji, należy rozważyć następujące elementy:
  1. zebranie danych dotyczących istniejącego serwera OpenVPN tj. adres IP lub nazwa FQDN, port, obsługiwany protokół, wspierany algorytm szyfrowania,
  2. jaki rodzaj uwierzytelniania jest wspierany przez serwer OpenVPN.
Jedną z metod uwierzytelniania dostępną w obrębie aplikcji OpenVPN for Enterprise jest metoda uwierzytelnienia przy pomocy certyfikatów użytkownika. Proget oferuje możliwość integracji z wewnętrznym menedżerem certyfikatów lub z Microsoft Certificate Authority za pomocą profilu SCEP. Uwierzytelnianie za pomocą certyfikatu pozwala wyeliminować interakcję użytkownika podczas stosowania konfiguracji. Integracji można dokonać przy pomocy zmiennych globalnych.

Always on VPN

W obrębie polityk dla urządzeń zarejestrowanych jako Android Enterprise Device Owner i Android Enterprise Profile Owner dostępna jest opcja włączenia mechanizmu Always on VPN. Jest to mechanizm systemu operacyjnego Android, który może uruchomić usługę VPN po uruchomieniu urządzenia i utrzymać ją działającą, gdy urządzenie jest włączone. Always on VPN stale tuneluje ruch objętych dzialaniem tunelu VPN aplikacji za pośrednictwem szyfrowanego połączenia VPN. Zapewnia to prywatność i bezpieczeństwo przez cały czas, niezależnie od tego, czy na urządzeniu wykorzystywane jest połączenie Wi-Fi, czy z transmisji danych komórkowych.

Procedura

1. Zaloguj się do konsoli Proget.
2. Przejdź do zakładki POLITYKI (1).
3. Z listy dostępnych polityk wybierz politykę (2) kompatybilną z aktywacją Android Enterprise Device Owner lub Android Enterprise Profile Owner.



4. Przejdź do sekcji Funkcjonalność (3) lub w polu wyszukiwania wpisz Wymuś Always on VPN (4).



5. Aby stosować mechanizm, zaznacz opcję Wymuś Always on VPN (5).
6. Wprowadź package id aplikacji VPN (6), który ma zostać objęty mechanizmem Always on VPN.
7. Zdecyduj czy aplikacje objęte tunelem VPN będą miały dostęp do sieci Internet (domyślny interfejs sieciowy urządzenia), jeżeli połączenie VPN zostało rozłączone (7).
a. Dodaj wyjątki (8), wprowadzając package id aplikacji, które powinny łączyć się do sieci Internet bez względu na to czy połączenie VPN zostało rozłączone.


8. Zapisz zmiany.
9. Przypisz politykę do grupy użytkownika bądź bezpośrednio do urządzenia.

Rozwiązywanie problemów

W przypadku napotkania problemów z połączeniem VPN, zalecamy skorzystać z modułu Logs, dostępnego w obrębie aplikacji OpenVPN for Enterprise. W tym celu:
1. Na urządzeniu mobilnym, uruchom aplikacje OpenVPN for Enterprise.
2. W prawym górnym roku kliknij ikonę trzech kropek, aby uruchomić menu.
3. Wybierz opcje Logs.
4. Logi aplikacji zostały posortowane według daty ich zapisu (od najstarszego do najnowszego).
5. W obrębie konfiguracji zarządzanej aplikacji OpenVPN for Enterprise, dostępna jest możliwość zwiększenia poziomu logowania (VERBOSE, DEBUG, INFO, WARNING, ERROR).