Корпоративный VPN на iPhone нужен, чтобы сотрудник мог безопасно открыть внутренние ресурсы компании: почту, CRM, файлы, Git-сервер, Jira, портал или админку. В хорошей схеме пользователь просто подключается, а сложность остается на стороне администратора.
В iOS уже есть встроенный VPN-клиент, но он не заменяет корпоративную инфраструктуру. Нужны VPN-шлюз, учетные записи, сертификаты, DNS, маршруты и правила доступа. Если собрать схему наспех, внутренний сайт может открываться только по IP, мобильная сеть будет рвать туннель, а поддержка получит одни и те же вопросы.
Что умеет iOS и когда нужен MDM
iPhone поддерживает IKEv2, L2TP/IPsec и Cisco IPsec. Для новых корпоративных настроек чаще выбирают IKEv2: он работает с сертификатами, профилями управления и сменой сети. Например, телефон может перейти с Wi-Fi на LTE, а туннель при корректной настройке не должен падать от одного переключения.
Вручную IKEv2 настраивается через «Настройки», «Основные», «VPN и управление устройством», «VPN», «Добавить конфигурацию VPN». В поле «Тип» выбирают IKEv2, затем вводят описание, адрес сервера, удаленный ID, локальный ID при необходимости, имя пользователя или сертификат. После сохранения подключение появляется в списке VPN.
Ручной способ годится для теста или маленькой команды. В компании лучше использовать MDM: Microsoft Intune, Jamf, Workspace ONE, Kandji, ManageEngine или другую систему управления. Через MDM можно раздать профиль, сертификаты, DNS, правила автоподключения и ограничения.
MDM становится почти обязательным, если нужны Per-App VPN, Always On VPN, сертификаты без ручной пересылки, быстрый отзыв доступа и привязка туннеля к конкретным приложениям. Без управления устройствами VPN часто превращается в набор инструкций, которые нормально работают только в день настройки.
Какой туннель выбрать: весь трафик, часть трафика или приложения
Full tunnel отправляет через VPN весь трафик iPhone. Компания может применять единые фильтры, журналы и правила безопасности. Такой режим понятен для служебных устройств и недоверенных сетей, но требует мощного шлюза. Видеозвонки, обновления и обычный веб-трафик тоже пойдут через корпоративный канал, если их специально не исключить.
Split tunnel работает мягче: через VPN идут только внутренние адреса и домены, а обычный интернет остается снаружи. Для мобильных сотрудников это часто удобнее и быстрее. Слабое место одно, зато частое: DNS. Если маршруты настроены, а внутренние имена нет, сервер по IP откроется, а portal.company.local уже нет.
Per-App VPN включает туннель только для выбранных управляемых приложений. Например, корпоративный браузер, почта и CRM идут через VPN, а личные приложения работают напрямую. Для BYOD, то есть личных устройств сотрудников, такой подход обычно честнее: компания защищает рабочий доступ, но не тащит через себя весь личный трафик.
Always On VPN нужен для обратной логики. iPhone держит туннель постоянно, а при сбое подключение может блокироваться. На iOS этот режим связан с IKEv2 и контролируемыми устройствами. Для личного телефона это почти всегда перебор, а для служебного устройства с доступом к важным системам вариант рабочий.
| Режим | Что делает | Плюсы | Минусы |
|---|---|---|---|
| Full tunnel | Весь трафик идет через VPN | Больше контроля | Выше нагрузка и задержки |
| Split tunnel | Через VPN идут только нужные сети | Быстрее для пользователя | Нужны точные маршруты и DNS |
| Per-App VPN | VPN работает только для выбранных приложений | Хорошо для личных iPhone | Нужны MDM и управляемые приложения |
| Always On VPN | Туннель включен постоянно | Меньше зависит от пользователя | Подходит не для всех устройств |
Какие клиенты использовать в 2026 году
Выбор клиента обычно диктует инфраструктура. Если компания работает на Cisco, смотрят на Cisco Secure Client. Он пришел на смену AnyConnect, поддерживает системный туннель, Per-App VPN, Connect On Demand и split tunneling. Сильная сторона Cisco в зрелых функциях. Минус простой: без настроенного шлюза и лицензий приложение само по себе не поможет.
Для Fortinet-среды логичен FortiClient. На iOS он работает с IPsec VPN и SSL VPN, поддерживает split tunnel, DNS-настройки, сертификаты и FortiToken. Перед внедрением стоит сверить версии FortiOS, FortiGate, FortiClient и EMS.
Если используются межсетевые экраны Palo Alto Networks, обычно выбирают GlobalProtect. Клиент подключается к порталу и шлюзам GlobalProtect, поддерживает удаленный доступ, IPsec или SSL, сертификаты, SAML и другие способы входа.
Microsoft Tunnel удобен организациям на Intune и Entra ID. На iOS клиентом выступает Microsoft Defender for Endpoint, а доступ можно связать с Conditional Access. Важное ограничение: для Microsoft Tunnel на iOS per-app VPN и split tunneling rules не работают одновременно.
OpenVPN Connect подходит, если уже есть OpenVPN Access Server, CloudConnexa или совместимый сервер. Приложение импортирует профиль из файла или URL. WireGuard ценят за скорость и простую архитектуру, но в компании надо отдельно продумать выдачу ключей, отзыв доступа, MFA и аудит.
Практическая схема настройки
Начинать лучше не с приложения в App Store, а с задачи. Кто подключается, к каким ресурсам, с каких устройств, на какой срок и с каким уровнем контроля. Для личных iPhone чаще выбирают Per-App VPN, чтобы отделить рабочие приложения от личного трафика. Для служебных устройств с важным доступом можно рассматривать full tunnel или Always On VPN.
Дальше выбирают вход. Общий пароль на отдел использовать нельзя: аудит сразу теряет смысл. Нормальная схема включает отдельную учетную запись, MFA и, по возможности, сертификат пользователя или устройства. Сертификаты лучше выдавать через MDM, а не пересылать файлами в мессенджере.
Затем собирают профиль. В MDM указывают тип VPN, сервер, DNS, маршруты, способ аутентификации, правила On Demand и список приложений для Per-App VPN. Если используется сторонний клиент, приложение сначала разворачивают на устройство, потом связывают с профилем.
Проверка должна идти в трех условиях: офисный Wi-Fi, домашний Wi-Fi и мобильная сеть. Откройте внутренний ресурс по имени, проверьте нужное приложение и убедитесь, что обычный интернет не сломался. Если всё работает только по IP, почти наверняка надо смотреть DNS.
- Определите тип устройства: личное, служебное или supervised.
- Выберите режим: full tunnel, split tunnel, Per-App VPN или Always On VPN.
- Настройте отдельные учетные записи, MFA и сертификаты.
- Разверните профиль через MDM или вручную для пилота.
- Проверьте DNS, внутренние домены и работу через мобильную сеть.
Итог
Для небольшого теста хватит встроенного IKEv2. Для постоянной корпоративной работы лучше использовать MDM, сертификаты и понятные правила маршрутизации. Для личных iPhone обычно разумнее Per-App VPN, для служебных устройств с важным доступом можно смотреть в сторону Always On VPN.
Главное не путать VPN-клиент с готовой безопасностью. Клиент на iPhone только подключается к инфраструктуре, а защищенность дают сервер, учетные записи, MFA, сертификаты, DNS, маршруты и нормальная политика доступа. Так рабочий туннель перестает быть лотереей.
Материал стоит воспринимать как справочную основу. Перед внедрением в рабочей сети лучше сверить настройки с политикой компании, требованиями безопасности, договорами с поставщиками и правилами обработки трафика.
