USG FLEX H Series Firewall – Как да конфигурирате VPN за отдалечен достъп по IKEv2 с вградения VPN клиент на Apple macOS Tahoe 26.2?

Тази статия предоставя подробно ръководство за конфигуриране на IKEv2 Remote Access VPN за устройства с Apple macOS Sonoma. Поради настройките по подразбиране за криптиране IKEv2, използвани от клиенти на Apple macOS/iOS/iPadOS 26 (AES256GCM, PRF-SHA256 и DH Group 19), VPN шлюзът трябва да бъде конфигуриран да поддържа тези параметри, за да се гарантира успешното установяване на отдалечената VPN връзка. След инсталирането на файла за провижиране на MAC устройството, потребителите се подканват да променят настройките за удостоверяване на потребителя, за да включат потребителско име и парола. Тази стъпка гарантира сигурен и персонализиран процес на удостоверяване за достъп до VPN връзката.

Предупреждение! Тази статия предлага общ преглед на серията и може да не се отнася еднакво за всеки модел, 
версия на софтуера/фърмуера. Преди да закупите или използвате устройството, моля, консултирайте се с 
документацията за конкретния модел/версия или се свържете с техническата поддръжка за точна информация.

Забележка: Ако не можете да установите VPN връзка след актуализация до macOS Sonoma, моля, вижте следната статия за решение: Zyxel USG FLEX H Series [VPN] - Отстраняване на проблеми с VPN връзката след актуализация до macOS Sonoma

Моля, имайте предвид: Когато използвате сертификати за IKEv2 VPN връзка, Remote ID трябва да съвпада с Common Name (CN) на сертификата на отдалечения VPN шлюз. По време на удостоверяването клиентът проверява дали Remote ID съвпада с името в сертификата. Това помага за потвърждаване на самоличността на отдалеченото устройство и предпазва връзката от неоторизиран достъп.

В Zyxel Nebula Remote ID обикновено се базира на Subject Name на сертификата, който съдържа CN. В този пример Remote ID е 10.214.48.32, което съвпада с CN на сертификата (10.214.48.32).

Инсталирането на сертификат не е необходимо, когато VPN тунелът е конфигуриран ръчно.

• Влезте в уеб GUI на вашата защитна стена

Go to VPN > IPsec VPN > To set the IKEv2 related information, as shown below:

Scroll down the page until you see "Advanced Settings"

Perfect Forward Secrecy (PFS) – Определя дали се извършва допълнителен обмен на ключове по алгоритъма на Дифи-Хелман по време на IPsec Фаза 2. Когато е активирана, за всяка IPsec Security Association се генерира нов, независим ключ. Когато е деактивирана, Фаза 2 използва ключов материал, извлечен от Фаза 1.

Download the "VPN Configuration Script Download" file to your macOS device and install it

• За да настроите профила на вашата MAC OS

Go to System Preferences > Privacy and Security

• Кликнете два пъти върху изтегления профил и го инсталирайте

MAC може да ви поиска име и парола на администратор, за да настроите профила. Въведете данните и кликнете„OK“

Go to System Settings > VPN and edit the profile

• Изберете „User authentication“ (Удостоверяване на потребителя) на „Username“ (Потребителско име) и въведете потребителското име и паролата

• Активирайте VPN връзките и сте готови

За да проверите дали конфигурацията е успешна и дали е установена IKEv2 VPN връзка с посочените настройки, следвайте тези стъпки:

• Преминете към графичния потребителски интерфейс (GUI) на USG Flex H
• Отворете раздела „VPN Status“
• В „Статус на VPN“ отидете на „IPsec VPN“
• Изберете „VPN за отдалечен достъп“

След като стигнете до това място, трябва да видите, че IKEv2 VPN връзката е успешно установена