В тази статия ще разгледаме IKEv2 от клиент към сайт и как да го настроим в различни сценарии и операционни системи [USG FLEX / ATP / VPN Series].
Сертификат, Windows, IOS, macOS, Android, IPSEC клиент, предоставяне на конфигурация, 2FA, Active Directory.

Таблица на съдържанието

Какво представлява IKEv2? (Обща информация за IKEv2)

1) Настройка на IKEv2 с профил по подразбиране (FLEX)

1.1 Конфигуриране на IKEv2 VPN връзка и шлюз

1.2 Добавяне на потребители на VPN

2) Конфигуриране на IKEv2 на VPN клиента

2.1 IKEv2 с Android и IOS

2.2 IKEv2 с macOS

2.3 IKEv2 с наследен IPsec клиент SecuExtender (3.8)

3) Конфигуриране на двуфакторно [2FA] удостоверяване [Google]

4) Ако нещо се обърка

Какво представлява IKEv2? (Обща информация за IKEv2)

Съкращението IKEv2 означава Internet Key Exchange Protocol Version 2 (Протокол за обмен на ключове в интернет, версия 2).

Протоколът се използва за управление на ключове във виртуални частни мрежи (VPN), базирани на IPsec, и отстранява слабостите на предишната версия IKE.

IKEv2 не е съвместим с IKE и замества по-старата версия.

Основни характеристики на IKEv2
Накратко обобщени, това са основните характеристики на IKEv2:

Намалена сложност
По-проста и по-малко склонна към грешки конфигурация
По-бързо установяване на връзка
По-бързо възстановяване на тунела след срив в мрежата
Елиминиране на типичните проблеми с NAT
По-малко проблеми с динамични IP адреси
Стандартизация в един RFC
Поддръжка на мобилни приложения в IPsec VPN
Не е обратно съвместим с IKE
Използва същия UDP порт като IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Настройка на IKEv2 с профил по подразбиране (FLEX)

За да използваме IKEv2, първо трябва да добавим шлюз и връзка към нашата защитна стена.
В този случай използваме USG FLEX.

Моля, обърнете внимание, че препоръчваме да изберете най-високото възможно криптиране (възможно да се използва от вашето устройство).

1.1 Конфигуриране на IKEv2 VPN връзка и шлюз

Configuration > VPN > IPSec VPN > VPN Gateway > Add

Тук първо трябва да добавим VPN шлюз (Фаза 1).

1) Активирайте шлюза и му дайте име.

2) Изберете IKE версия 2

3) Изберете сертификат "по подразбиране"

Configuration > VPN > IPSec VPN > VPN Connection > Add

Сега трябва да добавим връзката (Фаза 2)

1) Активирайте новата връзка

2) Дайте й име.

3) Изберете Отдалечен достъп (Роля на сървър)

4) Изберете шлюза (Фаза 1), който създадохме преди това

5) Съгласно местната политика избираме мрежата, до която искаме да имаме достъп.

1.2 Добавяне на потребители на VPN

Добавяне на потребителя(ите) на VPN към потребителска група на VPN за по-лесно управление на VPN

2) Конфигуриране на IKEv2 на VPN клиента

2.1 IKEv2 с Android и IOS

Моля, разгледайте тази статия:

VPN - Конфигуриране на IKEv2 IPSec със сертификат в Android / iPhone iOS / Windows / MacOS

2.2 IKEv2 с MacOS

Моля, погледнете тази статия:

VPN - Конфигуриране на IKEv2 IPSec със сертификат в Android / iPhone iOS / Windows / MacOS

2.3 IKEv2 с наследен клиент SecuExtender IPsec (3.8)

Не забравяйте, че наследеният IPsec SecuExtender е EoL от 30 април 2023 г. - за повече информация погледнете тази статия:

SecuExtender VPN - Краен срок на действие на безсрочния лиценз [EoL] / Излизане от употреба [Annoucement]

Локален идентификатор = Общо име на сертификата (сертификат по подразбиране)

Тунелът вече е отворен и готов за използване.
По-лесен начин за конфигуриране на клиента е описан тук: IKEv2 - конфигуриране на Windows, Mac

2.4 IKEv2 с новия клиент SecuExtender IPsec Client [Windows / MacOS]

За повече информация, моля, разгледайте тази статия:

VPN - Конфигуриране на IKEv2 VPN със сертификат с помощта на SecuExtender IPSec VPN Client

Първо, трябва да настроим "Configuration Provisioning".

Configuration > VPN > IPSec VPN > Configuration Provisioning

Моля, обърнете внимание! Ако промените порта на Provisioning, уверете се, че сте разрешили трафика от WAN към устройството в защитната стена!

След това трябва да настроим "конфигурационния полезен товар".

Configuration > VPN > IPSec VPN > VPN Connection > Edit

В IPSec VPN клиента отидете на:

Configuration > Get from Server

Сега въвеждаме необходимите данни и щракваме върху "Next".


Сега вече успешно извличаме конфигурацията.

Сега можем да продължим и да отворим тунела.

3) Конфигуриране на двуфакторно [2FA] удостоверяване [Google]

Configuration > VPN > IPSec VPN > VPN Gateway

Configuration > Object > User/Group > Edit User > Two-Factor Authentication

Ако използвате 2FA чрез Mail/SMS, трябва да настроите Mailserver на устройството.

Configuration > System > Notification

Configuration > Object > Auth. Method

Моля, уверете се, че сте разрешили "Порта за оторизация" в защитната стена "WAN към устройството".

4) Ако нещо се обърка

Уверете се, че тези две услуги са стартирани на вашия компютър с Windows.

Натиснете бутона Windows + R:

Напишете "services.msc" и натиснете ОК:

Уверете се, че политиката за IKE и IPSec е стартирана:

VPN тунелът е създаден, но компютърът няма интернет:

• По подразбиране клиентът на Windows IKEv2 VPN се опитва да изпрати целия трафик през тунела, интернет трафикът ще бъде спрян, докато VPN връзката е активна. Необходимо е да се добави политика за маршрутизация(Policy route) в USG, за да се позволи на IKEv2 VPN трафика да получи достъп до WAN връзката за интернет трафик.

  Затова се уверете, че са добавени DNS записи за потребителите на VPN. За да проверите това, отидете в Configuration (Конфигурация) -> VPN (VPN) -> IPSec VPN (IPSec VPN) -> VPN Connection (VPN връзка) и редактирайте правилото IKEv2, като отбележите настройката"Configuration Payload" (Полезен товар за конфигурация).

• Уверете се, че имате най-новата версия на фърмуера на защитната стена