Firewall USG FLEX řady H – Jak nakonfigurovat VPN pro vzdálený přístup přes protokol IKEv2 pomocí nativního VPN klienta v systému Apple macOS Tahoe 26.2?

Tento článek obsahuje podrobný návod na konfiguraci VPN s vzdáleným přístupem IKEv2 pro zařízení Apple macOS Sonoma. Vzhledem k výchozímu nastavení šifrování IKEv2 používanému klienty Apple macOS/iOS/iPadOS 26 (AES256GCM, PRF-SHA256 a DH Group 19) musí být brána VPN nakonfigurována tak, aby podporovala tyto parametry a zajistila úspěšné navázání vzdáleného připojení VPN. Po instalaci provizního souboru na zařízení MAC jsou uživatelé vyzváni k úpravě nastavení ověřování uživatelů tak, aby zahrnovalo uživatelské jméno a heslo. Tento krok zajišťuje bezpečný a přizpůsobený proces ověřování pro přístup k připojení VPN.

Upozornění! Tento článek nabízí obecný přehled o dané řadě a nemusí platit jednotně pro každý model, 
verze softwaru/firmwaru. Před zakoupením nebo použitím zařízení si prosím prostudujte 
dokumentaci k danému modelu/verzi nebo kontaktujte technickou podporu, kde získáte přesné informace.

Poznámka: Pokud se vám po aktualizaci na macOS Sonoma nedaří navázat připojení VPN, řešení najdete v následujícím článku: Zyxel USG FLEX H Series [VPN] – Řešení problémů s připojením VPN po aktualizaci na macOS Sonoma

Upozornění: Při použití certifikátů pro připojení VPN IKEv2 se musí Remote ID shodovat s obecným názvem (CN) certifikátu vzdálené brány VPN. Během ověřování klient zkontroluje, zda se Remote ID shoduje s názvem v certifikátu. To pomáhá potvrdit identitu vzdáleného zařízení a chrání připojení před neoprávněným přístupem.

V Zyxel Nebula je Remote ID obvykle založeno na Subject Name certifikátu, který obsahuje CN. V tomto příkladu je Remote ID 10.214.48.32, což odpovídá CN certifikátu (10.214.48.32).

Při ruční konfiguraci tunelu VPN není instalace certifikátu nutná.

• Přihlaste se do webového grafického rozhraní vašeho firewallu

Go to VPN > IPsec VPN > To set the IKEv2 related information, as shown below:

Scroll down the page until you see "Advanced Settings"

Perfect Forward Secrecy (PFS) – Určuje , zda se během fáze 2 protokolu IPsec provádí další výměna klíčů Diffie-Hellman. Je-li tato možnost povolena, generuje se pro každé bezpečnostní spojení IPsec nový, nezávislý klíč. Je-li tato možnost zakázána, používá fáze 2 klíčový materiál odvozený z fáze 1.

Download the "VPN Configuration Script Download" file to your macOS device and install it

• Nastavení profilu v systému MAC OS

Go to System Preferences > Privacy and Security

• Dvakrát klikněte na stažený profil a nainstalujte jej

Systém MAC může při nastavení profilu vyžádat uživatelské jméno a heslo správce. Zadejte tyto údaje a klikněte na„OK“

Go to System Settings > VPN and edit the profile

• Zvolte možnost ověřování uživatelů „Uživatelské jméno“ a zadejte uživatelské jméno a heslo

• Povolte připojení VPN a máte hotovo

Chcete-li ověřit úspěšnou konfiguraci a navázání připojení IKEv2 VPN se zadanými nastaveními, postupujte takto:

• Přejděte do grafického uživatelského rozhraní (GUI) USG Flex H
• Přejděte do sekce Stav VPN
• V části Stav VPN přejděte na IPsec VPN
• Vyberte položku VPN pro vzdálený přístup

V této části byste měli vidět, že připojení VPN IKEv2 bylo úspěšně navázáno