V tomto článku se podíváme na IKEv2 client-to-site a na to, jak jej nastavit v různých scénářích a operačních systémech [USG FLEX / ATP / VPN Series].
Certifikát, Windows, IOS, macOS, Android, klient IPSEC, konfigurace Provisioning, 2FA, Active Directory.

Tabulka obsahu

Co je IKEv2? (Obecné informace o IKEv2)

1) Nastavení IKEv2 s výchozím profilem (FLEX)

1.1 Konfigurace připojení a brány VPN IKEv2

1.2 Přidání uživatelů VPN

2) Nakonfigurujte IKEv2 na klientovi VPN

2.1 IKEv2 se systémy Android a IOS

2.2 IKEv2 se systémem MacOS

2.3 IKEv2 se starším klientem SecuExtender IPsec (3.8)

3) Konfigurace dvoufaktorového ověřování [2FA] [Google]

4) Pokud se něco pokazí

Co je IKEv2? (Obecné informace o IKEv2)

Zkratka IKEv2 znamená Internet Key Exchange Protocol Version 2.

Protokol se používá pro správu klíčů ve virtuálních privátních sítích (VPN) založených na protokolu IPsec a odstraňuje nedostatky předchozí verze IKE.

IKEv2 není kompatibilní s IKE a nahrazuje starší verzi.

Klíčové vlastnosti IKEv2
Stručně shrnuto, toto jsou klíčové vlastnosti IKEv2:

Snížená složitost
Přímočařejší a méně náchylná konfigurace k chybám
Rychlejší navazování spojení
Rychlejší obnova tunelu po selhání sítě
Eliminace typických problémů s NAT
Méně problémů s dynamickými adresami IP
Standardizace v jediném RFC
Podpora mobilních aplikací v IPsec VPN
Není zpětně kompatibilní s IKE
Používá stejný port UDP jako IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Nastavení IKEv2 s výchozím profilem (FLEX)

Abychom mohli používat IKEv2, musíme nejprve přidat bránu a připojení do naší brány firewall.
V tomto případě používáme zařízení USG FLEX.

Upozorňujeme, že doporučujeme zvolit nejvyšší možné šifrování (které může zařízení používat).

1.1 Konfigurace připojení IKEv2 VPN a brány

Zde musíme nejprve přidat bránu VPN (fáze 1).

1) Povolte bránu a pojmenujte ji.

2) Zvolte IKE verze 2

3) Vyberte certifikát "výchozí"

Nyní musíme přidat připojení (fáze 2)

1) Povolte nové připojení

2) Dejte mu název

3) Vyberte vzdálený přístup (Role serveru)

4) Vyberte bránu (fáze 1), kterou jsme vytvořili dříve

5) Podle místních zásad vybereme síť, ke které chceme přistupovat.

1.2 Přidání uživatelů VPN

Přidání uživatele (uživatelů) VPN do skupiny uživatelů VPN pro snazší správu VPN

2) Konfigurace IKEv2 v klientovi VPN

2.1 IKEv2 se systémy Android a IOS

Podívejte se na tento článek:

V tomto článku naleznete následující informace: VPN - Konfigurace IKEv2 IPSec s certifikátem v systému Android / iPhone iOS / Windows / MacOS.

2.2 IKEv2 s macOS

Podívejte se prosím na tento článek:

V tomto článku naleznete následující informace: VPN - Konfigurace IKEv2 IPSec s certifikátem na Androidu / iPhonu iOS / Windows / MacOS

2.3 IKEv2 se starším klientem SecuExtender IPsec (3.8)

Nezapomeňte, že starší klient IPsec SecuExtender je od 30. dubna 2023 EoL - více informací najdete v tomto článku:

SecuExtender VPN - konec životnosti trvalé licence [EoL] / postupné ukončení [oznámení].

Místní ID = společný název certifikátu (výchozí certifikát)

Tunel je nyní otevřen a připraven k použití.
Jednodušší způsob konfigurace klienta je popsán zde: IKEv2 - Zajištění konfigurace v systému Windows, Mac

2.4 IKEv2 s novým klientem SecuExtender IPsec [Windows / MacOS]

Další informace naleznete v tomto článku:

Více informací naleznete na stránce: VPN - Konfigurace IKEv2 VPN s certifikátem pomocí klienta SecuExtender IPSec VPN Client.

Nejprve musíme nastavit "Configuration Provisioning".

Upozornění! Pokud změníte port Provisioning, ujistěte se, že je ve Firewallu povolen provoz z WAN do zařízení!

Poté je třeba nastavit "konfiguraci Payload".

V klientovi IPSec VPN přejděte na:

Configuration > Get from Server

Nyní zadáme potřebná pověření a klikneme na tlačítko "Další".


Nyní jsme úspěšně načetli konfiguraci.

Nyní můžeme pokračovat a otevřít tunel.

3) Konfigurace dvoufaktorového ověřování [2FA] [Google]

Configuration > VPN > IPSec VPN > VPN Gateway

Configuration > Object > User/Group > Edit User > Two-Factor Authentication

Pokud používáte 2FA pomocí pošty/SMS, musíte v zařízení nastavit poštovní server.

Configuration > System > Notification

Configuration > Object > Auth. Method

Ujistěte se, že je povolen "Autorizační port" v bráně firewall "WAN to Device".

4) Pokud se něco pokazí

Ujistěte se, že máte v počítači se systémem Windows spuštěny tyto dvě služby.

Stiskněte tlačítko Windows + R:

Napište "services.msc" a klikněte na tlačítko ok:

Zkontrolujte, zda je spuštěna politika IKE a IPSec:

VPN tunel je vytvořen, ale počítač nemá přístup k internetu:

• Ve výchozím nastavení se klient VPN IKEv2 systému Windows pokusí odeslat veškerý provoz přes tunel, internetový provoz se zastaví, když je připojení VPN aktivní. Do USG je třeba přidat zásadu směrování(Policy route), aby provoz IKEv2 VPN mohl přistupovat k připojení WAN pro internetový provoz.

  Proto se ujistěte, že byly pro uživatele sítě VPN přidány položky DNS. Chcete-li to zkontrolovat, přejděte do nabídky Konfigurace -> VPN -> IPSec VPN -> Připojení VPN a upravte pravidlo IKEv2 a zaškrtněte nastavení"Configuration Payload".

• Ujistěte se, že máte na bráně firewall nejnovější verzi firmwaru.