Vigtig meddelelse: |
Denne artikel vil se på IKEv2 klient-til-site og hvordan man sætter det op i forskellige scenarier og OS [USG FLEX / ATP / VPN Series]
Certifikat, Windows, IOS, IOS, macOS, Android, IPSEC-klient, konfiguration Provisioning, 2FA, Active Directory.
Tabel over indhold
Hvad er IKEv2? (Generelle oplysninger om IKEv2)
1) Opsætning af IKEv2 med standardprofil (FLEX)
1.1 Konfigurer IKEv2 VPN-forbindelse og gateway
1.2 Tilføj VPN-brugere
2) Konfigurer IKEv2 på VPN-klienten
2.1 IKEv2 med Android og IOS
2.2 IKEv2 med macOS
2.3 IKEv2 med den gamle SecuExtender IPsec-klient (3.8)
3) Konfigurer to-faktor-autentifikation [2FA] [Google]
4) Hvis noget går galt
Hvad er IKEv2? (Generelle oplysninger om IKEv2)
Forkortelsen IKEv2 står for Internet Key Exchange Protocol Version 2.
Protokollen bruges til nøglehåndtering i IPsec-baserede virtuelle private netværk (VPN'er) og fjerner svaghederne i den tidligere version IKE.
IKEv2 er ikke kompatibel med IKE og erstatter den ældre version.
De vigtigste funktioner i IKEv2
Kort opsummeret er dette de vigtigste funktioner i IKEv2:
Reduceret kompleksitet
Mere ligetil og mindre fejlbehæftet konfiguration
Hurtigere oprettelse af forbindelser
Hurtigere genopbygning af tunnelen efter netværkssvigt
Eliminering af typiske NAT-problemer
Færre problemer med dynamiske IP-adresser
Standardiseret i en enkelt RFC
Understøttelse af mobile applikationer i IPsec-VPN'er
Ikke bagudkompatibel med IKE
Den bruger den samme UDP-port som IKE
https://www.security-insider.de/was-ist-ikev2-a-781374/
1) Opsætning af IKEv2 med standardprofil (FLEX)
For at bruge IKEv2 skal vi først tilføje en gateway og en forbindelse til vores firewall.
I dette tilfælde bruger vi en USG FLEX.
Bemærk venligst, at vi anbefaler at vælge den højest mulige kryptering (som din enhed muligvis kan bruge).
1.1 Konfigurer IKEv2 VPN-forbindelse og gateway
Configuration > VPN > IPSec VPN > VPN Gateway > Add
Her skal vi først tilføje en VPN Gateway (fase 1).
1) Aktiver gatewayen og giv den et navn.
2) Vælg IKE Version 2
3) Vælg certifikat "standard"
dyn_repppppppp_1
Nu skal vi tilføje forbindelsen (fase 2)
1) Aktiver den nye forbindelse
2) Giv den et navn
3) Vælg fjernadgang (serverrolle)
4) Vælg den Gateway (fase 1), som vi oprettede før
5) I henhold til den lokale politik vælger vi det netværk, vi ønsker at få adgang til.
1.2 Tilføj VPN-brugere
Tilføj VPN-brugeren/brugerne til en VPN-brugergruppe for at gøre VPN-administrationen nemmere
2) Konfigurer IKEv2 på VPN-klienten
2.1 IKEv2 med Android og IOS
Se venligst denne artikel:
VPN - Konfigurer IKEv2 IPSec med certifikat på Android / iPhone iOS / Windows / MacOS
2.2 IKEv2 med macOS
Se venligst denne artikel:
VPN - Konfigurer IKEv2 IPSec med certifikat på Android / iPhone iOS / Windows / MacOS
2.3 IKEv2 med Legacy SecuExtender IPsec Client (3.8)
Husk, at legacy IPsec SecuExtender er EoL siden 30. april 2023 - se denne artikel for flere oplysninger:
SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Annoucement]
Lokalt ID = certifikatets fælles navn (standardcertifikat)
Tunnelen er nu åben og klar til brug.
En nemmere måde at konfigurere klienten på er beskrevet her: IKEv2 - Konfigurationstilrådighedsstillelse på Windows, Mac
2.4 IKEv2 med den nye SecuExtender IPsec-klient [Windows / MacOS]
Du kan finde flere oplysninger i denne artikel:
VPN - Konfigurer IKEv2 VPN med certifikat ved hjælp af SecuExtender IPSec VPN Client
Først skal vi opsætte "Configuration Provisioning".
dyn_repppppppp_2Bemærk venligst! Hvis du ændrer Provisioning Port, skal du sørge for at tillade trafikken fra WAN til enheden i firewallen!
Derefter skal vi opsætte "Configuration Payload".
dyn_repppppppp_3
I IPSec VPN Client skal du gå til:
dyn_repppppppp_4
Nu indtaster vi de nødvendige legitimationsoplysninger, og klikker på "Next" (Næste).
Vi har nu hentet konfigurationen med succes.
Vi kan nu gå videre og åbne tunnelen.
3) Konfigurer to-faktor-autentificering [2FA] [Google]
dyn_repppppppp_5
dyn_repppppppp_6
Hvis du bruger 2FA via mail/SMS, skal du oprette en mailserver på enheden.
Configuration > System > Notification
dyn_repppppppp_8
Sørg for at tillade "Authorisation Port" i firewallen "WAN to Device".
4) Hvis noget går galt
Sørg for, at du har disse to tjenester kørende på din Windows-pc.
Tryk på Windows-knappen + R:
Skriv "services.msc" og klik på ok:
Kontroller, at IKE- og IPSec-politikken er startet:
VPN-tunnelen er etableret, men computeren har ingen internetadgang:
-
Som standard vil Windows IKEv2 VPN-klienten forsøge at sende al trafik gennem tunnelen, og internettrafikken vil blive blokeret, mens VPN-forbindelsen er aktiv. Der skal tilføjes en routingpolitik(Policy route) til USG for at tillade IKEv2 VPN-trafikken at få adgang til WAN-forbindelsen for internettrafik.
Sørg derfor for, at der er tilføjet DNS-poster for VPN-brugerne. Du kan kontrollere dette ved at gå til Konfiguration -> VPN -> IPSec VPN -> VPN -> VPN-forbindelse og redigere IKEv2-reglen og kontrollere opsætningen"Configuration Payload".
- Sørg for, at du har den nyeste firmwareversion på din firewall
Kommentarer
0 kommentarerLog ind for at kommentere.