USG FLEX H-Serie Firewall – Wie konfiguriert man ein IKEv2-Fernzugriffs-VPN mit dem nativen VPN-Client von Apple macOS Tahoe 26.2?

Dieser Artikel enthält eine Schritt-für-Schritt-Anleitung zur Konfiguration des IKEv2-Remote-Access-VPN für Apple macOS Sonoma-Geräte. Aufgrund der von Apple macOS/iOS/iPadOS 26-Clients verwendeten Standard-IKEv2-Verschlüsselungseinstellungen (AES256GCM, PRF-SHA256 und DH Group 19) muss das VPN-Gateway so konfiguriert werden, dass es diese Parameter unterstützt, um den erfolgreichen Aufbau der Remote-VPN-Verbindung sicherzustellen. Nach der Installation der Provisioning-Datei auf dem MAC-Gerät werden Benutzer aufgefordert, die Benutzerauthentifizierungseinstellungen so anzupassen, dass ein Benutzername und ein Passwort enthalten sind. Dieser Schritt gewährleistet einen sicheren und maßgeschneiderten Authentifizierungsprozess für den Zugriff auf die VPN-Verbindung.

Haftungsausschluss! Dieser Artikel bietet einen allgemeinen Überblick über die Serie und gilt möglicherweise nicht einheitlich für jedes Modell, 
Software-/Firmware-Version. Bitte konsultieren Sie vor dem Kauf oder der Nutzung des Geräts die 
modell-/versionsspezifische Dokumentation oder wenden Sie sich an den technischen Support, um genaue Informationen zu erhalten.

Hinweis: Wenn Sie nach dem Upgrade auf macOS Sonoma keine VPN-Verbindung herstellen können, finden Sie eine Lösung im folgenden Artikel: Zyxel USG FLEX H-Serie [VPN] – Fehlerbehebung bei VPN-Verbindungsproblemen nach dem Update auf macOS Sonoma

Bitte beachten Sie: Bei der Verwendung von Zertifikaten für eine IKEv2-VPN-Verbindung muss die Remote-ID mit dem Common Name (CN) des Zertifikats des entfernten VPN-Gateways übereinstimmen. Während der Authentifizierung überprüft der Client, ob die Remote-ID mit dem Namen im Zertifikat übereinstimmt. Dies hilft bei der Bestätigung der Identität des entfernten Geräts und schützt die Verbindung vor unbefugtem Zugriff.

Bei Zyxel Nebula basiert die Remote-ID in der Regel auf dem Subject Name des Zertifikats, der den CN enthält. In diesem Beispiel lautet die Remote-ID 10.214.48.32, was mit dem CN des Zertifikats (10.214.48.32) übereinstimmt.

Die Installation eines Zertifikats ist nicht erforderlich, wenn der VPN-Tunnel manuell konfiguriert wird.

• Melden Sie sich bei der Web-GUI Ihrer Firewall an

Go to VPN > IPsec VPN > To set the IKEv2 related information, as shown below:

Scroll down the page until you see "Advanced Settings"

Perfect Forward Secrecy (PFS) – Legt fest , ob während der IPsec-Phase 2 ein zusätzlicher Diffie-Hellman-Schlüsselaustausch durchgeführt wird. Wenn diese Option aktiviert ist, wird für jede IPsec-Sicherheitsassoziation ein neuer, unabhängiger Schlüssel generiert. Wenn diese Option deaktiviert ist, verwendet Phase 2 Schlüsselmaterial, das aus Phase 1 abgeleitet wurde.

Download the "VPN Configuration Script Download" file to your macOS device and install it

• So richten Sie das Profil auf Ihrem Mac OS ein

Go to System Preferences > Privacy and Security

• Doppelklicken Sie auf das heruntergeladene Profil und installieren Sie es

MAC fordert möglicherweise einen Administrator-Benutzernamen und ein Passwort an, um das Profil einzurichten. Geben Sie die Daten ein und klicken Sie auf„OK“

Go to System Settings > VPN and edit the profile

• Wählen Sie als Benutzerauthentifizierung „Benutzername“ und geben Sie den Benutzernamen und das Passwort ein

• Aktivieren Sie VPN-Verbindungen, und schon sind Sie fertig

Um die erfolgreiche Konfiguration und den Aufbau der IKEv2-VPN-Verbindung mit den angegebenen Einstellungen zu überprüfen, führen Sie folgende Schritte aus:

• Navigieren Sie zur grafischen Benutzeroberfläche (GUI) von USG Flex H
• Rufen Sie den Abschnitt „VPN-Status“ auf
• Gehen Sie im Bereich „VPN-Status“ zu „IPsec-VPN“
• Wählen Sie „Remote Access VPN“

An dieser Stelle sollten Sie feststellen, dass die IKEv2-VPN-Verbindung erfolgreich hergestellt wurde