Dieser Artikel befasst sich mit IKEv2 Client-to-Site und dessen Einrichtung in verschiedenen Szenarien und Betriebssystemen [USG FLEX / ATP / VPN Series]
Zertifikat, Windows, IOS, macOS, Android, IPSEC-Client, Konfigurationsbereitstellung, 2FA, Active Directory.

Inhaltsverzeichnis

Was ist IKEv2? (Allgemeine Informationen über IKEv2)

1) Einrichtung von IKEv2 mit Standardprofil (FLEX)

1.1 IKEv2 VPN-Verbindung und Gateway konfigurieren

1.2 Hinzufügen der VPN-Benutzer

2) Konfigurieren Sie IKEv2 auf dem VPN-Client

2.1 IKEv2 mit Android und IOS

2.2 IKEv2 unter macOS

2.3 IKEv2 mit Legacy SecuExtender IPsec Client (3.8)

3) Konfigurieren Sie die Zwei-Faktor-Authentifizierung [2FA] [Google]

4) Wenn etwas schief geht

Was ist IKEv2? (Allgemeine Informationen über IKEv2)

Die Abkürzung IKEv2 steht für Internet Key Exchange Protocol Version 2.

Das Protokoll wird für die Schlüsselverwaltung in IPsec-basierten virtuellen privaten Netzwerken (VPNs) verwendet und beseitigt Schwachstellen der Vorgängerversion IKE.

IKEv2 ist nicht kompatibel mit IKE und ersetzt die ältere Version.

Die wichtigsten Merkmale von IKEv2
Kurz zusammengefasst sind dies die entscheidenden Merkmale von IKEv2:

Geringere Komplexität
Unkompliziertere und weniger fehleranfällige Konfiguration
Schnellerer Verbindungsaufbau
Schnellerer Tunnelaufbau nach Netzwerkausfällen
Beseitigung der typischen NAT-Probleme
Weniger Probleme mit dynamischen IP-Adressen
Standardisiert in einem einzigen RFC
Unterstützung für mobile Anwendungen in IPsec VPNs
Nicht rückwärtskompatibel mit IKE
Es verwendet denselben UDP-Port wie IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Einrichtung von IKEv2 mit Standardprofil (FLEX)

Um IKEv2 zu verwenden, müssen wir zunächst ein Gateway und eine Verbindung zu unserer Firewall hinzufügen.
In diesem Fall verwenden wir eine USG FLEX.

Bitte beachten Sie, dass wir empfehlen, die höchstmögliche Verschlüsselung zu wählen (die von Ihrem Gerät verwendet werden kann).

1.1 IKEv2 VPN-Verbindung & Gateway konfigurieren

Configuration > VPN > IPSec VPN > VPN Gateway > Add

Hier müssen wir zunächst ein VPN-Gateway hinzufügen (Phase 1).

1) Aktivieren Sie das Gateway und geben Sie ihm einen Namen.

2) Wählen Sie IKE Version 2

3) Wählen Sie das Zertifikat "Standard".

Configuration > VPN > IPSec VPN > VPN Connection > Add

Nun müssen wir die Verbindung hinzufügen (Phase 2)

1) Aktivieren Sie die neue Verbindung

2) Geben Sie ihr einen Namen

3) Wählen Sie Fernzugriff (Server-Rolle)

4) Wählen Sie das zuvor erstellte Gateway (Phase 1)

5) Gemäß der lokalen Richtlinie wählen wir das Netzwerk, auf das wir zugreifen wollen.

1.2 Hinzufügen der VPN-Benutzer

Hinzufügen des/der VPN-Benutzer(s) zu einer VPN-Benutzergruppe zur einfacheren VPN-Verwaltung

2) Konfigurieren Sie IKEv2 auf dem VPN-Client

2.1 IKEv2 mit Android und IOS

Bitte schauen Sie sich diesen Artikel an:

VPN - IKEv2 IPSec mit Zertifikat auf Android / iPhone iOS / Windows / MacOS konfigurieren

2.2 IKEv2 mit macOS

Bitte schauen Sie sich diesen Artikel an:

VPN - IKEv2 IPSec mit Zertifikat konfigurieren auf Android / iPhone iOS / Windows / MacOS

2.3 IKEv2 mit altem SecuExtender IPsec-Client (3.8)

Denken Sie daran, dass der alte IPsec SecuExtender seit dem 30. April 2023 nicht mehr verfügbar ist - weitere Informationen finden Sie in diesem Artikel:

SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Ankündigung]

Lokale ID = Common Name des Zertifikats (Standardzertifikat)

Der Tunnel ist nun geöffnet und einsatzbereit.
Eine einfachere Möglichkeit, den Client zu konfigurieren, wird hier beschrieben: IKEv2 - Konfigurationsbereitstellung unter Windows, Mac

2.4 IKEv2 mit dem neuen SecuExtender IPsec-Client [Windows / MacOS]

Für weitere Informationen lesen Sie bitte diesen Artikel:

VPN - IKEv2 VPN mit Zertifikat konfigurieren mit SecuExtender IPSec VPN Client

Zuerst müssen wir die "Configuration Provisioning" einrichten.

Configuration > VPN > IPSec VPN > Configuration Provisioning

Bitte beachten Sie! Wenn Sie den Provisioning Port ändern, stellen Sie sicher, dass Sie den Verkehr vom WAN zum Gerät in der Firewall zulassen!

Dann müssen wir die "Konfiguration Payload" einrichten.

Configuration > VPN > IPSec VPN > VPN Connection > Edit

Gehen Sie im IPSec VPN Client zu:

Configuration > Get from Server

Nun geben wir die benötigten Anmeldedaten ein und klicken auf "Weiter".


Wir haben die Konfiguration nun erfolgreich abgerufen.

Wir können nun fortfahren und den Tunnel öffnen.

3) Konfigurieren Sie die Zwei-Faktoren-Authentifizierung [2FA] [Google]

Configuration > VPN > IPSec VPN > VPN Gateway

Configuration > Object > User/Group > Edit User > Two-Factor Authentication

Wenn Sie 2FA per Mail/SMS verwenden, müssen Sie einen Mailserver auf dem Gerät einrichten.

Configuration > System > Notification

Configuration > Object > Auth. Method

Bitte stellen Sie sicher, dass der "Authorisation Port" in der Firewall "WAN to Device" zugelassen ist.

4) Wenn etwas schief geht

Stellen Sie sicher, dass diese beiden Dienste auf Ihrem Windows-PC ausgeführt werden.

Drücken Sie die Windows-Taste + R:

Schreiben Sie "services.msc" und klicken Sie auf ok:

Stellen Sie sicher, dass die IKE- und IPSec-Richtlinie gestartet ist:

Der VPN-Tunnel ist eingerichtet, aber der Computer hat kein Internet:

• Standardmäßig versucht der Windows IKEv2 VPN-Client, den gesamten Datenverkehr durch den Tunnel zu schicken, der Internetverkehr wird blockiert, während die VPN-Verbindung aktiv ist. Dem USG muss eine Routing-Richtlinie(Policy route) hinzugefügt werden, damit der IKEv2-VPN-Verkehr auf die WAN-Verbindung für den Internetverkehr zugreifen kann.

  Stellen Sie daher sicher, dass DNS-Einträge für die VPN-Benutzer hinzugefügt wurden. Um dies zu überprüfen, gehen Sie zu Konfiguration -> VPN -> IPSec VPN -> VPN-Verbindung, bearbeiten Sie die IKEv2-Regel und überprüfen Sie die Einstellung"Configuration Payload".

• Stellen Sie sicher, dass Sie die neueste Firmware-Version auf Ihrer Firewall haben.