Firewall USG FLEX serie H: ¿Cómo configurar una VPN de acceso remoto IKEv2 con el cliente VPN nativo de Apple macOS Tahoe 26.2?

Este artículo ofrece una guía paso a paso sobre cómo configurar la VPN de acceso remoto IKEv2 para dispositivos Apple macOS Sonoma. Debido a la configuración de cifrado IKEv2 predeterminada que utilizan los clientes de Apple macOS/iOS/iPadOS 26 (AES256GCM, PRF-SHA256 y DH Group 19), la puerta de enlace VPN debe configurarse para admitir estos parámetros a fin de garantizar el establecimiento correcto de la conexión VPN remota. Tras instalar el archivo de aprovisionamiento en el dispositivo MAC, se solicita a los usuarios que modifiquen la configuración de autenticación de usuario para incluir un nombre de usuario y una contraseña. Este paso garantiza un proceso de autenticación seguro y personalizado para acceder a la conexión VPN.

¡Aviso legal! Este artículo ofrece una descripción general de la serie y puede que no se aplique de manera uniforme a todos los modelos, 
versión de software o firmware. Antes de adquirir o utilizar el dispositivo, consulte la 
documentación específica del modelo o la versión, o póngase en contacto con el servicio técnico para obtener información precisa.

Nota: Si no puede establecer una conexión VPN tras actualizar a macOS Sonoma, consulte el siguiente artículo para obtener una solución: Serie Zyxel USG FLEX H [VPN] - Solución de problemas de conexión VPN tras actualizar a macOS Sonoma

Nota: Al utilizar certificados para una conexión VPN IKEv2, el ID remoto debe coincidir con el nombre común (CN) del certificado de la puerta de enlace VPN remota. Durante la autenticación, el cliente comprueba que el ID remoto coincida con el nombre del certificado. Esto ayuda a confirmar la identidad del dispositivo remoto y protege la conexión contra el acceso no autorizado.

En Zyxel Nebula, el ID remoto suele basarse en el nombre del sujeto del certificado, que contiene el CN. En este ejemplo, el ID remoto es 10.214.48.32, que coincide con el CN del certificado (10.214.48.32).

No es necesario instalar el certificado cuando el túnel VPN se configura manualmente.

• Inicie sesión en la interfaz gráfica de usuario web de su firewall

Go to VPN > IPsec VPN > To set the IKEv2 related information, as shown below:

Scroll down the page until you see "Advanced Settings"

Perfect Forward Secrecy (PFS): define si se realiza un intercambio de claves Diffie-Hellman adicional durante la fase 2 de IPsec. Cuando está habilitado, se genera una clave nueva e independiente para cada asociación de seguridad IPsec. Cuando está deshabilitado, la fase 2 utiliza el material de clave derivado de la fase 1.

Download the "VPN Configuration Script Download" file to your macOS device and install it

• Para configurar el perfil en tu sistema operativo MAC

Go to System Preferences > Privacy and Security

• Haga doble clic en el perfil descargado e instálelo

Es posible que MAC le solicite un nombre de usuario y una contraseña de administrador para configurar el perfil; introduzca los datos y haga clic en«Aceptar»

Go to System Settings > VPN and edit the profile

• Selecciona «Autenticación de usuario» como «Nombre de usuario» y escribe el nombre de usuario y la contraseña

• Habilita las conexiones VPN y ya está

Para verificar que la configuración y el establecimiento de la conexión VPN IKEv2 con los ajustes especificados se han realizado correctamente, sigue estos pasos:

• Acceda a la interfaz gráfica de usuario (GUI) de USG Flex H
• Acceda a la sección «VPN Status»
• Dentro de «Estado de la VPN», ve a «VPN IPsec»
• Seleccione «VPN de acceso remoto»

Al llegar a esta ubicación, debería comprobar que la conexión VPN IKEv2 se ha establecido correctamente