Este artículo se verá en IKEv2 cliente-a-sitio y cómo configurarlo en varios escenarios y OS [USG FLEX / ATP / VPN Series].
Certificado, Windows, IOS, macOS, Android, Cliente IPSEC, Aprovisionamiento de configuración, 2FA, Active Directory.

Tabla de contenido

¿Qué es IKEv2? (Información general sobre IKEv2)

1) Configuración de IKEv2 con Perfil por Defecto (FLEX)

1.1 Configurar la conexión VPN IKEv2 y la pasarela

1.2 Añadir los usuarios VPN

2) Configurar IKEv2 en el cliente VPN

2.1 IKEv2 con Android e IOS

2.2 IKEv2 con macOS

2.3 IKEv2 con Legacy SecuExtender IPsec Client (3.8)

3) Configurar la autenticación de dos factores [2FA] [Google]

4) Si algo va mal

¿Qué es IKEv2? (Información general sobre IKEv2)

La abreviatura IKEv2 significa Protocolo de Intercambio de Claves de Internet Versión 2.

Este protocolo se utiliza para la gestión de claves en redes privadas virtuales (VPN) basadas en IPsec y elimina los puntos débiles de la versión anterior IKE.

IKEv2 no es compatible con IKE y sustituye a la versión anterior.

Características principales de IKEv2
Brevemente resumidas, estas son las características fundamentales de IKEv2:

Menor complejidad
Configuración más sencilla y menos propensa a errores
Establecimiento más rápido de la conexión
Reconstrucción más rápida del túnel tras fallos de la red
Eliminación de los problemas típicos de NAT
Menos problemas con direcciones IP dinámicas
Estandarizado en una única RFC
Compatibilidad con aplicaciones móviles en VPN IPsec
No es compatible hacia atrás con IKE
Utiliza el mismo puerto UDP que IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Configuración de IKEv2 con perfil por defecto (FLEX)

Para utilizar IKEv2, primero debemos añadir una puerta de enlace y una conexión a nuestro cortafuegos.
En este caso, estamos utilizando un USG FLEX.

Tenga en cuenta que recomendamos elegir el cifrado más alto posible (que pueda utilizar su dispositivo).

1.1 Configurar la conexión VPN IKEv2 y la pasarela

Configuration > VPN > IPSec VPN > VPN Gateway > Add

Aquí necesitamos añadir primero una puerta de enlace VPN (Fase 1).

1) Habilitar la puerta de enlace y darle un nombre.

2) Elija IKE Versión 2

3) Elija Certificado "por defecto

Configuration > VPN > IPSec VPN > VPN Connection > Add

Ahora tenemos que añadir la Conexión (Fase 2)

1) Habilitar la nueva conexión

2) Déle un nombre

3) Elija Acceso remoto (Función de servidor)

4) Elige el Gateway (Fase 1) que creamos antes

5) Según la política local, elegimos la red a la que queremos acceder.

1.2 Añadir los usuarios VPN

Añada los usuarios VPN a un grupo de usuarios VPN para facilitar la gestión de la VPN.

2) Configurar IKEv2 en el cliente VPN

2.1 IKEv2 con Android e IOS

Consulte este artículo:

VPN - Configurar IKEv2 IPSec con Certificado en Android / iPhone iOS / Windows / MacOS

2.2 IKEv2 con macOS

Consulte este artículo:

VPN - Configurar IKEv2 IPSec con certificado en Android / iPhone iOS / Windows / MacOS

2.3 IKEv2 con cliente IPsec SecuExtender heredado (3.8)

Recuerde que el SecuExtender IPsec heredado es EoL desde el 30 de abril de 2023 - para más información, mire este artículo:

SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Anuncio] (en inglés)

ID local = Nombre común del certificado (certificado por defecto)

El Túnel está ahora abierto y listo para usar.
Aquí se describe una forma más sencilla de configurar el cliente: IKEv2 - Configuración de aprovisionamiento en Windows, Mac

2.4 IKEv2 con el nuevo cliente SecuExtender IPsec [Windows / MacOS].

Para más información, consulte este artículo:

VPN - Configurar VPN IKEv2 con Certificado usando el Cliente VPN SecuExtender IPSec

En primer lugar, tenemos que establecer el "Aprovisionamiento de configuración".

Configuration > VPN > IPSec VPN > Configuration Provisioning

¡Atención! Si cambia el Puerto de Aprovisionamiento, ¡asegúrese de permitir el Tráfico desde la WAN al Dispositivo en el Firewall!

A continuación, tenemos que configurar la "carga útil de configuración".

Configuration > VPN > IPSec VPN > VPN Connection > Edit

En el cliente VPN IPSec, vaya a:

Configuration > Get from Server

Ahora introducimos las credenciales necesarias, y pulsamos en "Siguiente".


Ahora hemos recuperado con éxito la configuración.

Ahora podemos continuar y abrir el túnel.

3) Configure la autenticación de dos factores [2FA] [Google].

Configuration > VPN > IPSec VPN > VPN Gateway

Si utilizas 2FA por Mail/SMS, necesitas configurar un Mailserver en el dispositivo.

Por favor, asegúrese de permitir el "Puerto de Autorización" en el Firewall "WAN a Dispositivo".

4) Si algo va mal

Asegúrese de que estos dos servicios se están ejecutando en su PC con Windows.

Pulsa el botón de Windows + R:

Escribe "services.msc" y pulsa ok:

Asegúrese de que se inicia la Política IKE e IPSec:

El túnel VPN está establecido pero el ordenador no tiene Internet:

• Por defecto, el cliente Windows IKEv2 VPN intentará enviar todo el tráfico a través del túnel, el tráfico de Internet se bloqueará mientras la conexión VPN esté activa. Es necesario añadir una política de enrutamiento(Policy route) al USG para permitir que el tráfico VPN IKEv2 acceda a la conexión WAN para el tráfico de Internet.

  Por lo tanto, asegúrese de que se han añadido entradas DNS para los usuarios de la VPN. Para comprobarlo, vaya a Configuración -> VPN -> IPSec VPN -> Conexión VPN y edite la regla IKEv2 y marque la configuración"Carga útil de configuración".

• Asegúrese de que tiene la última versión de firmware en su firewall