Tässä artikkelissa tarkastellaan IKEv2-asiakkaiden välistä yhteyttä ja sen määrittämistä eri skenaarioissa ja käyttöjärjestelmissä [USG FLEX / ATP / VPN Series].
Varmenne, Windows, IOS, macOS, Android, IPSEC-asiakas, konfigurointi Provisioning, 2FA, Active Directory.

Sisällysluettelo

Mikä on IKEv2? (Yleistä tietoa IKEv2:sta)

1) IKEv2:n asennus oletusprofiililla (FLEX)

1.1 IKEv2 VPN-yhteyden ja yhdyskäytävän määrittäminen

1.2 VPN-käyttäjien lisääminen

2) Määritä IKEv2 VPN-asiakkaaseen.

2.1 IKEv2 Androidilla ja IOS:llä

2.2 IKEv2 macOS:n kanssa

2.3 IKEv2 vanhan SecuExtender IPsec-asiakkaan (3.8) kanssa

3) Määritä kaksitekijäisen [2FA]-todennuksen konfigurointi [Google].

4) Jos jokin menee pieleen

Mikä on IKEv2? (Yleistä tietoa IKEv2:sta)

Lyhenne IKEv2 tarkoittaa Internet Key Exchange Protocol Version 2 -protokollaa.

Protokollaa käytetään avainten hallintaan IPsec-pohjaisissa virtuaalisissa yksityisverkoissa (VPN), ja se poistaa edellisen IKE-version heikkoudet.

IKEv2 ei ole yhteensopiva IKE:n kanssa ja korvaa vanhemman version.

IKEv2:n tärkeimmät ominaisuudet
Lyhyesti tiivistettynä nämä ovat IKEv2:n kriittiset ominaisuudet:

Vähennetty monimutkaisuus
Suoraviivaisempi ja vähemmän virhealtis konfigurointi.
Nopeampi yhteyden muodostaminen
Nopeampi tunnelin uudelleenrakentaminen verkkovikojen jälkeen
Tyypillisten NAT-ongelmien poistaminen
Vähemmän ongelmia dynaamisten IP-osoitteiden kanssa
Standardoitu yhdellä RFC:llä
Tuki mobiilisovelluksille IPsec VPN:ssä
Ei taaksepäin yhteensopiva IKE:n kanssa
Käyttää samaa UDP-porttia kuin IKE.

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) IKEv2:n asennus oletusprofiililla (FLEX)

IKEv2:n käyttämiseksi meidän on ensin lisättävä yhdyskäytävä ja yhteys palomuuriin.
Tässä tapauksessa käytämme USG FLEXiä.

Huomaa, että suosittelemme valitsemaan korkeimman mahdollisen salauksen (jota laitteesi voi käyttää).

1.1 IKEv2 VPN-yhteyden ja yhdyskäytävän määrittäminen

Tässä meidän on ensin lisättävä VPN-yhdyskäytävä (vaihe 1).

1) Ota Gateway käyttöön ja anna sille nimi.

2) Valitse IKE versio 2

3) Valitse varmenne "default"

Nyt meidän on lisättävä yhteys (vaihe 2).

1) Ota uusi yhteys käyttöön

2) Anna sille nimi

3) Valitse Etäkäyttö (palvelinrooli)

4) Valitse Gateway (vaihe 1), jonka loimme aiemmin.

5) Paikallisen politiikan mukaisesti valitsemme verkon, johon haluamme päästä.

1.2 VPN-käyttäjien lisääminen

Lisää VPN-käyttäjä(t) VPN-käyttäjäryhmään VPN:n hallinnan helpottamiseksi.

2) Määritä IKEv2 VPN-asiakkaalle.

2.1 IKEv2 Androidilla ja IOS:llä

Tutustu tähän artikkeliin:

VPN - Määritä IKEv2 IPSec varmenteella Androidissa / iPhonessa iOS:ssä / Windowsissa / MacOS:ssä.

2.2 IKEv2 macOS:llä

Tutustu tähän artikkeliin:

VPN - Määritä IKEv2 IPSec varmenteella Androidissa / iPhonessa iOS:ssä / Windowsissa / MacOS:ssä.

2.3 IKEv2 vanhan SecuExtender IPsec-asiakkaan kanssa (3.8)

Muista, että vanha IPsec SecuExtender on EoL 30. huhtikuuta 2023 lähtien - lisätietoja on tässä artikkelissa:

SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Annoucement].

Paikallinen tunnus = varmenteen yleinen nimi (oletusvarmenne)

Tunneli on nyt avattu ja käyttövalmis.
Helpompi tapa konfiguroida asiakas on kuvattu tässä: IKEv2 - konfiguroinnin määrittäminen Windowsissa, Macissa

2.4 IKEv2 uuden SecuExtender IPsec-asiakkaan kanssa [Windows / MacOS]

Lisätietoja on tässä artikkelissa:

VPN - IKEv2 VPN:n konfigurointi varmenteella SecuExtender IPSec VPN -asiakkaan avulla.

Ensin meidän on määritettävä "Configuration Provisioning".

Huomaa! Jos muutat Provisioning-porttia, varmista, että palomuurissa sallitaan liikenne WANista laitteeseen!

Sitten meidän on määritettävä "konfiguraation hyötykuorma".

Mene IPSec VPN -asiakasohjelmassa osoitteeseen:

Nyt laitetaan tarvittavat tunnukset ja napsautetaan "Seuraava".


Olemme nyt onnistuneesti hakeneet kokoonpanon.

Voimme nyt jatkaa ja avata tunnelin.

3) Määritä kaksitekijätodennus [2FA] [Google]

Jos käytät 2FA:ta sähköpostin/SMS:n avulla, sinun on määritettävä laitteeseen sähköpostipalvelin.

Varmista, että "Authorisation Port" on sallittu palomuurissa "WAN to Device".

4) Jos jokin menee pieleen

Varmista, että nämä kaksi palvelua ovat käynnissä Windows-tietokoneessasi.

Paina Windows-painiketta + R:

Kirjoita "services.msc" ja napsauta ok:

Varmista, että IKE- ja IPSec-käytäntö on käynnistetty:

VPN-tunneli on luotu, mutta tietokoneella ei ole internetiä:

• Internet-liikenne pysähtyy, kun VPN-yhteys on aktiivinen. USG:hen on lisättävä reitityskäytäntö(Policy route), jotta IKEv2 VPN -liikenne voi käyttää WAN-yhteyttä internet-liikenteeseen.

  Varmista siksi, että DNS-merkinnät on lisätty VPN-käyttäjille. Voit tarkistaa tämän menemällä Configuration (Määritys) -> VPN -> IPSec VPN -> VPN Connection (VPN-yhteys ) -valikkoon ja muokkaamalla IKEv2-sääntöä ja tarkistamalla"Configuration Payload" -asetuksen.

• Varmista, että palomuurissasi on uusin laiteohjelmistoversio.