Pare-feu USG FLEX série H - Comment configurer un VPN d'accès à distance IKEv2 avec le client VPN natif d'Apple macOS Tahoe 26.2 ?

Cet article fournit un guide étape par étape pour configurer le VPN d'accès à distance IKEv2 sur les appareils Apple macOS Sonoma. En raison des paramètres de chiffrement IKEv2 par défaut utilisés par les clients Apple macOS/iOS/iPadOS 26 (AES256GCM, PRF-SHA256 et DH Group 19), la passerelle VPN doit être configurée pour prendre en charge ces paramètres afin de garantir l'établissement réussi de la connexion VPN à distance. Après l'installation du fichier de provisionnement sur l'appareil MAC, les utilisateurs sont invités à modifier les paramètres d'authentification utilisateur afin d'inclure un nom d'utilisateur et un mot de passe. Cette étape garantit un processus d'authentification sécurisé et personnalisé pour accéder à la connexion VPN.

Avertissement ! Cet article offre un aperçu général de la série et peut ne pas s'appliquer de manière uniforme à tous les modèles, 
version de logiciel/micrologiciel. Avant d'acheter ou d'utiliser l'appareil, veuillez consulter la 
documentation spécifique au modèle/à la version ou de contacter le support technique pour obtenir des informations précises.

Remarque : si vous ne parvenez pas à établir une connexion VPN après la mise à niveau vers macOS Sonoma, veuillez vous reporter à l'article suivant pour trouver une solution : Zyxel USG FLEX Série H [VPN] - Dépannage des problèmes de connexion VPN après la mise à jour vers macOS Sonoma

Remarque : lorsque vous utilisez des certificats pour une connexion VPN IKEv2, l'identifiant distant (Remote ID) doit correspondre au nom commun (CN) du certificat de la passerelle VPN distante. Lors de l'authentification, le client vérifie que l'identifiant distant correspond au nom figurant dans le certificat. Cela permet de confirmer l'identité de l'appareil distant et de protéger la connexion contre tout accès non autorisé.

Dans Zyxel Nebula, l'identifiant distant (Remote ID ) est généralement basé sur le nom du sujet du certificat, qui contient le CN. Dans cet exemple, l'identifiant distant est 10.214.48.32, ce qui correspond au CN du certificat (10.214.48.32).

L'installation du certificat n'est pas requise lorsque le tunnel VPN est configuré manuellement.

• Connectez-vous à l'interface graphique Web de votre pare-feu

Go to VPN > IPsec VPN > To set the IKEv2 related information, as shown below:

Scroll down the page until you see "Advanced Settings"

Perfect Forward Secrecy (PFS) - Détermine si un échange de clés Diffie-Hellman supplémentaire est effectué pendant la phase 2 d'IPsec. Lorsqu'il est activé, une nouvelle clé indépendante est générée pour chaque association de sécurité IPsec. Lorsqu'il est désactivé, la phase 2 utilise les clés dérivées de la phase 1.

Download the "VPN Configuration Script Download" file to your macOS device and install it

• Pour configurer le profil sur votre système d'exploitation macOS

Go to System Preferences > Privacy and Security

• Double-cliquez sur le profil téléchargé et installez-le

MAC peut vous demander un nom d'utilisateur et un mot de passe d'administrateur pour configurer le profil ; saisissez ces informations, puis cliquez sur «OK »

Go to System Settings > VPN and edit the profile

• Sélectionnez « Nom d'utilisateur » pour l'authentification utilisateur, puis saisissez le nom d'utilisateur et le mot de passe

• Activez les connexions VPN et vous avez terminé

Pour vérifier que la configuration et l'établissement de la connexion VPN IKEv2 avec les paramètres spécifiés ont bien abouti, procédez comme suit :

• Accédez à l'interface utilisateur graphique (GUI) de l'USG Flex H
• Accédez à la section « État du VPN »
• Dans État du VPN, accédez à VPN IPsec
• Sélectionnez « VPN d'accès à distance »

Une fois à cet emplacement, vous devriez constater que la connexion VPN IKEv2 a été établie avec succès