Cet article traite de l'IKEv2 client à site et de la manière de le configurer dans divers scénarios et systèmes d'exploitation [USG FLEX / ATP / VPN Series].
Certificat, Windows, IOS, macOS, Android, Client IPSEC, Configuration Provisioning, 2FA, Active Directory.

Table des matières

Qu'est-ce que IKEv2 ? (Informations générales sur IKEv2)

1) Configuration d'IKEv2 avec le profil par défaut (FLEX)

1.1 Configuration de la connexion VPN IKEv2 et de la passerelle

1.2 Ajouter les utilisateurs VPN

2) Configurer IKEv2 sur le client VPN

2.1 IKEv2 avec Android et IOS

2.2 IKEv2 avec macOS

2.3 IKEv2 avec l'ancien client IPsec SecuExtender (3.8)

3) Configurer l'authentification à deux facteurs [2FA] [Google]

4) En cas de problème

Qu'est-ce que IKEv2 ? (Informations générales sur IKEv2)

L'abréviation IKEv2 signifie Internet Key Exchange Protocol Version 2.

Ce protocole est utilisé pour la gestion des clés dans les réseaux privés virtuels (VPN) basés sur IPsec et élimine les faiblesses de la version précédente IKE.

IKEv2 n'est pas compatible avec IKE et remplace l'ancienne version.

Les principales caractéristiques d'IKEv2
Voici, brièvement résumées, les principales caractéristiques d'IKEv2 :

Complexité réduite
Configuration plus simple et moins sujette aux erreurs
Établissement plus rapide de la connexion
Reconstruction plus rapide du tunnel en cas de défaillance du réseau
Élimination des problèmes typiques de NAT
Moins de problèmes avec les adresses IP dynamiques
Normalisation dans une seule RFC
Prise en charge des applications mobiles dans les VPN IPsec
Pas de compatibilité ascendante avec IKE
Il utilise le même port UDP qu'IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Configuration d'IKEv2 avec le profil par défaut (FLEX)

Pour utiliser IKEv2, nous devons d'abord ajouter une passerelle et une connexion à notre pare-feu.
Dans ce cas, nous utilisons un USG FLEX.

Veuillez noter que nous recommandons de choisir le cryptage le plus élevé possible (pouvant être utilisé par votre appareil).

1.1 Configuration de la connexion VPN IKEv2 et de la passerelle

Configuration > VPN > IPSec VPN > VPN Gateway > Add

Nous devons d'abord ajouter une passerelle VPN (Phase 1).

1) Activer la passerelle et lui donner un nom.

2) Choisissez IKE Version 2

3) Choisissez le certificat "default"

Configuration > VPN > IPSec VPN > VPN Connection > Add

Nous devons maintenant ajouter la connexion (Phase 2)

1) Activer la nouvelle connexion

2) Donnez-lui un nom

3) Choisissez Accès à distance (rôle de serveur)

4) Choisissez la passerelle (Phase 1) que nous avons créée précédemment

5) Conformément à la politique locale, nous choisissons le réseau auquel nous voulons accéder.

1.2 Ajouter les utilisateurs VPN

Ajouter le(s) utilisateur(s) VPN à un groupe d'utilisateurs VPN pour faciliter la gestion du VPN

2) Configurer IKEv2 sur le client VPN

2.1 IKEv2 avec Android et IOS

Veuillez consulter cet article :

VPN - Configurer IKEv2 IPSec avec certificat sur Android / iPhone iOS / Windows / MacOS

2.2 IKEv2 avec macOS

Veuillez consulter cet article :

VPN - Configurer IKEv2 IPSec avec certificat sur Android / iPhone iOS / Windows / MacOS

2.3 IKEv2 avec l'ancien client IPsec SecuExtender (3.8)

N'oubliez pas que l'ancien IPsec SecuExtender est EoL depuis le 30 avril 2023 - pour plus d'informations, consultez cet article :

SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Annoucement] (en anglais)

ID local = Nom commun du certificat (certificat par défaut)

Le tunnel est maintenant ouvert et prêt à être utilisé.
Une manière plus simple de configurer le client est décrite ici : IKEv2 - Configuration Provisioning on Windows, Mac

2.4 IKEv2 avec le nouveau client IPsec de SecuExtender [Windows / MacOS]

Pour plus d'informations, veuillez consulter cet article :

VPN - Configurer un VPN IKEv2 avec certificat en utilisant le client VPN IPSec de SecuExtender

Tout d'abord, nous devons mettre en place la "Configuration Provisioning".

Configuration > VPN > IPSec VPN > Configuration Provisioning

Attention ! Si vous changez le port d'approvisionnement, assurez-vous d'autoriser le trafic du WAN vers l'appareil dans le pare-feu !

Ensuite, nous devons configurer la "configuration Payload".

Configuration > VPN > IPSec VPN > VPN Connection > Edit

Dans le client VPN IPSec, allez à :

Nous entrons maintenant les informations d'identification nécessaires et nous cliquons sur "Next".


Nous avons maintenant récupéré la configuration avec succès.

Nous pouvons maintenant ouvrir le tunnel.

3) Configurer l'authentification à deux facteurs [2FA] [Google].

Configuration > VPN > IPSec VPN > VPN Gateway

Si vous utilisez 2FA par Mail/SMS, vous devez configurer un serveur de messagerie sur l'appareil.

Configuration > Object > Auth. Method

Veillez à autoriser le "port d'autorisation" dans le pare-feu "WAN to Device".

4) En cas de problème

Assurez-vous que ces deux services sont en cours d'exécution sur votre PC Windows.

Appuyez sur la touche Windows + R :

Écrire "services.msc" et cliquer sur ok :

Assurez-vous que la stratégie IKE et IPSec est lancée :

Le tunnel VPN est établi mais l'ordinateur n'a pas accès à Internet :

• Par défaut, le client VPN IKEv2 de Windows essaiera d'envoyer tout le trafic à travers le tunnel, le trafic internet sera bloqué pendant que la connexion VPN est active. Une politique de routage(Policy route) doit être ajoutée à l'USG pour permettre au trafic VPN IKEv2 d'accéder à la connexion WAN pour le trafic internet.

  Par conséquent, assurez-vous que des entrées DNS ont été ajoutées pour les utilisateurs VPN. Pour vérifier cela, allez dans Configuration -> VPN -> VPN IPSec -> Connexion VPN et éditez la règle IKEv2 et vérifiez la configuration"Configuration Payload".

• Assurez-vous d'avoir la dernière version du firmware sur votre firewall.