VPN - IKEv2 konfigurálása tanúsítvánnyal [Helyi tűzfal 2FA-val]

További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

Ez a cikk az IKEv2 kliens-helyszín közötti kapcsolatot és annak beállítását vizsgálja különböző forgatókönyvekben és operációs rendszerekben [USG FLEX / ATP / VPN sorozat].
Tanúsítvány, Windows, IOS, macOS, Android, IPSEC kliens, konfiguráció biztosítása, 2FA, Active Directory.

Tartalomjegyzék

Mi az IKEv2? (Általános információk az IKEv2-ről)

1) Az IKEv2 beállítása alapértelmezett profillal (FLEX)

1.1 IKEv2 VPN-kapcsolat és átjáró konfigurálása

1.2 VPN-felhasználók hozzáadása

2) Az IKEv2 konfigurálása a VPN kliensen

2.1 IKEv2 Android és IOS rendszerrel

2.2 IKEv2 macOS-szel

2.3 IKEv2 a SecuExtender IPsec klienssel (3.8)

3) Kétfaktoros [2FA] hitelesítés konfigurálása [Google]

4) Ha valami rosszul megy

Mi az IKEv2? (Általános információk az IKEv2-ről)

Az IKEv2 rövidítés az Internet Key Exchange Protocol Version 2 rövidítése.

A protokollt az IPsec-alapú virtuális magánhálózatok (VPN-ek) kulcskezeléséhez használják, és kiküszöböli az IKE korábbi verziójának gyengeségeit.

Az IKEv2 nem kompatibilis az IKE-vel, és felváltja a régebbi verziót.

Az IKEv2 legfontosabb jellemzői
Röviden összefoglalva ezek az IKEv2 kritikus jellemzői:

Csökkentett összetettség
Egyszerűbb és kevésbé hibaigényes konfiguráció
Gyorsabb kapcsolatépítés
Gyorsabb alagútrekonstrukció hálózati hibák után
A tipikus NAT-problémák kiküszöbölése
Kevesebb probléma a dinamikus IP-címekkel
Egyetlen RFC-ben szabványosított
Mobil alkalmazások támogatása az IPsec VPN-ekben
Nem kompatibilis visszafelé az IKE-vel
UDP portot használ, mint az IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Az IKEv2 beállítása alapértelmezett profillal (FLEX)

Az IKEv2 használatához először is hozzá kell adnunk egy átjárót és egy kapcsolatot a tűzfalunkhoz.
Ebben az esetben egy USG FLEX-et használunk.

Felhívjuk figyelmét, hogy javasoljuk a lehető legmagasabb (az eszköz által használható) titkosítás kiválasztását.

1.1 IKEv2 VPN kapcsolat és átjáró konfigurálása

dyn_repppppppp_0

Itt először egy VPN átjárót kell hozzáadnunk (1. fázis).

mceclip1.png

1) Engedélyezzük az átjárót, és adjunk neki nevet.

2) Válassza az IKE 2. verzióját

3) Válassza ki az "alapértelmezett" tanúsítványt

mceclip2.png

dyn_repppppppp_1

Most hozzá kell adnunk a kapcsolatot (2. fázis)

mceclip3.png

1) Engedélyezzük az új kapcsolatot

2) Adjon neki nevet

3) Válassza ki a Távoli hozzáférés (kiszolgálói szerepkör) lehetőséget

4) Válassza ki a korábban létrehozott átjárót (1. fázis).

5) A helyi házirend szerint kiválasztjuk a hálózatot, amelyhez hozzá akarunk férni.

mceclip4.png

1.2 VPN-felhasználók hozzáadása

mceclip0.png

mceclip1.png

mceclip2.png

A VPN-felhasználó(k) hozzáadása egy VPN-felhasználói csoporthoz a könnyebb VPN-kezelés érdekében

group_add_user.gif

mceclip3.png

mceclip4.png

mceclip5.png

mceclip5.png

mceclip6.png

mceclip7.png

2) Konfigurálja az IKEv2-t a VPN-ügyfélen

2.1 IKEv2 Android és IOS rendszerrel

Kérjük, tekintse meg ezt a cikket:

VPN - IKEv2 IPSec konfigurálása tanúsítvánnyal Android / iPhone iOS / Windows / MacOS rendszereken.

2.2 IKEv2 macOS-szel

Kérjük, tekintse meg ezt a cikket:

VPN - IKEv2 IPSec konfigurálása tanúsítvánnyal Android / iPhone iOS / Windows / MacOS rendszeren.

2.3 IKEv2 a SecuExtender IPsec klienssel (3.8)

Ne feledje, hogy a régi IPsec SecuExtender 2023. április 30-tól EoL - további információkért tekintse meg ezt a cikket:

SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Annoucement]

mceclip0.gif

mceclip1.png

mceclip2.png

Helyi azonosító = Tanúsítvány általános neve (alapértelmezett tanúsítvány)
mceclip3.gif

mceclip4.gif

mceclip5.png

mceclip6.gif

mceclip7.png

mceclip8.png

mceclip9.png

Az alagút mostantól nyitva áll és használható.
Az ügyfél konfigurálásának egyszerűbb módja itt van leírva: IKEv2 - Konfiguráció biztosítása Windowson, Macen

2.4 IKEv2 az új SecuExtender IPsec klienssel [Windows / MacOS]

További információkért tekintse meg ezt a cikket:

VPN - IKEv2 VPN konfigurálása tanúsítvánnyal a SecuExtender IPSec VPN kliens segítségével

Először is be kell állítanunk a "Configuration Provisioning" (Konfiguráció biztosítása).

dyn_repppppppp_2

Kérjük, vegye figyelembe! Ha megváltoztatja a Provisioning Portot, győződjön meg róla, hogy a tűzfalban engedélyezi a WAN-ról az eszközre irányuló forgalmat!

mceclip0.png

Ezután be kell állítanunk a "konfigurációs hasznos terhelést".

dyn_repppppppp_3

mceclip4.png

Az IPSec VPN kliensben lépjen a következőre:

dyn_repppppppp_4

mceclip1.gif

Most adjuk meg a szükséges hitelesítő adatokat, és kattintsunk a "Tovább" gombra.
mceclip2.png

Most már sikeresen lekérdeztük a konfigurációt.
mceclip3.png


Most már mehetünk tovább, és megnyithatjuk az alagutat.

mceclip7.png

mceclip8.png

mceclip9.png

3) Kétfaktoros [2FA] hitelesítés beállítása [Google]

dyn_repppppppp_5

mceclip5.png

dyn_repppppppp_6

mceclip6.png

Ha a 2FA-t Mail/SMS segítségével használja, akkor be kell állítania egy Mailserver-t az eszközön.

dyn_repppppppp_7

mceclip7.png

dyn_repppppppp_8

Kérjük, győződjön meg róla, hogy a "WAN to Device" tűzfalban engedélyezi az "Authorisation Port" (Engedélyezési port) használatát.

mceclip8.png

4) Ha valami rosszul megy

Győződjön meg róla, hogy ez a két szolgáltatás fut a Windows számítógépén.

Nyomja meg a Windows gomb + R billentyűkombinációt:

és kattintson az ok gombra:

Győződjön meg róla, hogy az IKE és az IPSec házirend elindult:

A VPN-alagút létrejött, de a számítógépnek nincs internetkapcsolata:

  • A Windows IKEv2 VPN-ügyfél alapértelmezés szerint megpróbálja az összes forgalmat az alagúton keresztül küldeni, az internetforgalom megszakad, amíg a VPN-kapcsolat aktív. Egy útválasztási házirendet(Policy route) kell hozzáadni az USG-hez, hogy az IKEv2 VPN-forgalom hozzáférhessen a WAN-kapcsolathoz az internetes forgalom számára.

    Ezért győződjön meg róla, hogy a VPN-felhasználók számára DNS-bejegyzések kerültek hozzáadásra. Ennek ellenőrzéséhez lépjen a Konfiguráció -> VPN -> IPSec VPN -> VPN kapcsolat menüpontba, és szerkessze az IKEv2 szabályt, és ellenőrizze a"Configuration Payload" beállítást.

image077.jpg

  • Győződjön meg róla, hogy a tűzfal legújabb firmware verziója van-e telepítve.

A szakasz cikkei

Hasznos volt ez a cikk?
3/3 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.