Ez a cikk az IKEv2 kliens-helyszín közötti kapcsolatot és annak beállítását vizsgálja különböző forgatókönyvekben és operációs rendszerekben [USG FLEX / ATP / VPN sorozat].
Tanúsítvány, Windows, IOS, macOS, Android, IPSEC kliens, konfiguráció biztosítása, 2FA, Active Directory.

Tartalomjegyzék

Mi az IKEv2? (Általános információk az IKEv2-ről)

1) Az IKEv2 beállítása alapértelmezett profillal (FLEX)

1.1 IKEv2 VPN-kapcsolat és átjáró konfigurálása

1.2 VPN-felhasználók hozzáadása

2) Az IKEv2 konfigurálása a VPN kliensen

2.1 IKEv2 Android és IOS rendszerrel

2.2 IKEv2 macOS-szel

2.3 IKEv2 a SecuExtender IPsec klienssel (3.8)

3) Kétfaktoros [2FA] hitelesítés konfigurálása [Google]

4) Ha valami rosszul megy

Mi az IKEv2? (Általános információk az IKEv2-ről)

Az IKEv2 rövidítés az Internet Key Exchange Protocol Version 2 rövidítése.

A protokollt az IPsec-alapú virtuális magánhálózatok (VPN-ek) kulcskezeléséhez használják, és kiküszöböli az IKE korábbi verziójának gyengeségeit.

Az IKEv2 nem kompatibilis az IKE-vel, és felváltja a régebbi verziót.

Az IKEv2 legfontosabb jellemzői
Röviden összefoglalva ezek az IKEv2 kritikus jellemzői:

Csökkentett összetettség
Egyszerűbb és kevésbé hibaigényes konfiguráció
Gyorsabb kapcsolatépítés
Gyorsabb alagútrekonstrukció hálózati hibák után
A tipikus NAT-problémák kiküszöbölése
Kevesebb probléma a dinamikus IP-címekkel
Egyetlen RFC-ben szabványosított
Mobil alkalmazások támogatása az IPsec VPN-ekben
Nem kompatibilis visszafelé az IKE-vel
UDP portot használ, mint az IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Az IKEv2 beállítása alapértelmezett profillal (FLEX)

Az IKEv2 használatához először is hozzá kell adnunk egy átjárót és egy kapcsolatot a tűzfalunkhoz.
Ebben az esetben egy USG FLEX-et használunk.

Felhívjuk figyelmét, hogy javasoljuk a lehető legmagasabb (az eszköz által használható) titkosítás kiválasztását.

1.1 IKEv2 VPN kapcsolat és átjáró konfigurálása

Itt először egy VPN átjárót kell hozzáadnunk (1. fázis).

1) Engedélyezzük az átjárót, és adjunk neki nevet.

2) Válassza az IKE 2. verzióját

3) Válassza ki az "alapértelmezett" tanúsítványt

Most hozzá kell adnunk a kapcsolatot (2. fázis)

1) Engedélyezzük az új kapcsolatot

2) Adjon neki nevet

3) Válassza ki a Távoli hozzáférés (kiszolgálói szerepkör) lehetőséget

4) Válassza ki a korábban létrehozott átjárót (1. fázis).

5) A helyi házirend szerint kiválasztjuk a hálózatot, amelyhez hozzá akarunk férni.

1.2 VPN-felhasználók hozzáadása

A VPN-felhasználó(k) hozzáadása egy VPN-felhasználói csoporthoz a könnyebb VPN-kezelés érdekében

2) Konfigurálja az IKEv2-t a VPN-ügyfélen

2.1 IKEv2 Android és IOS rendszerrel

Kérjük, tekintse meg ezt a cikket:

VPN - IKEv2 IPSec konfigurálása tanúsítvánnyal Android / iPhone iOS / Windows / MacOS rendszereken.

2.2 IKEv2 macOS-szel

Kérjük, tekintse meg ezt a cikket:

VPN - IKEv2 IPSec konfigurálása tanúsítvánnyal Android / iPhone iOS / Windows / MacOS rendszeren.

2.3 IKEv2 a SecuExtender IPsec klienssel (3.8)

Ne feledje, hogy a régi IPsec SecuExtender 2023. április 30-tól EoL - további információkért tekintse meg ezt a cikket:

SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Annoucement]

Helyi azonosító = Tanúsítvány általános neve (alapértelmezett tanúsítvány)

Az alagút mostantól nyitva áll és használható.
Az ügyfél konfigurálásának egyszerűbb módja itt van leírva: IKEv2 - Konfiguráció biztosítása Windowson, Macen

2.4 IKEv2 az új SecuExtender IPsec klienssel [Windows / MacOS]

További információkért tekintse meg ezt a cikket:

VPN - IKEv2 VPN konfigurálása tanúsítvánnyal a SecuExtender IPSec VPN kliens segítségével

Először is be kell állítanunk a "Configuration Provisioning" (Konfiguráció biztosítása).

Kérjük, vegye figyelembe! Ha megváltoztatja a Provisioning Portot, győződjön meg róla, hogy a tűzfalban engedélyezi a WAN-ról az eszközre irányuló forgalmat!

Ezután be kell állítanunk a "konfigurációs hasznos terhelést".

Az IPSec VPN kliensben lépjen a következőre:

Most adjuk meg a szükséges hitelesítő adatokat, és kattintsunk a "Tovább" gombra.


Most már sikeresen lekérdeztük a konfigurációt.

Most már mehetünk tovább, és megnyithatjuk az alagutat.

3) Kétfaktoros [2FA] hitelesítés beállítása [Google]

Ha a 2FA-t Mail/SMS segítségével használja, akkor be kell állítania egy Mailserver-t az eszközön.

Kérjük, győződjön meg róla, hogy a "WAN to Device" tűzfalban engedélyezi az "Authorisation Port" (Engedélyezési port) használatát.

4) Ha valami rosszul megy

Győződjön meg róla, hogy ez a két szolgáltatás fut a Windows számítógépén.

Nyomja meg a Windows gomb + R billentyűkombinációt:

és kattintson az ok gombra:

Győződjön meg róla, hogy az IKE és az IPSec házirend elindult:

A VPN-alagút létrejött, de a számítógépnek nincs internetkapcsolata:

• A Windows IKEv2 VPN-ügyfél alapértelmezés szerint megpróbálja az összes forgalmat az alagúton keresztül küldeni, az internetforgalom megszakad, amíg a VPN-kapcsolat aktív. Egy útválasztási házirendet(Policy route) kell hozzáadni az USG-hez, hogy az IKEv2 VPN-forgalom hozzáférhessen a WAN-kapcsolathoz az internetes forgalom számára.

  Ezért győződjön meg róla, hogy a VPN-felhasználók számára DNS-bejegyzések kerültek hozzáadásra. Ennek ellenőrzéséhez lépjen a Konfiguráció -> VPN -> IPSec VPN -> VPN kapcsolat menüpontba, és szerkessze az IKEv2 szabályt, és ellenőrizze a"Configuration Payload" beállítást.

• Győződjön meg róla, hogy a tűzfal legújabb firmware verziója van-e telepítve.