Firewall USG FLEX serie H - Come configurare una VPN di accesso remoto IKEv2 con il client VPN nativo di Apple macOS Tahoe 26.2?

Questo articolo fornisce una guida dettagliata alla configurazione della VPN IKEv2 Remote Access per i dispositivi Apple macOS Sonoma. A causa delle impostazioni di crittografia IKEv2 predefinite utilizzate dai client Apple macOS/iOS/iPadOS 26 (AES256GCM, PRF-SHA256 e DH Group 19), il gateway VPN deve essere configurato per supportare questi parametri al fine di garantire il corretto stabilimento della connessione VPN remota. Dopo aver installato il file di provisioning sul dispositivo MAC, agli utenti viene richiesto di modificare le impostazioni di autenticazione utente per includere un nome utente e una password. Questo passaggio garantisce un processo di autenticazione sicuro e personalizzato per l'accesso alla connessione VPN.

Avviso! Questo articolo offre una panoramica generale della serie e potrebbe non essere applicabile in modo uniforme a ogni modello, 
versione di software/firmware. Prima di acquistare o utilizzare il dispositivo, consultare la 
documentazione specifica del modello/versione o contattare l'assistenza tecnica per informazioni accurate.

Nota: se non si riesce a stabilire una connessione VPN dopo l'aggiornamento a macOS Sonoma, fare riferimento al seguente articolo per una soluzione: Zyxel USG FLEX Serie H [VPN] - Risoluzione dei problemi di connessione VPN dopo l'aggiornamento a macOS Sonoma

Nota: quando si utilizzano certificati per una connessione VPN IKEv2, l'ID remoto deve corrispondere al nome comune (CN) del certificato del gateway VPN remoto. Durante l'autenticazione, il client verifica che l'ID remoto corrisponda al nome nel certificato. Ciò aiuta a confermare l'identità del dispositivo remoto e protegge la connessione da accessi non autorizzati.

In Zyxel Nebula, l'ID remoto si basa solitamente sul nome del soggetto del certificato, che contiene il CN. In questo esempio, l'ID remoto è 10.214.48.32, che corrisponde al CN del certificato (10.214.48.32).

L'installazione del certificato non è necessaria quando il tunnel VPN viene configurato manualmente.

• Accedere alla GUI web del firewall

Go to VPN > IPsec VPN > To set the IKEv2 related information, as shown below:

Scroll down the page until you see "Advanced Settings"

Perfect Forward Secrecy (PFS) - Definisce se viene eseguito uno scambio di chiavi Diffie-Hellman aggiuntivo durante la Fase 2 di IPsec. Se abilitato, viene generata una nuova chiave indipendente per ogni associazione di sicurezza IPsec. Se disabilitato, la Fase 2 utilizza il materiale della chiave derivato dalla Fase 1.

Download the "VPN Configuration Script Download" file to your macOS device and install it

• Per impostare il profilo sul sistema operativo MAC

Go to System Preferences > Privacy and Security

• Fare doppio clic sul profilo scaricato e installarlo

MAC potrebbe richiedere un nome utente e una password di amministratore per impostare il profilo; inserire i dettagli e fare clic su "OK"

Go to System Settings > VPN and edit the profile

• Scegli "Nome utente" come autenticazione utente e digita nome utente e password

• Abilita le connessioni VPN e il gioco è fatto

Per verificare che la configurazione e la creazione della connessione VPN IKEv2 con le impostazioni specificate siano andate a buon fine, segui questi passaggi:

• Accedere all'interfaccia utente grafica (GUI) di USG Flex H
• Accedere alla sezione Stato VPN
• All'interno di Stato VPN, vai su VPN IPsec
• Seleziona VPN di accesso remoto

Una volta raggiunta questa posizione, dovresti verificare che la connessione VPN IKEv2 sia stata stabilita correttamente