Questo articolo tratta di IKEv2 client-to-site e di come configurarlo in vari scenari e sistemi operativi [USG FLEX / ATP / VPN Series].
Certificato, Windows, IOS, macOS, Android, client IPSEC, provisioning della configurazione, 2FA, Active Directory.

Tabella dei contenuti

Che cos'è IKEv2? (Informazioni generali su IKEv2)

1) Impostazione di IKEv2 con profilo predefinito (FLEX)

1.1 Configurazione della connessione VPN IKEv2 e del gateway

1.2 Aggiungere gli utenti VPN

2) Configurare IKEv2 sul client VPN

2.1 IKEv2 con Android e IOS

2.2 IKEv2 con macOS

2.3 IKEv2 con il client IPsec Legacy SecuExtender (3.8)

3) Configurazione dell'autenticazione a due fattori [2FA] [Google]

4) Se qualcosa va storto

Che cos'è IKEv2? (Informazioni generali su IKEv2)

L'abbreviazione IKEv2 sta per Internet Key Exchange Protocol Version 2 (protocollo di scambio di chiavi Internet versione 2).

Il protocollo è utilizzato per la gestione delle chiavi nelle reti private virtuali (VPN) basate su IPsec ed elimina i punti deboli della versione precedente IKE.

IKEv2 non è compatibile con IKE e sostituisce la versione precedente.

Le caratteristiche principali di IKEv2
In breve, queste sono le caratteristiche principali di IKEv2:

Riduzione della complessità
Configurazione più semplice e meno soggetta a errori
Creazione di connessioni più rapida
Ricostruzione più rapida del tunnel dopo guasti alla rete
Eliminazione dei tipici problemi NAT
Meno problemi con gli indirizzi IP dinamici
Standardizzato in un'unica RFC
Supporto per le applicazioni mobili nelle VPN IPsec
Non è retrocompatibile con IKE
Utilizza la stessa porta UDP di IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Impostazione di IKEv2 con profilo predefinito (FLEX)

Per utilizzare IKEv2, è necessario aggiungere un gateway e una connessione al firewall.
In questo caso, utilizziamo un USG FLEX.

Si consiglia di scegliere la crittografia più alta possibile (che può essere utilizzata dal dispositivo).

1.1 Configurazione della connessione VPN IKEv2 e del gateway

Configuration > VPN > IPSec VPN > VPN Gateway > Add

Per prima cosa è necessario aggiungere un gateway VPN (fase 1).

1) Abilitare il gateway e assegnargli un nome.

2) Scegliere IKE versione 2

3) Scegliere il certificato "default".

Configuration > VPN > IPSec VPN > VPN Connection > Add

Ora dobbiamo aggiungere la connessione (fase 2)

1) Abilitare la nuova connessione

2) Assegnare un nome

3) Scegliete Accesso remoto (ruolo di server)

4) Scegliere il Gateway (Fase 1) che abbiamo creato prima

5) Come da politica locale, scegliamo la rete a cui vogliamo accedere.

1.2 Aggiungere gli utenti VPN

Aggiungete l'utente o gli utenti VPN a un gruppo di utenti VPN per facilitare la gestione della VPN.

2) Configurare IKEv2 sul client VPN

2.1 IKEv2 con Android e IOS

Consultate questo articolo:

VPN - Configurare IKEv2 IPSec con certificato su Android / iPhone iOS / Windows / MacOS

2.2 IKEv2 con macOS

Consultate questo articolo:

VPN - Configurare IKEv2 IPSec con certificato su Android / iPhone iOS / Windows / MacOS

2.3 IKEv2 con il client IPsec Legacy SecuExtender (3.8)

Ricordate che il legacy IPsec SecuExtender è EoL dal 30 aprile 2023 - per maggiori informazioni, consultate questo articolo:

SecuExtender VPN - Licenza perpetua a fine vita [EoL] / Phase Out [Annuncio].

ID locale = Nome comune del certificato (certificato predefinito)

Il tunnel è ora aperto e pronto all'uso.
Un modo più semplice per configurare il client è descritto qui: IKEv2 - Configurazione del provisioning su Windows e Mac

2.4 IKEv2 con il nuovo client IPsec SecuExtender [Windows / MacOS]

Per ulteriori informazioni, consultare questo articolo:

VPN - Configurare la VPN IKEv2 con certificato utilizzando il client IPSec VPN di SecuExtender

Per prima cosa, è necessario impostare il "Provisioning della configurazione".

Configuration > VPN > IPSec VPN > Configuration Provisioning

Attenzione! Se si modifica la porta di provisioning, assicurarsi di consentire il traffico dalla rete WAN al dispositivo nel firewall!

Quindi è necessario impostare il "Payload di configurazione".

Configuration > VPN > IPSec VPN > VPN Connection > Edit

Nel client VPN IPSec, andare a:

Configuration > Get from Server

Ora inseriamo le credenziali necessarie e facciamo clic su "Avanti".


La configurazione è stata recuperata con successo.

Ora possiamo aprire il tunnel.

3) Configurare l'autenticazione a due fattori [2FA] [Google].

Configuration > VPN > IPSec VPN > VPN Gateway

Configuration > Object > User/Group > Edit User > Two-Factor Authentication

Se si utilizza il 2FA via Mail/SMS, è necessario configurare un Mailserver sul dispositivo.

Configuration > System > Notification

Configuration > Object > Auth. Method

Assicurarsi di consentire la "Porta di autorizzazione" nel firewall "WAN to Device".

4) Se qualcosa va storto

Assicuratevi che questi due servizi siano in esecuzione sul vostro PC Windows.

Premere il tasto Windows + R:

Scrivere "services.msc" e fare clic su OK:

Assicurarsi che il criterio IKE e IPSec sia avviato:

Il tunnel VPN è stato stabilito ma il computer non dispone di Internet:

• Per impostazione predefinita, il client IKEv2 VPN di Windows cercherà di inviare tutto il traffico attraverso il tunnel; il traffico Internet verrà bloccato mentre la connessione VPN è attiva. È necessario aggiungere un criterio di routing(Policy route) all'USG per consentire al traffico IKEv2 VPN di accedere alla connessione WAN per il traffico Internet.

  Pertanto, verificare che le voci DNS siano state aggiunte per gli utenti della VPN. Per verificarlo, accedere a Configurazione -> VPN -> IPSec VPN -> Connessione VPN e modificare la regola IKEv2, selezionando l'impostazione"Configuration Payload".

• Assicuratevi di avere l'ultima versione del firmware sul vostro firewall.