USG FLEX H-serie firewall - Hoe stel je een IKEv2-VPN voor externe toegang in met de standaard VPN-client van Apple macOS Tahoe 26.2?

Dit artikel biedt een stapsgewijze handleiding voor het configureren van IKEv2 Remote Access VPN voor Apple macOS Sonoma-apparaten. Vanwege de standaard IKEv2-versleutelingsinstellingen die worden gebruikt door Apple macOS/iOS/iPadOS 26-clients (AES256GCM, PRF-SHA256 en DH Group 19), moet de VPN-gateway worden geconfigureerd om deze parameters te ondersteunen, zodat de externe VPN-verbinding succesvol tot stand kan worden gebracht. Na het installeren van het provisioningbestand op het MAC-apparaat, worden gebruikers gevraagd om de gebruikersauthenticatie-instellingen aan te passen en een gebruikersnaam en wachtwoord in te voeren. Deze stap zorgt voor een veilig en op maat gemaakt authenticatieproces voor toegang tot de VPN-verbinding.

Disclaimer! Dit artikel biedt een algemeen overzicht van de serie en is mogelijk niet uniform van toepassing op elk model, 
software-/firmwareversie. Raadpleeg vóór aankoop of gebruik van het apparaat de 
model-/versiespecifieke documentatie of neem contact op met de technische ondersteuning voor nauwkeurige informatie.

Opmerking: Als u geen VPN-verbinding kunt tot stand brengen na het upgraden naar macOS Sonoma, raadpleeg dan het volgende artikel voor een oplossing: Zyxel USG FLEX H-serie [VPN] - Problemen met VPN-verbinding oplossen na het updaten naar macOS Sonoma

Let op: wanneer u certificaten gebruikt voor een IKEv2 VPN-verbinding, moet de Remote ID overeenkomen met de Common Name (CN) van het certificaat van de externe VPN-gateway. Tijdens de authenticatie controleert de client of de Remote ID overeenkomt met de naam in het certificaat. Dit helpt bij het bevestigen van de identiteit van het externe apparaat en beschermt de verbinding tegen ongeoorloofde toegang.

In Zyxel Nebula is de Remote ID meestal gebaseerd op de Subject Name van het certificaat, die de CN bevat. In dit voorbeeld is de Remote ID 10.214.48.32, wat overeenkomt met de CN van het certificaat (10.214.48.32).

Certificaatinstallatie is niet vereist wanneer de VPN-tunnel handmatig wordt geconfigureerd.

• Log in op de web-GUI van uw firewall

Go to VPN > IPsec VPN > To set the IKEv2 related information, as shown below:

Scroll down the page until you see "Advanced Settings"

Perfect Forward Secrecy (PFS) - Bepaalt of er een extra Diffie-Hellman-sleuteluitwisseling plaatsvindt tijdens IPsec-fase 2. Wanneer deze optie is ingeschakeld, wordt voor elke IPsec-beveiligingsassociatie een nieuwe, onafhankelijke sleutel gegenereerd. Wanneer deze optie is uitgeschakeld, gebruikt fase 2 sleutelmateriaal dat is afgeleid van fase 1.

Download the "VPN Configuration Script Download" file to your macOS device and install it

• Om het profiel in te stellen op uw Mac OS

Go to System Preferences > Privacy and Security

• Dubbelklik op het gedownloade profiel en installeer het

MAC vraagt mogelijk om een gebruikersnaam en wachtwoord van de beheerder om het profiel in te stellen. Voer de gegevens in en klik op "OK"

Go to System Settings > VPN and edit the profile

• Kies Gebruikersauthenticatie op Gebruikersnaam en typ de gebruikersnaam en het wachtwoord

• Schakel VPN-verbindingen in en u bent klaar

Volg deze stappen om te controleren of de configuratie en het tot stand brengen van de IKEv2 VPN-verbinding met de opgegeven instellingen zijn gelukt:

• Ga naar de grafische gebruikersinterface (GUI) van de USG Flex H
• Ga naar het gedeelte VPN-status
• Ga binnen de VPN-status naar IPsec VPN
• Selecteer Remote Access VPN

Zodra u hier bent, zou u moeten zien dat de IKEv2 VPN-verbinding succesvol tot stand is gebracht