In dit artikel wordt ingegaan op IKEv2 client-to-site en hoe dit op te zetten in verschillende scenario's en OS [USG FLEX / ATP / VPN Series]
Certificaat, Windows, IOS, macOS, Android, IPSEC Client, Configuration Provisioning, 2FA, Active Directory.

Inhoudstafel

Wat is IKEv2? (Algemene informatie over IKEv2)

1) Setup van IKEv2 met standaardprofiel (FLEX)

1.1 IKEv2 VPN-verbinding en gateway configureren

1.2 De VPN-gebruikers toevoegen

2) IKEv2 configureren op de VPN-cliënt

2.1 IKEv2 met Android en IOS

2.2 IKEv2 met macOS

2.3 IKEv2 met Legacy SecuExtender IPsec Client (3.8)

3) Configureer Two-Factor [2FA] Authenticatie [Google].

4) Als er iets fout gaat

Wat is IKEv2? (Algemene informatie over IKEv2)

De afkorting IKEv2 staat voor Internet Key Exchange Protocol Version 2.

Het protocol wordt gebruikt voor sleutelbeheer in op IPsec gebaseerde virtuele particuliere netwerken (VPN's) en elimineert de zwakke punten van de vorige versie IKE.

IKEv2 is niet compatibel met IKE en vervangt de oudere versie.

De belangrijkste kenmerken van IKEv2
Kort samengevat zijn dit de essentiële kenmerken van IKEv2:

Minder complexiteit
Eenvoudigere en minder foutgevoelige configuratie
Sneller tot stand brengen van verbindingen
Snellere reconstructie van de tunnel na netwerkstoringen
Eliminatie van typische NAT-problemen
Minder problemen met dynamische IP-adressen
Gestandaardiseerd in een enkele RFC
Ondersteuning voor mobiele toepassingen in IPsec VPN's
Niet achterwaarts compatibel met IKE
Het gebruikt dezelfde UDP-poort als IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Setup van IKEv2 met standaardprofiel (FLEX)

Om IKEv2 te gebruiken, moeten we eerst een Gateway en Connection aan onze Firewall toevoegen.
In dit geval gebruiken wij een USG FLEX.

Wij raden u aan de hoogst mogelijke encryptie te kiezen (die uw apparaat kan gebruiken).

1.1 IKEv2 VPN-verbinding en gateway configureren

Configuration > VPN > IPSec VPN > VPN Gateway > Add

Hier moeten we eerst een VPN Gateway toevoegen (Fase 1).

1) Schakel de Gateway in en geef hem een naam.

2) Kies IKE versie 2

3) Kies Certificaat "standaard".

Configuration > VPN > IPSec VPN > VPN Connection > Add

Nu moeten we de Verbinding toevoegen (Fase 2)

1) Activeer de nieuwe verbinding

2) Geef het een naam

3) Kies Toegang op afstand (Serverrol)

4) Kies de Gateway (Fase 1) die we eerder hebben aangemaakt

5) Per lokaal beleid kiezen we het netwerk waartoe we toegang willen.

1.2 De VPN-gebruikers toevoegen

Voeg de VPN-gebruiker(s) toe aan een VPN-gebruikersgroep voor eenvoudiger VPN-beheer.

2) IKEv2 configureren op de VPN-cliënt

2.1 IKEv2 met Android en IOS

Bekijk dit artikel:

VPN - IKEv2 IPSec configureren met certificaat op Android / iPhone iOS / Windows / MacOS.

2.2 IKEv2 met macOS

Bekijk dit artikel:

VPN - IKEv2 IPSec configureren met certificaat op Android / iPhone iOS / Windows / MacOS.

2.3 IKEv2 met Legacy SecuExtender IPsec Client (3.8)

Vergeet niet dat de legacy IPsec SecuExtender EoL is sinds 30 april 2023 - voor meer informatie, kijk naar dit artikel:

SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Annoucement].

Local ID = Certificate Common Name (standaard certificaat)

De Tunnel is nu open en klaar voor gebruik.
Een eenvoudiger manier om de client te configureren wordt hier beschreven: IKEv2 - Configuratievoorziening op Windows, Mac

2.4 IKEv2 met de nieuwe SecuExtender IPsec Client [Windows / MacOS]

Kijk voor meer informatie naar dit artikel:

VPN - IKEv2 VPN met certificaat configureren met SecuExtender IPSec VPN Client

Eerst moeten we de "Configuration Provisioning" instellen.

Configuration > VPN > IPSec VPN > Configuration Provisioning

Let op! Als u de Provisioning Port wijzigt, zorg er dan voor dat u het verkeer van WAN naar Device toestaat in de Firewall!

Dan moeten we de "configuration Payload" instellen.

Configuration > VPN > IPSec VPN > VPN Connection > Edit

Ga in de IPSec VPN Client naar:

Configuration > Get from Server

Nu voeren we de benodigde credentials in, en klikken op "Next".


We hebben nu met succes de configuratie opgehaald.

We kunnen nu verder gaan en de tunnel openen.

3) Configureer Two-Factor [2FA] Authenticatie [Google].

Als je 2FA via Mail/SMS gebruikt, moet je een Mailserver instellen op het apparaat.

Configuration > System > Notification

Zorg ervoor dat u de "Autorisatiepoort" in de Firewall "WAN to Device" toestaat.

4) Als er iets fout gaat

Zorg ervoor dat deze twee services draaien op uw Windows PC.

Druk op de Windows-toets + R:

Schrijf "services.msc" en klik ok:

Zorg ervoor dat het IKE- en IPSec-beleid wordt gestart:

VPN Tunnel is tot stand gebracht maar de computer heeft geen internet:

• Standaard zal de Windows IKEv2 VPN client proberen al het verkeer door de tunnel te sturen, het internetverkeer zal vastlopen terwijl de VPN verbinding actief is. Er moet een routeringsbeleid(Policy route) worden toegevoegd aan de USG om het IKEv2 VPN-verkeer toegang te geven tot de WAN-verbinding voor internetverkeer.

  Controleer daarom of er DNS entries zijn toegevoegd voor de VPN-gebruikers. Om dit te controleren gaat u naar Configuratie -> VPN -> IPSec VPN -> VPN-verbinding en bewerkt u de IKEv2-regel en vinkt u de instelling"Configuration Payload" aan.

• Zorg ervoor dat u de laatste firmware versie op uw firewall heeft