Denne artikkelen vil se på IKEv2 klient-til-nettsted og hvordan du konfigurerer det i forskjellige scenarier og OS [USG FLEX / ATP / VPN-serien].
Sertifikat, Windows, IOS, macOS, Android, IPSEC-klient, konfigurasjonsforsyning, 2FA, Active Directory.

Innholdsfortegnelse

Hva er IKEv2? (Generell informasjon om IKEv2)

1) Oppsett av IKEv2 med standardprofil (FLEX)

1.1 Konfigurere IKEv2 VPN-tilkobling og gateway

1.2 Legg til VPN-brukere

2) Konfigurer IKEv2 på VPN-klienten

2.1 IKEv2 med Android og IOS

2.2 IKEv2 med macOS

2.3 IKEv2 med Legacy SecuExtender IPsec-klient (3.8)

3) Konfigurer tofaktorautentisering [2FA] [Google].

4) Hvis noe går galt

Hva er IKEv2? (Generell informasjon om IKEv2)

Forkortelsen IKEv2 står for Internet Key Exchange Protocol versjon 2.

Protokollen brukes til nøkkeladministrasjon i IPsec-baserte virtuelle private nettverk (VPN) og eliminerer svakheter ved den tidligere versjonen IKE.

IKEv2 er ikke kompatibel med IKE og erstatter den eldre versjonen.

De viktigste funksjonene i IKEv2
Kort oppsummert er dette de viktigste funksjonene i IKEv2:

Redusert kompleksitet
Enklere og mindre feilutsatt konfigurasjon
Raskere etablering av tilkoblinger
Raskere gjenoppbygging av tunneler etter nettverksfeil
Eliminering av typiske NAT-problemer
Færre problemer med dynamiske IP-adresser
Standardisert i en enkelt RFC
Støtte for mobile applikasjoner i IPsec VPN-er
Ikke bakoverkompatibel med IKE
Den bruker samme UDP-port som IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Oppsett av IKEv2 med standardprofil (FLEX)

For å bruke IKEv2 må vi først legge til en Gateway og Connection i brannmuren vår.
I dette tilfellet bruker vi en USG FLEX.

Vær oppmerksom på at vi anbefaler å velge høyest mulig kryptering (mulig å bruke av enheten din).

1.1 Konfigurere IKEv2 VPN-tilkobling og gateway

Her må vi først legge til en VPN-gateway (fase 1).

1) Aktiver gatewayen og gi den et navn.

2) Velg IKE versjon 2

3) Velg Sertifikat "standard"

Nå må vi legge til tilkoblingen (fase 2)

1) Aktiver den nye forbindelsen

2) Gi den et navn

3) Velg Ekstern tilgang (serverrolle)

4) Velg Gateway (fase 1) som vi opprettet tidligere.

5) I henhold til lokale retningslinjer velger vi nettverket vi vil ha tilgang til.

1.2 Legg til VPN-brukere

Legg til VPN-brukeren(e) i en VPN-brukergruppe for enklere VPN-administrasjon.

2) Konfigurer IKEv2 på VPN-klienten

2.1 IKEv2 med Android og IOS

Vennligst se denne artikkelen:

VPN - Konfigurere IKEv2 IPSec med sertifikat på Android / iPhone iOS / Windows / MacOS

2.2 IKEv2 med macOS

Vennligst se på denne artikkelen:

VPN - Konfigurere IKEv2 IPSec med sertifikat på Android / iPhone iOS / Windows / MacOS

2.3 IKEv2 med eldre SecuExtender IPsec-klient (3.8)

Husk at den eldre IPsec SecuExtender er EoL siden 30. april 2023 - for mer informasjon, se denne artikkelen:

SecuExtender VPN - Perpetual License End of Life [EoL] / Utfasing [Announcement] (på engelsk)

Lokal ID = sertifikatets fellesnavn (standard sertifikat)

Tunnelen er nå åpen og klar til bruk.
En enklere måte å konfigurere klienten på er beskrevet her: IKEv2 - Konfigurasjon klargjøring på Windows, Mac

2.4 IKEv2 med ny SecuExtender IPsec-klient [Windows / MacOS].

For mer informasjon, se denne artikkelen:

VPN - Konfigurer IKEv2 VPN med sertifikat ved hjelp av SecuExtender IPSec VPN-klienten.

Først må vi sette opp "Configuration Provisioning".

Vennligst merk! Hvis du endrer klargjøringsporten, må du sørge for å tillate trafikk fra WAN til enhet i brannmuren!

Deretter må vi sette opp "konfigurasjonen Payload".

I IPSec VPN-klienten, gå til:

Nå legger vi inn den nødvendige legitimasjonen, og klikker på "Neste".


Vi har nå hentet konfigurasjonen.

Vi kan nå gå videre og åpne tunnelen.

3) Konfigurer tofaktorautentisering [2FA] [Google].

Hvis du bruker 2FA via e-post/SMS, må du sette opp en e-postserver på enheten.

Sørg for å tillate "Authorisation Port" i brannmuren "WAN to Device".

4) Hvis noe går galt

Forsikre deg om at disse to tjenestene kjører på Windows-PC-en din.

Trykk på Windows-knappen + R:

Skriv "services.msc" og klikk ok:

Kontroller at IKE- og IPSec-policyen er startet:

VPN-tunnelen er etablert, men datamaskinen har ikke Internett:

• Som standard vil Windows IKEv2 VPN-klienten prøve å sende all trafikk gjennom tunnelen, Internett-trafikk vil bli blokkert mens VPN-tilkoblingen er aktiv. En rutingspolicy(Policy route) må legges til i USG for å gi IKEv2 VPN-trafikk tilgang til WAN-tilkoblingen for internettrafikk.

  Kontroller derfor at DNS-oppføringer ble lagt til for VPN-brukerne. For å sjekke dette, gå til Konfigurasjon -> VPN -> IPSec VPN -> VPN-tilkobling og rediger IKEv2-regelen og sjekk oppsettetfor "Konfigurasjonsnyttelast".

• Forsikre deg om at du har den nyeste firmwareversjonen på brannmuren.