Zapora sieciowa USG FLEX serii H – Jak skonfigurować zdalny dostęp VPN przez protokół IKEv2 przy użyciu natywnego klienta VPN w systemie Apple macOS Tahoe 26.2?

Ten artykuł zawiera szczegółową instrukcję konfiguracji sieci VPN z zdalnym dostępem IKEv2 dla urządzeń Apple z systemem macOS Sonoma. Ze względu na domyślne ustawienia szyfrowania IKEv2 stosowane przez klientów Apple macOS/iOS/iPadOS 26 (AES256GCM, PRF-SHA256 i DH Group 19), brama VPN musi być skonfigurowana tak, aby obsługiwała te parametry, co zapewni pomyślne nawiązanie zdalnego połączenia VPN. Po zainstalowaniu pliku konfiguracyjnego na urządzeniu MAC użytkownicy są proszeni o zmodyfikowanie ustawień uwierzytelniania użytkownika w celu dodania nazwy użytkownika i hasła. Ten krok zapewnia bezpieczny i dostosowany do potrzeb proces uwierzytelniania w celu uzyskania dostępu do połączenia VPN.

Uwaga! Ten artykuł zawiera ogólny przegląd serii i może nie mieć zastosowania do każdego modelu, 
wersji oprogramowania/firmware. Przed zakupem lub użyciem urządzenia należy zapoznać się z 
dokumentacji dotyczącej konkretnego modelu/wersji lub skontaktować się z pomocą techniczną w celu uzyskania dokładnych informacji.

Uwaga: Jeśli nie możesz nawiązać połączenia VPN po aktualizacji do systemu macOS Sonoma, zapoznaj się z poniższym artykułem, aby znaleźć rozwiązanie: Seria Zyxel USG FLEX H [VPN] — Rozwiązywanie problemów z połączeniem VPN po aktualizacji do systemu macOS Sonoma

Uwaga: Podczas korzystania z certyfikatów dla połączenia VPN IKEv2 identyfikator zdalny ( Remote ID ) musi być zgodny z nazwą wspólną (CN) certyfikatu zdalnej bramy VPN. Podczas uwierzytelniania klient sprawdza, czy identyfikator zdalny jest zgodny z nazwą w certyfikacie. Pomaga to potwierdzić tożsamość urządzenia zdalnego i chroni połączenie przed nieautoryzowanym dostępem.

W Zyxel Nebula identyfikator zdalny ( Remote ID ) jest zazwyczaj oparty na nazwie podmiotu certyfikatu, która zawiera nazwę wspólną (CN). W tym przykładzie identyfikator zdalny to 10.214.48.32, co odpowiada nazwie wspólnej certyfikatu (10.214.48.32).

Instalacja certyfikatu nie jest wymagana, gdy tunel VPN jest konfigurowany ręcznie.

• Zaloguj się do internetowego GUI swojej zapory

Go to VPN > IPsec VPN > To set the IKEv2 related information, as shown below:

Scroll down the page until you see "Advanced Settings"

Perfect Forward Secrecy (PFS) — określa , czy podczas fazy 2 protokołu IPsec wykonywana jest dodatkowa wymiana kluczy Diffie-Hellmana. Gdy opcja jest włączona, dla każdego powiązania zabezpieczeń IPsec generowany jest nowy, niezależny klucz. Gdy opcja jest wyłączona, w fazie 2 wykorzystywane są klucze pochodzące z fazy 1.

Download the "VPN Configuration Script Download" file to your macOS device and install it

• Aby ustawić profil w systemie MAC OS

Go to System Preferences > Privacy and Security

• Kliknij dwukrotnie pobrany profil i zainstaluj go

System MAC może poprosić o podanie nazwy użytkownika i hasła administratora w celu skonfigurowania profilu. Wprowadź dane i kliknij„OK”

Go to System Settings > VPN and edit the profile

• Wybierz opcję uwierzytelniania użytkownika „Nazwa użytkownika” i wpisz nazwę użytkownika oraz hasło

• Włącz połączenia VPN i gotowe

Aby sprawdzić, czy konfiguracja i nawiązanie połączenia VPN IKEv2 z określonymi ustawieniami przebiegły pomyślnie, wykonaj następujące czynności:

• Przejdź do graficznego interfejsu użytkownika (GUI) USG Flex H
• Przejdź do sekcji Status VPN
• W sekcji Status VPN przejdź do IPsec VPN
• Wybierz opcję „Remote Access VPN”

Po przejściu do tej lokalizacji powinno być widoczne, że połączenie VPN IKEv2 zostało pomyślnie nawiązane