VPN - Konfiguracja IKEv2 z certyfikatem [On-Premise Firewall with 2FA]

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna uwaga:
Drogi kliencie, proszę pamiętać, że używamy tłumaczenia maszynowego, aby zapewnić artykuły w twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o przejrzenie oryginalnego artykułu tutaj:Wersja oryginalna

Ten artykuł spojrzy na IKEv2 client-to-site i jak go skonfigurować w różnych scenariuszach i OS [USG FLEX / ATP / VPN Series]
Certyfikat, Windows, IOS, macOS, Android, IPSEC Client, Configuration Provisioning, 2FA, Active Directory.

Spis treści.

Co to jest IKEv2? (Ogólne informacje o IKEv2)

1) Konfiguracja IKEv2 z profilem domyślnym (FLEX)

1.1 Konfiguracja połączenia i bramy IKEv2 VPN

1.2 Dodaj użytkowników sieci VPN

2) Skonfiguruj IKEv2 na kliencie VPN

2.1 IKEv2 z systemem Android i IOS

2.2 IKEv2 z systemem macOS

2.3 IKEv2 z klientem SecuExtender IPsec (3.8)

3) Skonfiguruj uwierzytelnianie dwuskładnikowe [2FA] [Google]

4) Jeśli coś pójdzie nie tak

Co to jest IKEv2? (Ogólne informacje o IKEv2)

Skrót IKEv2 oznacza Internet Key Exchange Protocol Version 2.

Protokół ten jest używany do zarządzania kluczami w wirtualnych sieciach prywatnych (VPN) opartych na protokole IPsec i eliminuje słabości poprzedniej wersji IKE.

IKEv2 nie jest zgodny z IKE i zastępuje starszą wersję.

Najważniejsze cechy IKEv2
Krótko podsumowując, oto krytyczne cechy IKEv2:

Zmniejszona złożoność
Prostsza i mniej podatna na błędy konfiguracja
Szybsze nawiązywanie połączeń
Szybsza odbudowa tunelu po awarii sieci
Eliminacja typowych problemów z NAT
Mniej problemów z dynamicznymi adresami IP
Standaryzacja w jednym RFC
Wsparcie dla aplikacji mobilnych w sieciach IPsec VPN
Nie jest wstecznie kompatybilny z IKE
Używa tego samego portu UDP co IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Konfiguracja IKEv2 z profilem domyślnym (FLEX)

Aby użyć IKEv2, musimy najpierw dodać bramę i połączenie do naszej zapory.
W tym przypadku używamy urządzenia USG FLEX.

Należy pamiętać, że zalecamy wybór najwyższego możliwego szyfrowania (możliwego do wykorzystania przez urządzenie).

1.1 Konfiguracja połączenia i bramy IKEv2 VPN

dyn_repppp_0

Tutaj musimy najpierw dodać bramę VPN (faza 1).

mceclip1.png

1) Włączamy bramę i nadajemy jej nazwę.

2) Wybierz IKE w wersji 2

3) Wybierz Certyfikat "domyślny"

mceclip2.png

dyn_repppp_1

Teraz musimy dodać połączenie (faza 2)

mceclip3.png

1) Włączenie nowego połączenia

2) Nadaj mu nazwę

3) Wybierz Zdalny dostęp (Rola serwera)

4) Wybierz Gateway (Phase 1), który stworzyliśmy wcześniej

5) Zgodnie z polityką lokalną wybieramy sieć, do której chcemy mieć dostęp.

mceclip4.png

1.2 Dodanie użytkowników VPN

mceclip0.png

mceclip1.png

mceclip2.png

Dodaj użytkownika(ów) VPN do grupy użytkowników VPN, aby ułatwić zarządzanie VPN

group_add_user.gif

mceclip3.png

mceclip4.png

mceclip5.png

mceclip5.png

mceclip6.png

mceclip7.png

2) Skonfiguruj IKEv2 na kliencie VPN

2.1 IKEv2 z systemem Android i IOS

Proszę spojrzeć na ten artykuł:

VPN - Konfiguracja IKEv2 IPSec z certyfikatem w systemie Android / iPhone iOS / Windows / MacOS

2.2 IKEv2 z macOS

Proszę spojrzeć na ten artykuł:

VPN - Konfiguracja IKEv2 IPSec z certyfikatem na Android / iPhone iOS / Windows / MacOS

2.3 IKEv2 z klientem SecuExtender IPsec (3.8)

Pamiętaj, że legacy IPsec SecuExtender jest EoL od 30 kwietnia 2023 roku - po więcej informacji zajrzyj do tego artykułu:

SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Annoucement]

mceclip0.gif

mceclip1.png

mceclip2.png

Local ID = Wspólna nazwa certyfikatu (certyfikat domyślny)
mceclip3.gif

mceclip4.gif

mceclip5.png

mceclip6.gif

mceclip7.png

mceclip8.png

mceclip9.png

Tunel jest teraz otwarty i gotowy do użycia.
Łatwiejszy sposób konfiguracji klienta został opisany tutaj: IKEv2 - Provisioning Configuration w systemie Windows, Mac

2.4 IKEv2 z nowym klientem IPsec SecuExtender [Windows / MacOS]

Więcej informacji można znaleźć w tym artykule:

VPN - Konfiguracja IKEv2 VPN z certyfikatem przy użyciu SecuExtender IPSec VPN Client

Najpierw musimy skonfigurować "Configuration Provisioning".

dyn_repppp_2

Uwaga!!! Jeśli zmienisz Provisioning Port, upewnij się, że zezwolisz na ruch z WAN do Device w Firewallu!

mceclip0.png

Następnie musimy ustawić "configuration Payload".

dyn_repppp_3

mceclip4.png

W kliencie IPSec VPN przejdź do:

dyn_repppp_4

mceclip1.gif

Teraz wprowadzamy potrzebne dane uwierzytelniające i klikamy na "Next".
mceclip2.png

Udało nam się pobrać konfigurację.
mceclip3.png


Możemy teraz przejść i otworzyć tunel.

mceclip7.png

mceclip8.png

mceclip9.png

3) Skonfiguruj uwierzytelnianie dwuskładnikowe [2FA] [Google]

dyn_repppp_5

mceclip5.png

dyn_repppp_6

mceclip6.png

Jeśli używasz 2FA by Mail/SMS, musisz skonfigurować Mailserver na urządzeniu.

dyn_repppp_7

mceclip7.png

dyn_repppp_8

Upewnij się, że zezwalasz na "Port autoryzacji" w Firewallu "WAN to Device".

mceclip8.png

4) Jeśli coś pójdzie nie tak

Upewnij się, że te dwie usługi są uruchomione na Twoim komputerze z systemem Windows.

Naciśnij przycisk Windows + R:

Napisz "services.msc" i kliknij ok:

Upewnij się, że IKE i IPSec Policy są uruchomione:

Tunel VPN jest ustanowiony, ale komputer nie ma internetu:

  • Domyślnie klient Windows IKEv2 VPN będzie próbował wysłać cały ruch przez tunel, ruch internetowy zostanie przejęty, gdy połączenie VPN jest aktywne. Należy dodać politykę routingu(Policy route) do USG, aby umożliwić ruchowi IKEv2 VPN dostęp do połączenia WAN dla ruchu internetowego.

    Dlatego upewnij się, że wpisy DNS zostały dodane dla użytkowników VPN. Aby to sprawdzić, przejdź do Configuration -> VPN -> IPSec VPN -> VPN Connection i edytuj regułę IKEv2 i zaznacz ustawienie"Configuration Payload".

image077.jpg

  • Upewnij się, że masz najnowszą wersję firmware na swoim firewallu

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 3 z 3
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.