Firewall-ul USG FLEX din seria H – Cum se configurează VPN-ul de acces la distanță IKEv2 cu clientul VPN nativ Apple macOS Tahoe 26.2?

Acest articol oferă un ghid pas cu pas privind configurarea VPN-ului de acces la distanță IKEv2 pentru dispozitivele Apple macOS Sonoma. Datorită setărilor implicite de criptare IKEv2 utilizate de clienții Apple macOS/iOS/iPadOS 26 (AES256GCM, PRF-SHA256 și DH Group 19), gateway-ul VPN trebuie configurat pentru a suporta acești parametri, pentru a asigura stabilirea cu succes a conexiunii VPN la distanță. După instalarea fișierului de provisioning pe dispozitivul MAC, utilizatorii sunt solicitați să modifice setările de autentificare a utilizatorului pentru a include un nume de utilizator și o parolă. Acest pas asigură un proces de autentificare sigur și personalizat pentru accesarea conexiunii VPN.

Avertisment! Acest articol oferă o prezentare generală a seriei și este posibil să nu se aplice în mod uniform tuturor modelelor, 
versiune de software/firmware. Înainte de a achiziționa sau utiliza dispozitivul, vă rugăm să consultați 
documentația specifică modelului/versiunii sau contactați asistența tehnică pentru informații exacte.

Notă: Dacă nu puteți stabili o conexiune VPN după actualizarea la macOS Sonoma, vă rugăm să consultați următorul articol pentru o soluție: Seria Zyxel USG FLEX H [VPN] - Rezolvarea problemelor de conexiune VPN după actualizarea la macOS Sonoma

Vă rugăm să rețineți: atunci când utilizați certificate pentru o conexiune VPN IKEv2, ID-ul la distanță trebuie să corespundă cu numele comun (CN) al certificatului gateway-ului VPN la distanță. În timpul autentificării, clientul verifică dacă ID-ul la distanță corespunde cu numele din certificat. Acest lucru ajută la confirmarea identității dispozitivului la distanță și protejează conexiunea împotriva accesului neautorizat.

În Zyxel Nebula, ID-ul la distanță se bazează de obicei pe numele subiectului certificatului, care conține CN. În acest exemplu, ID-ul la distanță este 10.214.48.32, care corespunde cu CN-ul certificatului (10.214.48.32).

Instalarea certificatului nu este necesară atunci când tunelul VPN este configurat manual.

• Conectați-vă la interfața grafică web a firewall-ului dvs.

Go to VPN > IPsec VPN > To set the IKEv2 related information, as shown below:

Scroll down the page until you see "Advanced Settings"

Perfect Forward Secrecy (PFS) - Definește dacă se efectuează un schimb suplimentar de chei Diffie-Hellman în timpul fazei 2 IPsec. Când este activată, se generează o cheie nouă, independentă, pentru fiecare asociere de securitate IPsec. Când este dezactivată, faza 2 utilizează materialul cheii derivat din faza 1.

Download the "VPN Configuration Script Download" file to your macOS device and install it

• Pentru a seta profilul pe sistemul de operare MAC

Go to System Preferences > Privacy and Security

• Faceți dublu clic pe profilul descărcat și instalați-l

MAC poate solicita un nume de utilizator și o parolă de administrator pentru a configura profilul; introduceți detaliile și faceți clic pe„OK”

Go to System Settings > VPN and edit the profile

• Alegeți Autentificare utilizator la Nume de utilizator și introduceți numele de utilizator și parola

• Activați conexiunile VPN și ați terminat

Pentru a verifica configurarea și stabilirea cu succes a conexiunii VPN IKEv2 cu setările specificate, urmați acești pași:

• Accesați interfața grafică cu utilizatorul (GUI) USG Flex H
• Accesați secțiunea Stare VPN
• În cadrul secțiunii Stare VPN, accesați VPN IPsec
• Selectați VPN cu acces la distanță

Odată ajuns în această locație, ar trebui să observați că conexiunea VPN IKEv2 a fost stabilită cu succes