Acest articol va examina IKEv2 client-to-site și modul de configurare a acestuia în diferite scenarii și sisteme de operare [USG FLEX / ATP / VPN Series]
Certificat, Windows, IOS, macOS, macOS, Android, Client IPSEC, Configurație Provisionare, 2FA, Active Directory.

Tabelul de conținut

Ce este IKEv2? (Informații generale despre IKEv2)

1) Configurarea IKEv2 cu profil implicit (FLEX)

1.1 Configurarea conexiunii VPN IKEv2 și a gateway-ului (Configure IKEv2 VPN Connection & Gateway)

1.2 Adăugați utilizatorii VPN

2) Configurați IKEv2 pe clientul VPN

2.1 IKEv2 cu Android și IOS

2.2 IKEv2 cu macOS

2.3 IKEv2 cu Legacy SecuExtender IPsec Client (3.8)

3) Configurați autentificarea cu doi factori [2FA] [Google]

4) Dacă ceva nu merge bine

Ce este IKEv2? (Informații generale despre IKEv2)

Abrevierea IKEv2 înseamnă Internet Key Exchange Protocol Version 2.

Protocolul este utilizat pentru gestionarea cheilor în rețelele private virtuale (VPN) bazate pe IPsec și elimină punctele slabe ale versiunii anterioare IKE.

IKEv2 nu este compatibil cu IKE și înlocuiește versiunea mai veche.

Principalele caracteristici ale IKEv2
Pe scurt, acestea sunt caracteristicile esențiale ale IKEv2:

Complexitate redusă
Configurare mai simplă și mai puțin predispusă la erori
Stabilirea mai rapidă a conexiunii
reconstrucție mai rapidă a tunelului după defecțiuni ale rețelei
Eliminarea problemelor tipice de NAT
Mai puține probleme cu adresele IP dinamice
Standardizare într-un singur RFC
Suport pentru aplicații mobile în VPN-urile IPsec
Nu este compatibil cu IKE
Utilizează același port UDP ca IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Configurarea IKEv2 cu profilul implicit (FLEX)

Pentru a utiliza IKEv2, trebuie mai întâi să adăugăm o poartă și o conexiune la firewall-ul nostru.
În acest caz, folosim un USG FLEX.

Vă rugăm să rețineți că vă recomandăm să alegeți cea mai mare criptare posibilă (posibil de utilizat de către dispozitivul dvs.).

1.1 Configurarea conexiunii VPN IKEv2 și a gateway-ului

Configuration > VPN > IPSec VPN > VPN Gateway > Add

Aici trebuie să adăugăm mai întâi un VPN Gateway (faza 1).

1) Activați Gateway-ul și dați-i un nume.

2) Alegeți IKE versiunea 2

3) Alegeți Certificatul "implicit"

Acum trebuie să adăugăm conexiunea (faza 2)

1) Activați noua conexiune

2) Dați-i un nume

3) Alegeți Acces la distanță (Rol de server)

4) Alegeți Gateway-ul (Faza 1) pe care l-am creat anterior

5) În conformitate cu politica locală, alegem rețeaua pe care dorim să o accesăm.

1.2 Adăugați utilizatorii VPN

Adăugați utilizatorul (utilizatorii) VPN la un grup de utilizatori VPN pentru o gestionare mai ușoară a VPN.

2) Configurați IKEv2 pe clientul VPN

2.1 IKEv2 cu Android și IOS

Vă rugăm să vă uitați la acest articol:

VPN - Configurați IKEv2 IPSec cu certificat pe Android / iPhone iOS / Windows / MacOS

2.2 IKEv2 cu macOS

Vă rugăm să vă uitați la acest articol:

VPN - Configurați IKEv2 IPSec cu certificat pe Android / iPhone iOS / Windows / MacOS

2.3 IKEv2 cu clientul IPsec SecuExtender Legacy (3.8)

Amintiți-vă că SecuExtender IPsec moștenit este EoL din 30 aprilie 2023 - pentru mai multe informații, consultați acest articol:

SecuExtender VPN - Licența perpetuă Sfârșitul duratei de viață [EoL] / Eliminarea treptată [Anunț].

ID local = Nume comun al certificatului (certificat implicit)

Tunelul este acum deschis și gata de utilizare.
Aici este descrisă o modalitate mai simplă de a configura clientul: IKEv2 - Configurație Provisioning pe Windows, Mac

2.4 IKEv2 cu noul client IPsec SecuExtender [Windows / MacOS]

Pentru mai multe informații, vă rugăm să consultați acest articol:

VPN - Configurarea VPN IKEv2 cu certificat utilizând clientul VPN IPSec SecuExtender

În primul rând, trebuie să configurăm "Configuration Provisioning".

Vă rugăm să rețineți! Dacă modificați portul de provizionare, asigurați-vă că permiteți traficul de la WAN la dispozitiv în Firewall!

Apoi, trebuie să configurăm "Configuration Payload".

În Clientul VPN IPSec, mergeți la:

Acum introducem acreditările necesare și facem clic pe "Next".


Acum am recuperat cu succes configurația.

Acum putem continua și deschide tunelul.

3) Configurați autentificarea cu doi factori [2FA] [Google]

Dacă utilizați 2FA prin Mail/SMS, trebuie să configurați un server de e-mail pe dispozitiv.

Configuration > System > Notification

Asigurați-vă că permiteți "Portul de autorizare" în Firewall-ul "WAN to Device".

4) Dacă ceva nu merge bine

Asigurați-vă că aceste două servicii rulează pe PC-ul dumneavoastră cu Windows.

Apăsați butonul Windows + R:

Scrieți "services.msc" și faceți clic pe OK:

Asigurați-vă că IKE și IPSec Policy sunt pornite:

Tunelul VPN este stabilit, dar computerul nu are internet:

• În mod implicit, clientul Windows IKEv2 VPN va încerca să trimită tot traficul prin tunel, traficul de internet va fi blocat în timp ce conexiunea VPN este activă. Trebuie adăugată o politică de rutare(Policy route) în USG pentru a permite traficului IKEv2 VPN să acceseze conexiunea WAN pentru traficul de internet.

  Prin urmare, asigurați-vă că au fost adăugate intrări DNS pentru utilizatorii VPN. Pentru a verifica acest lucru, mergeți la Configuration -> VPN -> IPSec VPN -> VPN Connection (Configurație -> VPN -> VPN VPN -> Conexiune VPN ) și editați regula IKEv2 și verificați configurarea"Configuration Payload" (Configurație sarcină utilă).

• Asigurați-vă că aveți cea mai recentă versiune de firmware pe firewall-ul dvs.