В этой статье мы рассмотрим IKEv2 client-to-site и как его настроить в различных сценариях и ОС [USG FLEX / ATP / VPN Series].
Сертификат, Windows, IOS, macOS, Android, IPSEC Client, Configuration Provisioning, 2FA, Active Directory.

Оглавление

Что такое IKEv2? (Общая информация о IKEv2)

1) Настройка IKEv2 с профилем по умолчанию (FLEX)

1.1 Настройка VPN-соединения и шлюза IKEv2

1.2 Добавьте пользователей VPN

2) Настройте IKEv2 на VPN-клиенте

2.1 IKEv2 на Android и IOS

2.2 IKEv2 на macOS

2.3 IKEv2 с Legacy SecuExtender IPsec Client (3.8)

3) Настройка двухфакторной аутентификации [2FA] [Google]

4) Если что-то пошло не так

Что такое IKEv2? (Общая информация о IKEv2)

Аббревиатура IKEv2 расшифровывается как Internet Key Exchange Protocol Version 2.

Этот протокол используется для управления ключами в виртуальных частных сетях (VPN) на базе IPsec и устраняет недостатки предыдущей версии IKE.

IKEv2 не совместим с IKE и заменяет более старую версию.

Ключевые особенности IKEv2
В кратком изложении это важнейшие особенности IKEv2:

Снижение сложности
Более простая и менее подверженная ошибкам конфигурация
Более быстрое установление соединения
Более быстрое восстановление туннеля после сбоев в сети
Устранение типичных проблем NAT
Меньше проблем с динамическими IP-адресами
Стандартизация в одном RFC
Поддержка мобильных приложений в IPsec VPNs
Не имеет обратной совместимости с IKE
Использует тот же UDP порт, что и IKE

https://www.security-insider.de/was-ist-ikev2-a-781374/

1) Установка IKEv2 с профилем по умолчанию (FLEX)

Чтобы использовать IKEv2, мы должны сначала добавить шлюз и соединение к нашему брандмауэру.
В данном случае мы используем USG FLEX.

Обратите внимание, что мы рекомендуем выбрать максимально возможное шифрование (возможное для использования вашим устройством).

1.1 Настройка IKEv2 VPN соединения и шлюза

Configuration > VPN > IPSec VPN > VPN Gateway > Add

Сначала нам нужно добавить VPN-шлюз (Фаза 1).

1) Включите шлюз и дайте ему имя.

2) Выберите IKE версии 2

3) Выберите сертификат "по умолчанию"

Configuration > VPN > IPSec VPN > VPN Connection > Add

Теперь нам нужно добавить соединение (фаза 2)

1) Включите новое соединение

2) Дайте ему имя

3) Выберите Удаленный доступ (Роль сервера)

4) Выберите шлюз (Фаза 1), который мы создали ранее

5) В соответствии с локальной политикой, мы выбираем сеть, к которой хотим получить доступ.

1.2 Добавление пользователей VPN

Добавьте пользователя (пользователей) VPN в группу пользователей VPN для упрощения управления VPN

2) Настройте IKEv2 на VPN-клиенте

2.1 IKEv2 с Android и IOS

Пожалуйста, ознакомьтесь с этой статьей:

VPN - Настройка IKEv2 IPSec с сертификатом на Android / iPhone iOS / Windows / MacOS

2.2 IKEv2 в macOS

Пожалуйста, посмотрите эту статью:

VPN - Настройка IKEv2 IPSec с сертификатом на Android / iPhone iOS / Windows / macOS

2.3 IKEv2 с устаревшим IPsec-клиентом SecuExtender (3.8)

Помните, что устаревший IPsec SecuExtender является EoL с 30 апреля 2023 года - для получения дополнительной информации посмотрите эту статью:

SecuExtender VPN - Бессрочная лицензия Окончание срока службы [EoL] / Фазовый выход [Объявление]

Локальный ID = Общее имя сертификата (сертификат по умолчанию)

Туннель теперь открыт и готов к использованию.
Более простой способ настройки клиента описан здесь: IKEv2 - Обеспечение конфигурации на Windows, Mac

2.4 IKEv2 с новым IPsec-клиентом SecuExtender [Windows / MacOS].

Для получения дополнительной информации, пожалуйста, ознакомьтесь с этой статьей:

VPN - Настройка IKEv2 VPN с сертификатом с помощью SecuExtender IPSec VPN Client

Сначала нам нужно настроить "Configuration Provisioning".

Configuration > VPN > IPSec VPN > Configuration Provisioning

Обратите внимание! Если вы измените порт Provisioning Port, убедитесь, что вы разрешили трафик от WAN к устройству в брандмауэре!

Затем нам нужно настроить "полезную нагрузку конфигурации".

Configuration > VPN > IPSec VPN > VPN Connection > Edit

В IPSec VPN Client перейдите на:

Configuration > Get from Server

Теперь мы вводим необходимые учетные данные и нажимаем "Next".


Теперь мы успешно извлекли конфигурацию.

Теперь мы можем перейти к открытию туннеля.

3) Настройте двухфакторную аутентификацию [2FA] [Google].

Configuration > VPN > IPSec VPN > VPN Gateway

Configuration > Object > User/Group > Edit User > Two-Factor Authentication

Если вы используете 2FA по почте/SMS, вам необходимо настроить почтовый сервер на устройстве.

Configuration > System > Notification

Configuration > Object > Auth. Method

Пожалуйста, убедитесь, что разрешен "Порт авторизации" в брандмауэре "WAN to Device".

4) Если что-то пойдет не так

Убедитесь, что эти две службы запущены на вашем компьютере с Windows.

Нажмите кнопку Windows + R:

Напишите "services.msc" и нажмите OK:

Убедитесь, что политика IKE и IPSec запущена:

VPN-туннель создан, но компьютер не имеет Интернета:

• По умолчанию клиент Windows IKEv2 VPN будет пытаться отправить весь трафик через туннель, интернет-трафик будет заблокирован, пока VPN-соединение активно. Необходимо добавить политику маршрутизации(Policy route) в USG, чтобы позволить трафику IKEv2 VPN получить доступ к WAN-соединению для интернет-трафика.

  Поэтому убедитесь, что записи DNS были добавлены для пользователей VPN. Чтобы проверить это, перейдите в Configuration -> VPN -> IPSec VPN -> VPN Connection и отредактируйте правило IKEv2 и проверьте настройку"Configuration Payload".

• Убедитесь, что на вашем брандмауэре установлена последняя версия прошивки