IKEv2 VPN с Pre-Shared ключом на мобильных устройствах (вместо L2TP)

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия по поводу точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье мы расскажем вам, как подключить мобильные телефоны (Android и iPhone (iOS)) с помощью IKEv2 PSK (pre-shared key) вместо L2TP. Потому что в Android 12 и более поздних версиях поддержка L2TP больше не доступна. В этой статье мы также рассмотрим, как настроить IKEv2 PSK для пользователей iOS.

mceclip15.png

Сначала нам нужно настроить туннель на нашем брандмауэре; в данном случае это ATP200 с fw 5.31.

Брандмауэр: Настройка VPN-шлюза (этап 1)

  1. Войдите в устройство с помощью графического интерфейса
  2. Перейдите в раздел "Конфигурация > VPN > IPSec VPN > VPN-шлюз".

mceclip1.png

  1. Нажмите на "Добавить".
  2. Нажмите на "Включить"
  3. Пожалуйста, дайте ему имя
  4. Выберите IKEv2
  5. Выберите WAN-интерфейс
  6. Установите для адреса пирингового шлюза значение "Динамический".
  7. Установите предварительный ключ "PSK".

mceclip0.png

В разделе "Настройки фазы 1" нам нужно изменить предварительные настройки

  1. Добавить шифрование и аутентификацию в соответствии с рисунком ниже
  2. Добавьте группу ключей, как показано на рисунке ниже
  3. Отключите двухфакторную аутентификацию
  4. Нажмите "ОК".

Примечание: Для IOS 17 используется группа ключей: DH19 должен быть использован

mceclip0.png

Брандмауэр: Настройка VPN-соединения (этап 2)

Перейдите на вкладку "VPN Connection" и нажмите "Add".

  1. Нажмите на "Добавить".
  2. Нажмите на "Включить".
  3. Дайте ему имя
  4. Выберите "Удаленный доступ (роль сервера)".
  5. Выберите шлюз, который мы создали на предыдущем шаге.
  6. Выберите "Локальную политику", подсеть, к которой вы хотите подключиться с помощью VPN.

Enable Configuration Payload - этот раздел обязателен для iOS. В случае использования Android он необязателен.

mceclip14.png

В разделе "Настройки фазы 2" нам необходимо изменить настройки Advance

  1. Добавить шифрование и аутентификацию в соответствии с рисунком ниже
  2. Добавить группу ключей в соответствии с рисунком ниже
  3. Нажмите "ОК".

mceclip8.png

Примечание! Вы также можете использовать DH2 и DH14 как на "Фазе 1", так и на "Фазе 2", если другие устройства (например, старые телефоны Android) не могут подключиться.

Мобильный телефон: Настройка на Android

  1. Настройки mceclip10.png
  2. Войдите в VPN и перейдите в настройки VPN
  3. Добавить новое VPN-соединение
  4. Введите имя
  5. Выберите IKEv2/IPSec PSK
  6. Введите IP или FQDN с WAN интерфейса вашего брандмауэра
  7. Введите идентификатор IPSec (если вы ничего не меняли на брандмауэре, оставьте 0.0.0.0)
  8. Введите предварительный ключ (тот же, что вы ввели на брандмауэре).
  9. Нажмите "Сохранить".
  10. Выберите только что созданную VPN и нажмите "Подключить".

mceclip16.pngmceclip17.png

mceclip19.pngmceclip21.png

В некоторых версиях VPN в расширенных настройках доступно поле "DNS-сервер". Вы можете оставить это поле пустым, если вы ничего не меняли на брандмауэре в поле "Содержимое", как показано на рисунке ниже. В противном случае в поле "DNS-сервер" необходимо указать то же значение, что и в поле "Содержание".

mceclip1.png

В случае успешного подключения статус VPN на вашем мобильном будет "Подключено".

Мобильный: Настройка на iOS

Примечания: С момента выхода iOS 18 пользователи сообщают о проблемах с подключением к удаленным VPN, настроенным через файлы .mobileconfig. VPN-соединение не устанавливается, и в качестве альтернативы приходится создавать профиль вручную.

Решение проблемы:

Отредактируйте файл .mobileconfig:
Откройте файл .mobileconfig с помощью текстового редактора, например Notepad.

Найдите следующие строки:

LocalIdentifier

Измените эти строки, чтобы включить в них определенный идентификатор:

LocalIdentifier
Zyxel

Сохраните изменения и разверните обновленный файл .mobileconfig на устройстве iOS.

  1. Настройки mceclip1.png
  2. Войдите в VPN и перейдите к настройкам VPN.
  3. Добавить новое VPN-соединение
  4. Выберите IKEv2
  5. Введите имя
  6. Введите IP или FQDN с WAN-интерфейса вашего брандмауэра
  7. Введите Remote ID (если вы ничего не меняли на брандмауэре, оставьте 0.0.0.0)
  8. Выберите "Аутентификация пользователя" "Нет"
  9. Отключите "Сертификацию пользователя"
  10. Введите предварительный ключ (тот же, что вы ввели на брандмауэре)
  11. Нажмите "Готово".
  12. Выберите только что созданную VPN и нажмите "Подключиться".

mceclip3.pngmceclip6.pngmceclip1.pngmceclip10.png

Вы можете проверить статус соединения в настройках брандмауэра (в разделе Конфигурация -> VPN -> IPSec VPN, тогда вы увидите зеленый символ, если соединение установлено).

mceclip22.png

Вы также можете посмотреть подключение в разделе Монитор -> Журналы.

mceclip13.png

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 20 из 52
Поделиться