Dôležité upozornenie: |
V tomto článku sa budeme venovať IKEv2 medzi klientmi a jeho nastaveniu v rôznych scenároch a operačných systémoch [USG FLEX / ATP / VPN Series].
Certifikát, Windows, IOS, macOS, Android, klient IPSEC, konfigurácia Provisioning, 2FA, Active Directory.
Tabuľka obsahu
Čo je IKEv2? (Všeobecné informácie o IKEv2)
1) Nastavenie IKEv2 s predvoleným profilom (FLEX)
1.1 Konfigurácia pripojenia a brány VPN IKEv2
1.2 Pridanie používateľov VPN
2) Nakonfigurujte IKEv2 na klientovi VPN
2.1 IKEv2 so systémami Android a IOS
2.2 IKEv2 so systémom macOS
2.3 IKEv2 so starším klientom SecuExtender IPsec (3.8)
3) Konfigurácia dvojfaktorového overovania [2FA] [Google]
4) Ak sa niečo pokazí
Čo je IKEv2? (Všeobecné informácie o IKEv2)
Skratka IKEv2 znamená Internet Key Exchange Protocol Version 2.
Protokol sa používa na správu kľúčov vo virtuálnych súkromných sieťach (VPN) založených na protokole IPsec a odstraňuje nedostatky predchádzajúcej verzie IKE.
IKEv2 nie je kompatibilný s IKE a nahrádza staršiu verziu.
Kľúčové vlastnosti IKEv2
Stručne zhrnuté sú tieto kľúčové vlastnosti IKEv2:
Znížená zložitosť
Jednoduchšia a menej náchylná na chyby konfigurácia
Rýchlejšie nadväzovanie spojení
rýchlejšia rekonštrukcia tunela po zlyhaní siete
Odstránenie typických problémov s NAT
Menej problémov s dynamickými adresami IP
Štandardizácia v jednom RFC
Podpora mobilných aplikácií v sieťach IPsec VPN
Nie je spätne kompatibilný s IKE
Používa rovnaký port UDP ako IKE
https://www.security-insider.de/was-ist-ikev2-a-781374/
1) Nastavenie IKEv2 s predvoleným profilom (FLEX)
Ak chceme používať IKEv2, musíme najprv pridať bránu a pripojenie do našej brány firewall.
V tomto prípade používame zariadenie USG FLEX.
Upozorňujeme, že odporúčame zvoliť najvyššie možné šifrovanie (ktoré je možné použiť vo vašom zariadení).
1.1 Konfigurácia pripojenia IKEv2 VPN a brány
dyn_repppp_0Tu musíme najprv pridať bránu VPN (fáza 1).
1) Povoľte bránu a dajte jej názov.
2) Vyberte verziu IKE 2
3) Vyberte certifikát "predvolený"
dyn_repppp_1
Teraz musíme pridať pripojenie (fáza 2)
1) Povoľte nové pripojenie
2) Pridajte mu názov
3) Vyberte vzdialený prístup (rola servera)
4) Vyberte bránu (Fáza 1), ktorú sme vytvorili predtým
5) Podľa miestnych zásad vyberieme sieť, ku ktorej chceme pristupovať.
1.2 Pridanie používateľov VPN
Pridanie používateľa (používateľov) VPN do skupiny používateľov VPN na jednoduchšiu správu VPN
2) Konfigurácia IKEv2 na klientovi VPN
2.1 IKEv2 so systémami Android a IOS
Pozrite si tento článok:
Konfigurácia IKEv2 IPSec s certifikátom v systéme Android / iPhone iOS / Windows / MacOS
2.2 IKEv2 s macOS
Pozrite si tento článok:
Konfigurácia IKEv2 IPSec s certifikátom v systéme Android / iPhone iOS / Windows / MacOS
2.3 IKEv2 so starším klientom SecuExtender IPsec (3.8)
Nezabudnite, že starší klient IPsec SecuExtender je od 30. apríla 2023 EoL - viac informácií nájdete v tomto článku:
SecuExtender VPN - koniec životnosti trvalej licencie [EoL] / postupné ukončenie [Annoucement]
Miestne ID = spoločný názov certifikátu (predvolený certifikát)
Tunel je teraz otvorený a pripravený na používanie.
Jednoduchší spôsob konfigurácie klienta je opísaný tu: IKEv2 - konfigurácia zabezpečenia v systéme Windows, Mac
2.4 IKEv2 s novým klientom SecuExtender IPsec [Windows / MacOS]
Ďalšie informácie nájdete v tomto článku:
VPN - Konfigurácia IKEv2 VPN s certifikátom pomocou klienta SecuExtender IPSec VPN
Najprv musíme nastaviť "Configuration Provisioning" (Zabezpečenie konfigurácie).
dyn_repppp_2Upozornenie! Ak zmeníte port Provisioning, uistite sa, že ste vo Firewalle povolili prevádzku z WAN do zariadenia!
Potom musíme nastaviť "konfiguráciu Payload".
dyn_repppp_3
V klientovi IPSec VPN prejdite na:
Configuration > Get from Server
Teraz vložíme potrebné poverenia a klikneme na "Next" (Ďalej).
Teraz sme úspešne načítali konfiguráciu.
Teraz môžeme pokračovať a otvoriť tunel.
3) Konfigurácia dvojfaktorového overovania [2FA] [Google]
Configuration > VPN > IPSec VPN > VPN Gateway
Configuration > Object > User/Group > Edit User > Two-Factor Authentication
Ak používate 2FA prostredníctvom pošty/SMS, musíte v zariadení nastaviť poštový server.
Configuration > System > Notification
Configuration > Object > Auth. Method
Uistite sa, že ste povolili "Autorizačný port" v bráne firewall "WAN to Device".
4) Ak sa niečo pokazí
Uistite sa, že máte v počítači so systémom Windows spustené tieto dve služby.
Stlačte tlačidlo Windows + R:
Napíšte "services.msc" a kliknite na tlačidlo OK:
Skontrolujte, či je spustená politika IKE a IPSec:
VPN tunel je vytvorený, ale počítač nemá prístup na internet:
-
V predvolenom nastavení sa klient Windows IKEv2 VPN pokúsi odoslať všetku prevádzku cez tunel, internetová prevádzka sa zastaví, kým je pripojenie VPN aktívne. Do USG je potrebné pridať zásadu smerovania(Policy route), ktorá umožní prevádzke IKEv2 VPN prístup k pripojeniu WAN pre internetovú prevádzku.
Preto sa uistite, že pre používateľov siete VPN boli pridané položky DNS. Ak to chcete skontrolovať, prejdite do časti Configuration (Konfigurácia) -> VPN -> IPSec VPN -> VPN Connection (Pripojenie VPN) a upravte pravidlo IKEv2 a začiarknite nastavenie"Configuration Payload" (Zloženie konfigurácie).
- Uistite sa, že máte na bráne firewall najnovšiu verziu firmvéru
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.