Viktigt meddelande: |
Den här artikeln kommer att titta på IKEv2 client-to-site och hur man ställer in det i olika scenarier och OS [USG FLEX / ATP / VPN Series].
Certifikat, Windows, IOS, macOS, Android, IPSEC-klient, konfigurationsförsörjning, 2FA, Active Directory.
Innehållsförteckning
Vad är IKEv2? (Allmän information om IKEv2)
1) Installation av IKEv2 med standardprofil (FLEX)
1.1 Konfigurera IKEv2 VPN-anslutning och gateway
1.2 Lägg till VPN-användare
2) Konfigurera IKEv2 på VPN-klienten
2.1 IKEv2 med Android och IOS
2.2 IKEv2 med macOS
2.3 IKEv2 med äldre SecuExtender IPsec-klient (3.8)
3) Konfigurera tvåfaktorsautentisering [2FA] [Google]
4) Om något går fel
Vad är IKEv2? (Allmän information om IKEv2)
Förkortningen IKEv2 står för Internet Key Exchange Protocol Version 2.
Protokollet används för nyckelhantering i IPsec-baserade virtuella privata nätverk (VPN) och eliminerar svagheterna i den tidigare versionen IKE.
IKEv2 är inte kompatibel med IKE och ersätter den äldre versionen.
De viktigaste funktionerna i IKEv2
Kortfattat sammanfattat är detta de viktigaste funktionerna i IKEv2:
Minskad komplexitet
Enklare och mindre felkänslig konfiguration.
Snabbare upprättande av anslutningar
Snabbare återuppbyggnad av tunneln efter nätverksfel
Eliminering av typiska NAT-problem
Färre problem med dynamiska IP-adresser
Standardiserat i en enda RFC
Stöd för mobila tillämpningar i IPsec VPN-tjänster
Inte bakåtkompatibelt med IKE
Använder samma UDP-port som IKE
https://www.security-insider.de/was-ist-ikev2-a-781374/
1) Installation av IKEv2 med standardprofil (FLEX)
För att använda IKEv2 måste vi först lägga till en gateway och en anslutning till vår brandvägg.
I det här fallet använder vi en USG FLEX.
Observera att vi rekommenderar att du väljer den högsta möjliga krypteringen (som din enhet kan använda).
1.1 Konfigurera IKEv2 VPN-anslutning och gateway
Configuration > VPN > IPSec VPN > VPN Gateway > Add
Här måste vi först lägga till en VPN-gateway (fas 1).
1) Aktivera gatewayen och ge den ett namn.
2) Välj IKE Version 2
3) Välj certifikat "standard".
dyn_repppppppp_1
Nu måste vi lägga till anslutningen (fas 2)
1) Aktivera den nya anslutningen
2) Ge den ett namn
3) Välj fjärråtkomst (serverroll)
4) Välj Gateway (fas 1) som vi skapade tidigare.
5) I enlighet med den lokala policyn väljer vi det nätverk vi vill komma åt.
1.2 Lägg till VPN-användare
Lägg till VPN-användaren/användarna i en VPN-användargrupp för enklare VPN-hantering.
2) Konfigurera IKEv2 på VPN-klienten
2.1 IKEv2 med Android och IOS
Titta på den här artikeln:
VPN - Konfigurera IKEv2 IPSec med certifikat på Android / iPhone iOS / Windows / MacOS
2.2 IKEv2 med macOS
Titta på den här artikeln:
VPN - Konfigurera IKEv2 IPSec med certifikat på Android / iPhone iOS / Windows / MacOS
2.3 IKEv2 med äldre SecuExtender IPsec-klient (3.8)
Kom ihåg att den gamla IPsec SecuExtender är EoL sedan den 30 april 2023 - för mer information, se den här artikeln:
SecuExtender VPN - Perpetual License End of Life [EoL] / Phase Out [Annoucement]
Lokalt ID = certifikatets gemensamma namn (standardcertifikat)
Tunneln är nu öppen och redo att användas.
Ett enklare sätt att konfigurera klienten beskrivs här: IKEv2 - Konfigurationstillhandahållande på Windows, Mac
2.4 IKEv2 med den nya SecuExtender IPsec-klienten [Windows/MacOS]
För mer information, se den här artikeln:
VPN - Konfigurera IKEv2 VPN med certifikat med SecuExtender IPSec VPN Client
Först måste vi konfigurera "Configuration Provisioning".
dyn_repppppppp_2Observera! Om du ändrar Provisioning Port, se till att tillåta trafiken från WAN till enheten i brandväggen!
Sedan måste vi ställa in "Configuration Payload".
dyn_repppppppp_3
I IPSec VPN Client går du till:
dyn_repppppppp_4
Nu anger vi de nödvändiga autentiseringsuppgifterna och klickar på "Next" (nästa).
Vi har nu framgångsrikt hämtat konfigurationen.
Vi kan nu gå vidare och öppna tunneln.
3) Konfigurera tvåfaktorsautentisering [2FA] [Google]
dyn_repppppppp_5
Configuration > Object > User/Group > Edit User > Two-Factor Authentication
Om du använder 2FA by Mail/SMS måste du konfigurera en mailserver på enheten.
Configuration > System > Notification
Configuration > Object > Auth. Method
Se till att tillåta "Authorisation Port" i brandväggen "WAN to Device".
4) Om något går fel
Kontrollera att dessa två tjänster är igång på din Windows-dator.
Tryck på Windows-knappen + R:
Skriv "services.msc" och klicka på ok:
Kontrollera att IKE- och IPSec-policyn är startad:
VPN-tunneln är upprättad men datorn har inget internet:
-
Som standard försöker Windows IKEv2 VPN-klienten skicka all trafik genom tunneln, och internettrafiken stannar medan VPN-anslutningen är aktiv. En routningsprincip(Policy route) måste läggas till i USG för att IKEv2 VPN-trafiken ska få tillgång till WAN-anslutningen för internettrafik.
Se därför till att DNS-poster har lagts till för VPN-användarna. För att kontrollera detta går du till Configuration -> VPN -> IPSec VPN -> VPN Connection och redigerar IKEv2-regeln och kontrollerar inställningen"Configuration Payload".
- Kontrollera att du har den senaste versionen av den fasta programvaran på din brandvägg.
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.