IKEv2 VPN med förhärskande nyckel på mobila enheter (istället för L2TP)

Den här artikeln visar hur du ansluter mobiltelefoner (Android och iPhone (iOS)) med IKEv2 PSK (pre-shared key) i stället för L2TP. För i Android 12 och senare är L2TP-stöd inte längre tillgängligt. Den här artikeln kommer också att titta på hur man ställer in IKEv2 PSK för iOS-användare.

Först måste vi konfigurera tunneln på vår brandvägg; i det här fallet är brandväggen en ATP200 med fw 5.31.

Brandvägg: Konfigurera VPN-gateway (fas 1)

1. Logga in på din enhet med hjälp av GUI
2. Gå till "Konfiguration > VPN > IPSec VPN > VPN Gateway"

1. Klicka på "Lägg till"
2. Klicka på "Aktivera"
3. Ge den ett namn
4. Välj IKEv2
5. Välj ditt WAN-gränssnitt
6. Ställ in Peer Gateway-adressen till "Dynamic"
7. Ange en förhanterad nyckel "PSK"

I "Fas 1-inställningar" måste vi ändra förhandsinställningarna

1. Lägg till kryptering och autentisering enligt bilden nedan
2. Lägg till nyckelgrupp enligt bilden nedan
3. Avaktivera tvåfaktorsautentisering
4. Klicka på "OK"

Obs: För IOS 17 används en nyckelgrupp: DH19 måste användas

Brandvägg: Konfigurera VPN-anslutning (fas 2)

Gå till fliken "VPN-anslutning" och klicka på "Lägg till".

1. Klicka på "Lägg till"
2. Klicka på "Aktivera"
3. Ge den ett namn
4. Välj "Remote Access (Server Role)"
5. Välj den Gateway som vi skapade i föregående steg
6. Välj "Local Policy", det undernät som du vill ansluta till med VPN

Enable Configuration Payload - Det här avsnittet är obligatoriskt för iOS. Om du använder Android är detta valfritt.

I "Fas 2-inställningar" måste vi ändra förhandsinställningarna

1. Lägg till kryptering och autentisering enligt bilden nedan
2. Lägg till nyckelgrupp enligt bilden nedan
3. Klicka på "OK"

Notera! Du kan också använda DH2 och DH14 i både "Fas 1" och "Fas 2" om andra enheter (t.ex. gamla Android-telefoner) inte kan ansluta.

Mobil: Konfigurera på Android

1. Inställningar
2. Gå in i VPN och gå till VPN-inställningar
3. Lägg till en ny VPN-anslutning
4. Skriv in namnet
5. Välj IKEv2/IPSec PSK
6. Ange IP eller FQDN från WAN-gränssnittet på din brandvägg
7. Ange IPSec-identifierare ( om du inte har ändrat något på brandväggen, lämna 0.0.0.0)
8. Ange den fördelade nyckeln (samma som du angavpå brandväggen)
9. Klicka på "Save"
10. Välj det nyligen skapade VPN:et och klicka på "Connect".

I vissa versioner av VPN finns fältet "DNS Server" tillgängligt i de avancerade inställningarna. Du kan lämna det här fältet tomt om du inte har ändrat något på brandväggen i fältet "Innehåll", som i bilden nedan. I annat fall måste du ange samma värde i fältet "DNS Server" som i fältet "Content".

Vid en lyckad anslutning kommer VPN-statusen på din mobil att vara "Connected".

Mobil: Konfigurera på iOS

Noteringar: Sedan lanseringen av iOS 18 har användare rapporterat problem med att ansluta till fjärr-VPN:er som konfigurerats via .mobileconfig-filer. VPN-anslutningen misslyckas med att etableras, vilket gör det nödvändigt att skapa en manuell profil som ett alternativ.

Lösning:

Redigera .mobileconfig-filen:
Öppna filen .mobileconfig med hjälp av en textredigerare som Notepad.

Leta reda på följande rader:

Ändra raderna så att de innehåller en specifik identifierare:

LocalIdentifier
Zyxel

Spara ändringarna och distribuera den uppdaterade .mobileconfig-filen till din iOS-enhet.

1. Inställningar
2. Gå in i VPN och gå till VPN-inställningar
3. Lägg till en ny VPN-anslutning
4. Välj IKEv2
5. Skriv in namnet
6. Ange IP eller FQDN från WAN-gränssnittet på din brandvägg
7. Ange Remote ID (Om du inte har ändrat något på brandväggen, lämna 0.0.0.0)
8. Välj användarautentisering "Ingen"
9. Avaktivera "Användarcertifiering"
10. Ange den fördelade nyckeln (samma som du angavpå brandväggen)
11. Klicka på "Done"
12. Välj det nyligen skapade VPN:et och klicka på "Connect".

Du kan kontrollera anslutningsstatusen i brandväggsinställningarna (under Konfiguration -> VPN -> IPSec VPN, då ser du den gröna symbolen om den är ansluten).

Du kan också se anslutningen under Monitor -> Logs.