Ikev2 vpn сервер: Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам

Содержание

Настройка сервера IKEv2 VPN с StrongSwan в Ubuntu 20.04

Введение

Виртуальная частная сеть (VPN) позволяет выполнять защищенное шифрование трафика, передаваемого через незащищенные сети, например, в кафе, на конференции или в аэропорту.

Internet Key Exchange v2 или IKEv2 — это протокол, который позволяет создавать прямые туннели IPSec между сервером и клиентом. IPSec обеспечивает шифрование сетевого трафика в виртуальных частных сетях IKEv2. IKEv2 изначально поддерживается на ряде платформ (OS X 10.11+, iOS 9.1+, Windows 10) без дополнительных приложений и легко решает проблемы с подключением клиентов.

В этом обучающем руководстве мы настроим сервер IKEv2 VPN с помощью StrongSwan на сервере Ubuntu 20.04. Затем вы узнаете, как подключиться к нему с помощью клиентов Windows, macOS, Ubuntu, iOS и Android.

Шаг 1 — Установка StrongSwan

Вначале мы установим StrongSwan, демона IPSec с открытым исходным кодом, а затем настроим его как наш сервер VPN. Также мы установим компонент инфраструктуры открытых ключей (PKI), чтобы создать центр сертификации (СА), который будет предоставлять учетные данные для нашей инфраструктуры.

Начните с обновления кэша локальных пакетов:

Затем установите программное обеспечение с помощью следующей команды:

  • sudo apt install strongswan strongswan-pki libcharon-extra-plugins libcharon-extauth-plugins

Дополнительный пакет libcharon-extauth-plugins используется для обеспечения возможности аутентификации различных клиентов для вашего сервера с помощью общего имени пользователя и кодовой фразы.

После завершения установки перейдем к созданию сертификатов.

Шаг 2 — Создание центра сертификации

Для идентификации на клиентских системах серверу IKEv2 требуется сертификат. Для упрощения формирования требуемого сертификата пакет strongswan-pki включает утилиту pki, которая может сгенерировать центр сертификации и сертификаты сервера.

Для начала создадим несколько каталогов для хранения всех активо, с которыми мы будем работать. Структура каталогов соответствует некоторым каталогам в /etc/ipsec.d, куда мы постепенно переместим все создаваемые элементы:

  • mkdir -p ~/pki/{cacerts,certs,private}

Затем мы заблокируем разрешения, чтобы другие пользователи не могли видеть наши частные файлы:

Располагая структурой каталогов для хранения всех элементов, мы можем сгенерировать ключ root. Это будет 4096-битный ключ RSA, который будет использоваться для подписи корневого центра сертификации.

Запустите следующие команды, чтобы сгенерировать ключ:

  • pki —gen —type rsa —size 4096 —outform pem > ~/pki/private/ca-key.pem

После этого мы можем переходить к созданию корневого центра сертификации, используя ключ, который мы только что сгенерировали для подписания корневого сертификата:

  • pki —self —ca —lifetime 3650 —in ~/pki/private/ca-key. pem \
  • —type rsa —dn «CN=VPN root CA» —outform pem > ~/pki/cacerts/ca-cert.pem

Флаг --lifetime 3650 используется для обеспечения действительности корневого сертификата центра сертификации на протяжении 10 лет. Корневой сертификат центра обычно не меняется, поскольку его необходимо перераспределять на каждый использующий его сервер и клиент. Исходя из этого, 10 лет — это безопасный срок действия по умолчанию.

Вы можете изменить значение различимого имени distinguished name (DN) на любое другое имя по своему желанию. Обычное имя (поле CN) здесь используется только как индикатор, поэтому оно не обязательно должно совпадать с чем-либо в вашей инфраструктуре.

Настроив и запустив корневой центр сертификации, мы можем создать сертификат, который будет использоваться сервером VPN.

Шаг 3 — Генерирование сертификата для сервера VPN

Теперь мы создадим сертификат и ключ для сервера VPN. Этот сертификат позволит клиентам проверять подлинность сервера, используя только что сгенерированный нами сертификат CA.

Вначале создайте закрытый ключ сервера VPN с помощью следующей команды:

  • pki —gen —type rsa —size 4096 —outform pem > ~/pki/private/server-key.pem

Настройка VPN сервера IKEv2 на Ubuntu 16.04 LTS + iPhone

Сегодня покажу как на VPS сервере с Ubuntu 16.04 настроить VPN сервер с протоколом IKEv2  и подключим к нему IPhone через заранее созданный конфигурационный файл. Подготовка

sudo echo "deb http://ftp.debian.org/debian wheezy-backports main" > /etc/apt/sources.list.d/wheezy-backports.list
sudo gpg --keyserver pgpkeys.mit.edu --recv-key  8B48AD6246925553
sudo gpg -a --export 8B48AD6246925553 | sudo apt-key add -
sudo gpg --keyserver pgpkeys.mit.edu --recv-key 7638D0442B90D010
sudo gpg -a --export 7638D0442B90D010 | sudo apt-key add -
sudo apt-get -y update && sudo apt-get upgrade -y

Шаг 1: Установка Strongswan Package

sudo apt-get -y install strongswan strongswan-plugin-openssl strongswan-plugin-eap-mschapv2

Шаг 2: Редактируем strongswan. conf

Для быстрой очистки файла делаем

echo "" > /etc/strongswan.conf

И вставляем следующий текст

charon {
	load_modular = yes
  dns1 = 8.8.8.8
  dns2 = 8.8.4.4
	plugins {
		include strongswan.d/charon/*.conf
	}
}

include strongswan.d/*.conf

Вы можете заменить Google DNS на любые другие.

Шаг 3: Редактируем ipsec.conf

Чистим файл аналогичным способом

echo "" > /etc/ipsec.conf

Копируем следующие настройки.

config setup
 strictcrlpolicy=no
 uniqueids = no

conn %default
 mobike=yes
 dpdaction=clear
 dpddelay=35s
 dpdtimeout=200s
 fragmentation=yes

conn iOS-IKEV2
 auto=add
 keyexchange=ikev2
 eap_identity=%any
 left=%any
 leftsubnet=0.0.0.0/0
 rightsubnet=10.99.1.0/24
 leftauth=psk
 leftid=%any
 right=%any
 rightsourceip=10.99.1.0/24
 rightauth=eap-mschapv2
 rightid=%any

Шаг 4: Редактируем ipsec. secrets (логины и пароли пользователей)

Чистим файл

sudo echo "" > /etc/ipsec.secrets

Вставляем

include /var/lib/strongswan/ipsec.secrets.inc

# logins
 : PSK "SEXapPAm5x5OXktAzes9nxE3NvilpmIh2orpE2cIzgfWRZgQDYZ1Wm3thlfXXwn"
myusername : EAP "hSyeI1H8Wsybb5qDk5abBrJ7LCu3bPbJrax9aFG77FiiJZu3eUepLwvg9pjjEL3"

PSK — вводите любую последовательность символов. Можно сгенерировать тут:

http://darkvoice.dyndns.org/wlankeygen/

myusername — логин и дальше в кавычках идет пароль.

Шаг 5: Правила iptables

Нужно узнать основной сетевой интерефейс. Обычно это eth0, но лучше проверить

ifconfig
ens3      Link encap:Ethernet  HWaddr 52:54:00:c2:c2:ad  
          inet addr:194.67.209.155  Bcast:194.67.223.255  Mask:255.255.240.0
          inet6 addr: fe80::5054:ff:fec2:c2ad/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5483341 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5128498 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1830663175 (1.
8 GB) TX bytes:2754986719 (2.7 GB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:94940 errors:0 dropped:0 overruns:0 frame:0 TX packets:94940 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:12680067 (12.6 MB) TX bytes:12680067 (12.6 MB)

Как видим интерфейс у нас ens3.

Теперь подставляя нужный интерфейс вводим следующее

sudo iptables -t nat -A POSTROUTING -s 10.99.1.0/24 -o ens3 -j MASQUERADE
sudo iptables -A FORWARD -s 10.99.1.0/24 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 500 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 4500 -j ACCEPT

Теперь нужно включить IP forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward

И чтобы не делать это после каждой перезагрузки, добавьте следующую строку в файл /etc/sysctl. conf

net.ipv4.ip_forward=1

Затем перезагрузить его введя

sudo sysctl -p

И перезагружаем ipsec

ipsec restart

Шаг 6: Создать файл конфигурации для телефона

Создаем файл с именем myusername.mobileconfig и загружаем его на сервер в публичный доступ. Затем заходим с телефона по адресу и скачиваем файл — iPhone предложит установить конфигурацию.

Где написано @@Заменить …@@ заменяем целиком с @@.

uuidgen — запускаем в консоли в linux

# uuidgen
346c8e7e-68d3-4518-a28d-96cc9084f4ad

Вывод команды пишем в файл. В каждую строку — разное значение.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
 <dict>
 <key>PayloadContent</key>
 <array>
 <dict>
 <key>IKEv2</key>
 <dict>
 <key>AuthName</key>
 <string>@@Заменить именем пользователя из /etc/ipsec.
[email protected]@</string> <key>AuthPassword</key> <string>@@Заменить паролем из /etc/[email protected]@</string> <key>AuthenticationMethod</key> <string>SharedSecret</string> <key>ChildSecurityAssociationParameters</key> <dict> <key>DiffieHellmanGroup</key> <integer>2</integer> <key>EncryptionAlgorithm</key> <string>AES-128</string> <key>IntegrityAlgorithm</key> <string>SHA1-96</string> <key>LifeTimeInMinutes</key> <integer>1440</integer> </dict> <key>DeadPeerDetectionRate</key> <string>Medium</string> <key>DisableMOBIKE</key> <integer>0</integer> <key>DisableRedirect</key> <integer>0</integer> <key>EnableCertificateRevocationCheck</key> <integer>0</integer> <key>EnablePFS</key> <integer>0</integer> <key>ExtendedAuthEnabled</key> <true/> <key>IKESecurityAssociationParameters</key> <dict> <key>DiffieHellmanGroup</key> <integer>2</integer> <key>EncryptionAlgorithm</key> <string>AES-128</string> <key>IntegrityAlgorithm</key> <string>SHA1-96</string> <key>LifeTimeInMinutes</key> <integer>1440</integer> </dict> <key>LocalIdentifier</key> <string>myserver.
com.client</string> <key>RemoteAddress</key> <string>@@Заменить IP адресом сервера или доменом@@</string> <key>RemoteIdentifier</key> <string>myserver.com.server</string> <key>SharedSecret</key> <string>@@Заменить своим PSK из /etc/[email protected]@</string> <key>UseConfigurationAttributeInternalIPSubnet</key> <integer>0</integer> </dict> <key>IPv4</key> <dict> <key>OverridePrimary</key> <integer>1</integer> </dict> <key>PayloadDescription</key> <string>Configures VPN settings for iphone</string> <key>PayloadDisplayName</key> <string>TutorialVPN</string> <key>PayloadIdentifier</key> <string>[email protected]@Заменить выводом [email protected]@</string> <key>PayloadType</key> <string>com. apple.vpn.managed</string> <key>PayloadUUID</key> <string>@@Заменить выводом [email protected]@</string> <key>PayloadVersion</key> <real>1</real> <key>Proxies</key> <dict> <key>HTTPEnable</key> <integer>0</integer> <key>HTTPSEnable</key> <integer>0</integer> <key>ProxyAutoConfigEnable</key> <integer>0</integer> <key>ProxyAutoDiscoveryEnable</key> <integer>0</integer> </dict> <key>UserDefinedName</key> <string>@@My VPN Connection [email protected]@</string> <key>VPNType</key> <string>IKEv2</string> <key>VendorConfig</key> <dict/> </dict> </array> <key>PayloadDisplayName</key> <string>IKEv2</string> <key>PayloadIdentifier</key> <string>@@Заменить выводом [email protected]@</string> <key>PayloadRemovalDisallowed</key> <false/> <key>PayloadType</key> <string>Configuration</string> <key>PayloadUUID</key> <string>@@Заменить выводом [email protected]@</string> <key>PayloadVersion</key> <integer>1</integer> </dict> </plist>

Шаг 7: Настраиваем IPhone

После того как в браузере ввели адрес файла с конфигом — устанавливаем конфигурацию. Ничего сложного нет, ниже скриншоты.




После установки заходим в Настройки и включаем VPN. Если что-то пошло не так, смотрите логи и разбираетесь, либо пишите в комментариях — я помогу.

Логи подключений пишутся в /var/log/syslog

Загруженные плагины можно посмотреть командой

ipsec listplugins

 

Настройка протокола Диффи Хелмана для VPN-подключений IKEv2 (Windows 10) — Microsoft 365 Security

  • Чтение занимает 2 мин

В этой статье

Область применения: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows 10Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows 10

Для VPN-подключений IKEv2 конфигурация по умолчанию для группы Диффи Хелмана— это группа 2, которая не является безопасной для обмена данными IKE. In IKEv2 VPN connections, the default configuration for Diffie Hellman group is Group 2, which is not secure for IKE exchanges. Для защиты подключений обновите конфигурацию VPN-серверов и клиентов, выполнив командлеты VPN.To secure the connections, update the configuration of VPN servers and clients by running VPN cmdlets.

VPN-серверVPN server

Для VPN-серверов с Windows Server 2012 R2 или более поздней версией необходимо выполнить команду Set-VpnServerConfiguration, чтобы настроить тип туннеля.For VPN servers that run Windows Server 2012 R2 or later, you need to run Set-VpnServerConfiguration to configure the tunnel type. После этого для всех операций обмена данными IKE через туннель IKEv2 будет использоваться безопасная конфигурация.This makes all IKE exchanges on IKEv2 tunnel use the secure configuration.

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy

В более ранних версиях Windows Server выполните командлет Set-VpnServerIPsecConfiguration. On an earlier versions of Windows Server, run Set-VpnServerIPsecConfiguration. Так как в Set-VpnServerIPsecConfiguration нет -TunnelType, конфигурация применяется ко всем типам туннеля на сервере.Since Set-VpnServerIPsecConfiguration doesn’t have -TunnelType, the configuration applies to all tunnel types on the server.

Set-VpnServerIPsecConfiguration -CustomPolicy

Клиент VPNVPN client

Для VPN-клиента необходимо настроить каждое VPN-подключение.For VPN client, you need to configure each VPN connection. Например, выполните командлет Set-VpnConnectionIPsecConfiguration (версия 4.0) и укажите имя подключения:For example, run Set-VpnConnectionIPsecConfiguration (version 4.0) and specify the name of the connection:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String>

Персональный VPN-сервер с возможностью подключения штатными средствами

Персональный VPN-сервер с возможностью подключения штатными средствами

Написанный более двух лет назад мини-гайд Как настроить свой личный VPN-сервер за час-другой? всё ещё актуален и, судя по статистике использования приведённой в том посте реферальной ссылки (давала $10 на счёт в Digital Ocean), остаётся популярным и продолжает приносить пользу читателям.

Описанный мной ранее способ разворачивания личного VPN-сервера на базе OpenVPN с успехом прослужил мне года полтора, пока не нашлось ещё более изящного решения. О нём и расскажу.

Вот что потребуется сделать, если быть кратким:

  1. Удостовериться, что вас не пугает командная строка.
  2. Создать аккаунт на Digital Ocean .
  3. Настроить IKEv2 VPN Server .
  4. Настроить штатные VPN клиенты в Windows, macOS, iOS и/или Android .
  5. Наслаждаться персональным VPN-сервером за $5/месяц.

Первый шаг — регистрация на Digital Ocean

По обновлённым правилам реферальной программы Digital Ocean теперь при регистрации по реферальной ссылке предоставляется $50 на 30 дней: https://m.do.co/c/f27f98d20847

$50 на 30 дней

Для этого после регистрации по приведённой ссылке нужно будет указать данные своей банковской карты либо внести как минимум $5 через PayPal. Второй вариант удобнее тем, что в PayPal без проблем можно привязать виртуальную банковскую карту.

Банковская карта или PayPal

Что точно ещё рекомендую сделать после регистрации, даже если в конечном итоге платежи будут проходить через виртуальную карту с жёстким (или вовсе нулевым) лимитом на транзакции, так это настроить в личном кабинете Digital Ocean двухфакторную аутентификацию, пройдя по ссылке: https://cloud.digitalocean.com/account/security

2FA

Второй шаг — создание сервера и настройка IKEv2 VPN Server на базе StrongSwan в Ubuntu 18.04

Создать сервер (Droplet) в Digital Ocean можно буквально в пару кликов.

Создание Droplet

На счету $50 (или $55, если пополняли через PayPal), но для персонального использования достаточно самого простого варианта стоимостью $5 в месяц.

Все последующие шаги подробнейшим образом описаны в руководстве How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 в шагах с первого по шестой.

Третий шаг — настройка VPN-клиентов

Самое приятное в варианте со StrongSwan (в отличие от OpenVPN ) — это возможность использовать штатный VPN-клиент во многих современных операционных системах.

Сама настройка достаточно проста и в уже упомянутом выше руководстве уместилась в один финальный седьмой шаг: Step 7 – Testing the VPN Connection .

Отсутствие необходимости устанавливать дополнительное программное обеспечение на ноутбуке/компьютере/мобильном устройстве не только упрощает жизнь (меньше настроек, нет необходимости следить за своевременным обновлением клиента), но и в том числе сужает общую поверхность атаки для потенциального злоумышленника: на клиентских устройствах достаточно следить за своевременной установкой патчей для системного ПО, не заботясь отдельно о VPN-клиенте.

C точки зрения пользовательского удобства штатный (интерфейсно более простой) клиент тоже может оказаться лучше: два клика или три тапа — и вот VPN уже работает, позволяя спокойно смотреть презентации на заблокированном SlideShare .

В случае с iOS дополнительно появляется возможность включить режим принудительного постоянного использования VPN-подключения. Правда, для этого потребуются некоторые махинации с Apple Configurator 2 (доступен только для macOS), а само устройство надо будет перевести в контролируемый ( supervised ) режим.

В определённых случаях это может быть удобно, но не сказал бы, что такой вариант является широко рекомендуемым: если ваше iOS-устройство с принудительным VPN-подключением окажется единственным способом выхода в сеть Интернет, а развёрнутый VPN-сервер вдруг перестанет корректно работать, то не будет возможности подключиться к нему для исправления ситуации иначе, как удалением профиля с VPN.

Другой нюанс состоит в том, что у многих сотовых операторов есть специальные пакетные опции для трафика определённого типа — например, безлимитные соцсети или мессенджеры за фиксированную месячную плату. Понятно, что при постоянном VPN-соединении весь трафик будет идти на один IP-адрес, в том числе и тот трафик, что должен был бы тарифицироваться как льготный.


Наверное, можно было бы этот пост не писать, дав просто ссылку на готовое руководство от Digital Ocean, но, во-первых, как бы тогда я дал реферальную ссылку =)

А во-вторых, хотелось поделиться именно личным мнением, основанным на успешном опыте практического использования рассмотренного варианта. Почти год использования — полёт нормальный, нареканий нет.


Ссылки по теме:

Использование L2TP, SSTP и IKEv2 для настройки VPN средствами RRAS — Статьи TechNet — Россия (Pусский)

Хотя в настоящее время для настройки VPN туннелей применяются аппаратные или специализированные программные средства, тем не менее ко мне часто обращаются с вопросами по настройке VPN средствами RRAS, что и привело меня к идее написать статью по реализации данного решения с помощью протоколов L2TP, SSTP и IKEv2.

1.Настройка L2TP:

 

Для работы решения необходимо наличие актуальных сертификатов для удостоверения подлинности сервера и клиента удаленного доступа.

На стороне VPN сервера или, если используется, сервера RADIUS с помощью мастера создаем политику подключения. Для аутентификации в поле EAP добавим EAP-MSCHAP v2 и Smart Card or other certificate.

 

Переходим к настройке клиента. Создаем VPN соединение, после чего заходим в его свойства. На вкладке Security в поле Type of VPN выберем Layer 2 Tunneling Protocol with IPSec. В поле Data encryption: Maximum strength encryption (disconnect if server decline) и укажем тип аутентификации в поле Authentication, в списке Use Extensible Authentication Protocol выберем Microsoft Secured password (EAP-MSCHAP v2).

 

2.Настройка SSTP:

Здесь также необходимо наличие актуального сертификата для удостоверения подлинности сервера. В консоли Routing and Remote Access Service в контекстном меню узла с именем сервера откройте вкладку Security. В пространстве SSL Certificate Binding, в поле Certificate выберите из выпадающего списка сертификат для удостоверения сервера VPN.

 

На стороне клиента необходимо обеспечить возможность проверки сертификата относительно списка отозванных сертификатов, который обычно публикуется на веб-сервере. Для тестовой среды можно отключить данное требование в реестре клиента, через создание и включение параметра NoCertRevocationCheck. Для этого можно воспользоваться скриптом, написав в текстовом документе нижеследующие строки:

 

Set k = WScript.CreateObject(«WScript.Shell»)

 

k.RegWrite «HKLM\System\CurrentControlSet\Services\Sstpsvc\parameters\NoCertRevocationCheck», 1, «REG_DWORD»

 

Сохранить и поменять расширение файла на .vbs

 Далее, изменяем свойства VPN подключения клиента. Здесь, вместо адреса сервера указываем его имя, ибо необходимо, чтобы имя сервера, указанное в выданном ему сертификате совпадало с именем указанном в свойствах клиентского подключения.

 

На вкладке Security в поле Type of VPN выберем Layer 2 Tunneling Protocol with IPSec. В поле Data encryption: Maximum strength encryption (disconnect if server decline) и укажем тип аутентификации в поле Authentication, в списке Use Extensible Authentication Protocol выберем Microsoft Secured password (EAP-MSCHAP v2).

 

3.Настройка IKEv2:

Сводится к настройке подключения на клиенте. Выбираем в выпадающем списке тип подключения IKEv2. В поле Data encryption выберем Maximum strength encryption (disconnect if server decline) и укажем в поле Authentication тип аутентификации соответствующий политике удаленного доступа, в списке Use Extensible Authentication Protocol выберем Microsoft Secured password (EAP-MSCHAP v2).

 

Теоретические аспекты рассмотренных в этой статье технологий достаточно хорошо описаны и с ними можно ознакомиться в соответствующей документации. Здесь же я ставил задачу рассмотреть практическую реализацию, в помощь тем, кому актуально.

Что такое IKEv2? (Ваш путеводитель по протоколу VPN IKEV2)

Что такое IKEv2?

IKEv2 (Internet Key Exchange версии 2) — это протокол шифрования VPN, который обрабатывает запросы и ответные действия. Он обеспечивает безопасность трафика, устанавливая и обрабатывая атрибут SA (Security Association) в пакете аутентификации — обычно IPSec, поскольку IKEv2 в основном основан на нем и встроен в него.

IKEv2 был разработан Microsoft совместно с Cisco и является преемником IKEv1.

Вот как работает IKEv2

Как и любой протокол VPN, IKEv2 отвечает за создание безопасного туннеля между клиентом VPN и сервером VPN. Для этого сначала выполняется аутентификация как клиента, так и сервера, а затем согласовывается, какие методы шифрования будут использоваться.

Мы уже упоминали, что IKEv2 обрабатывает атрибут SA, но что такое SA? Проще говоря, это процесс установления атрибутов безопасности между двумя сетевыми объектами (в данном случае VPN-клиентом и VPN-сервером). Это достигается путем создания одного и того же симметричного ключа шифрования для обоих объектов. Затем указанный ключ используется для шифрования и дешифрования всех данных, проходящих через туннель VPN.

Общие технические сведения о IKEv2

  • IKEv2 поддерживает новейшие алгоритмы шифрования IPSec, а также несколько других шифров.
  • Как правило, демон IKE (программа, работающая в фоновом режиме) работает в пользовательском пространстве (системная память, выделенная для запущенных приложений), в то время как стек IPSec работает в пространстве ядра (ядре операционной системы).Это помогает повысить производительность.
  • Протокол IKE использует пакеты UDP и порт UDP 500. Обычно для создания SA требуется от четырех до шести пакетов.
  • IKE основан на следующих базовых протоколах безопасности:
    • ISAKMP (Internet Security Association and Key Management Protocol)
    • SKEME (Versatile Secure Key Exchange Mechanism)
    • OAKLEY (Oakley Key Determination Protocol)
  • IKEv2 VPN Протокол поддерживает MOBIKE (протокол мобильности и множественной адресации IKEv2), функцию, которая позволяет протоколу противостоять изменениям в сети.
  • IKEv2 поддерживает PFS (Perfect Forward Secrecy).
  • Хотя IKEv2 был разработан Microsoft совместно с Cisco, существуют реализации протокола с открытым исходным кодом (например, OpenIKEv2, Openswan и strongSwan).
  • IKE использует сертификаты X.509 при обработке процесса аутентификации.

IKEv1 против IKEv2

Вот список основных различий между IKEv2 и IKEv1:

  • IKEv2 по умолчанию предлагает поддержку удаленного доступа благодаря аутентификации EAP.
  • IKEv2 запрограммирован на использование меньшей полосы пропускания, чем IKEv1.
  • Протокол IKEv2 VPN использует ключи шифрования для обеих сторон, что делает его более безопасным, чем IKEv1.
  • IKEv2 поддерживает MOBIKE, что означает, что он может противостоять изменениям в сети.
  • IKEv1 не имеет встроенного обхода NAT, как IKEv2.
  • В отличие от IKEv1, IKEv2 может фактически определять, является ли туннель VPN «живым» или нет. Эта функция позволяет IKEv2 автоматически восстанавливать разорванное соединение.
  • Шифрование IKEv2 поддерживает больше алгоритмов, чем IKEv1.
  • IKEv2 обеспечивает лучшую надежность за счет улучшенных порядковых номеров и подтверждений.
  • Протокол IKEv2 сначала определит, действительно ли существует запрашивающая сторона, прежде чем приступить к выполнению каких-либо действий. Благодаря этому он более устойчив к DoS-атакам.

Безопасен ли протокол IKEv2?

Да, IKEv2 — это безопасный в использовании протокол. Он поддерживает 256-битное шифрование и может использовать такие шифры, как AES, 3DES, Camellia и ChaCha20. Более того, IKEv2 / IPSec также поддерживает PFS + функция MOBIKE протокола гарантирует, что ваше соединение не будет разорвано при смене сети.

Еще одна вещь, о которой стоит упомянуть, заключается в том, что процесс аутентификации на основе сертификатов IKEv2 гарантирует, что никаких действий не будет предпринято до тех пор, пока личность запрашивающего не будет определена и подтверждена.

Также верно, что Microsoft работала над IKEv2, а это не очень надежная корпорация. Однако они работали над протоколом не в одиночку, а вместе с Cisco. Кроме того, IKEv2 не является полностью закрытым исходным кодом, поскольку существуют реализации протокола с открытым исходным кодом.

Тем не менее, мы должны решить три проблемы, связанные с безопасностью, касающиеся IKEv2 / IPSec:

1.Проблемы с паролем

Еще в 2018 году были выявлены некоторые исследования, которые выявили потенциальные недостатки безопасности как IKEv1, так и IKEv2. Проблемы IKEv1 не должны вас беспокоить, пока вы не используете протокол. Что касается проблемы с IKEv2, кажется, что ее можно относительно легко взломать, если пароль для входа, который она использует, слабый.

Тем не менее, если вы используете надежный пароль, это обычно не представляет большой проблемы с безопасностью. То же самое можно сказать, если вы используете стороннюю службу VPN, поскольку они будут обрабатывать пароли входа IKEv2 и аутентификацию от вашего имени. Пока вы выберете достойного, безопасного провайдера, проблем возникнуть не должно.

2. Использование АНБ ISAKMP

Немецкий журнал Der Spiegel опубликовал просочившиеся презентации АНБ, в которых утверждалось, что АНБ может использовать IKE и ISAKMP для расшифровки трафика IPSec. Если вы не знали, IPSec использует ISAKMP для согласования услуг VPN.

К сожалению, детали немного расплывчаты, и нет точного способа гарантировать, что презентации действительны.Если вас очень беспокоит эта проблема, вам не следует устанавливать соединение самостоятельно, а вместо этого получите соединение IKEv2 от надежного поставщика VPN, который использует мощные шифры шифрования.

3. Атаки посредников

Похоже, что конфигурации IPSec VPN, которые предназначены для согласования нескольких конфигураций, потенциально могут быть подвержены атакам на более раннюю версию (тип атак Man-in-the-Middle). Это может произойти, даже если вместо IKEv1 используется IKEv2.

К счастью, проблемы можно избежать, если использовать более строгие конфигурации и если клиентские системы тщательно разделены на несколько точек доступа к услугам. На английском это означает, что если провайдер VPN выполняет свою работу правильно, вам не о чем беспокоиться.

Является ли IKEv2 быстрым?

Да, IKEv2 / IPSec предлагает приличную скорость онлайн. Фактически, это один из самых быстрых протоколов VPN, доступных онлайн-пользователям — потенциально даже такой же быстрый, как PPTP или SoftEther.И все это благодаря улучшенной архитектуре и эффективному процессу обмена сообщениями ответа / запроса. Кроме того, тот факт, что он работает на порте 500 UDP, обеспечивает низкую задержку.

Еще лучше, благодаря функции MOBIKE, вам не нужно беспокоиться о снижении скорости IKEv2 или ее прерывании при смене сети.

IKEv2 Преимущества и недостатки

Преимущества
  • Безопасность IKEv2 достаточно высока, поскольку он поддерживает несколько высокопроизводительных шифров.
  • Несмотря на высокий стандарт безопасности, IKEv2 обеспечивает высокую скорость работы в сети.
  • IKEv2 может легко противостоять изменениям в сети благодаря поддержке MOBIKE и может автоматически восстанавливать разорванные соединения.
  • IKEv2 изначально доступен на устройствах BlackBerry и может быть настроен и на других мобильных устройствах.
  • Установить соединение IKEv2 VPN относительно просто.
Недостатки
  • Поскольку IKEv2 использует только порт UDP 500, брандмауэр или сетевой администратор могут заблокировать его.
  • IKEv2 не обеспечивает такой межплатформенной совместимости, как другие протоколы (PPTP, L2TP, OpenVPN, SoftEther).

Что такое поддержка IKEv2 VPN?

Поддержка

IKEv2 VPN в основном заключается в том, что сторонний поставщик VPN предлагает доступ к соединениям IKEv2 / IPSec через свою службу. К счастью, все больше и больше поставщиков VPN начинают осознавать, насколько важен этот протокол для мобильных пользователей, поэтому вы с большей вероятностью найдете сервисы, предлагающие соединения IKEv2, сейчас, чем раньше.

Тем не менее, мы рекомендуем выбрать поставщика VPN, который предлагает доступ к нескольким протоколам VPN. Хотя IKEv2 / IPSec — отличный протокол для мобильных устройств, не помешает иметь приличное резервное копирование (например, OpenVPN или SoftEther), когда вы используете другие устройства дома

Нужен IKEv2 VPN, на который можно положиться?

CactusVPN — это именно та услуга, которая вам нужна. Мы предлагаем высокоскоростные соединения IKEv2 / IPSec, которые защищены с помощью AES, 256-битной эллиптической кривой NIST, SHA-256 и RSA-2048.Более того, мы защищаем вашу конфиденциальность, не регистрируя никаких ваших данных, и наш сервис оснащен защитой от утечки DNS и Killswitch

Кроме того, вы должны знать, что IKEv2 не будет единственным вариантом в вашем распоряжении. Мы также предлагаем доступ к другим протоколам VPN: OpenVPN, SoftEther, SSTP, L2TP / IPSec и PPTP.

Исключительно легко настроить соединение IKEv2

Вы можете настроить туннель IKEv2 / IPSec всего за несколько щелчков мышью, если вы используете CactusVPN. Мы предлагаем несколько кроссплатформенных клиентов, которые очень удобны в использовании.

Специальное предложение! Получите CactusVPN за 2,7 доллара в месяц!

И как только вы станете клиентом CactusVPN, у нас все равно будет 30-дневная гарантия возврата денег.

Сохранить 72% сейчас

IKEv2 в сравнении с другими протоколами VPN

Прежде чем мы начнем, мы должны упомянуть, что при обсуждении IKEv2 в этом разделе мы будем иметь в виду IKEv2 / IPSec, поскольку это протокол, который обычно предлагают провайдеры VPN.Кроме того, IKEv2 обычно не может использоваться сам по себе, поскольку это протокол, созданный в рамках IPSec (вот почему он связан с ним). Разобравшись с этим, давайте начнем:

1. IKEv2 против L2TP / IPSec

И L2TP, и IKEv2 обычно объединяются с IPSec, когда они предлагаются поставщиками VPN. Это означает, что они, как правило, предлагают одинаковый уровень безопасности. Тем не менее, хотя L2TP / IPSec имеет закрытый исходный код, существуют реализации IKEv2 с открытым исходным кодом. Это, и Сноуден утверждал, что АНБ ослабило L2TP / IPSec, хотя реальных доказательств, подтверждающих это утверждение, нет.

IKEv2 / IPSec работает быстрее, чем L2TP / IPSec, поскольку L2TP / IPSec более ресурсоемкий из-за функции двойной инкапсуляции, а также требует больше времени для согласования VPN-туннеля. И хотя оба протокола в значительной степени используют одни и те же порты из-за соединения с IPSec, L2TP / IPSec может быть проще заблокировать с помощью брандмауэра NAT, поскольку L2TP имеет тенденцию иногда плохо работать с NAT — особенно если L2TP Passthrough не включен на роутер.

Кроме того, пока мы говорим о стабильности, следует отметить, что IKEv2 намного стабильнее L2TP / IPSec, поскольку он может противостоять изменениям в сети.По сути, это означает, что вы можете переключиться с подключения Wi-Fi на подключение по тарифному плану без прерывания подключения IKEv2. Не говоря уже о том, что даже если соединение IKEv2 прерывается, оно немедленно восстанавливается.

Что касается доступности, L2TP / IPSec изначально доступен на большем количестве платформ, чем IKEv2 / IPSec, но IKEv2 доступен на устройствах BlackBerry.

В целом может показаться, что IKEv2 / IPSec — лучший выбор для мобильных пользователей, тогда как L2TP / IPSec хорошо работает для других устройств.

Если вы хотите узнать больше о L2TP, перейдите по этой ссылке.

2. IKEv2 против IPSec

IKEv2 / IPSec намного лучше во всех отношениях, чем IPSec, поскольку он предлагает преимущества безопасности IPSec наряду с высокой скоростью и стабильностью IKEv2. Кроме того, вы не можете сравнивать IKEv2 отдельно с IPSec, поскольку IKEv2 — это протокол, который используется в наборе протоколов IPSec. Кроме того, IKEv2 в основном основан на туннелировании IPSec.

Если вы хотите узнать больше о IPSec, ознакомьтесь с нашей статьей об этом.

3. IKEv2 против OpenVPN

OpenVPN чрезвычайно популярен среди онлайн-пользователей из-за его повышенной безопасности, но вы должны знать, что IKEv2 может предложить аналогичный уровень защиты. Это правда, что IKEv2 защищает информацию на уровне IP, в то время как OpenVPN делает это на транспортном уровне, но это не совсем то, что должно иметь большое значение.

Однако мы не можем отрицать тот факт, что OpenVPN с открытым исходным кодом делает его более привлекательным вариантом, чем IKEv2.Конечно, это больше не становится такой большой проблемой, если вы используете реализации IKEv2 с открытым исходным кодом.

С точки зрения скорости в сети IKEv2 обычно быстрее, чем OpenVPN, даже если OpenVPN использует протокол передачи UDP. С другой стороны, сетевому администратору намного сложнее заблокировать соединения OpenVPN, поскольку протокол использует порт 443, который является портом трафика HTTPS. IKEv2, к сожалению, использует только порт UDP 500, который сетевой администратор может заблокировать, не беспокоясь об остановке другого жизненно важного онлайн-трафика.

Что касается стабильности соединения, оба протокола работают довольно хорошо, но IKEv2 превосходит OpenVPN на мобильных устройствах, поскольку он может противостоять изменениям сети. Это правда, что OpenVPN можно настроить на то же самое с помощью команды «float», но это не так эффективно и стабильно, как IKEv2.

Что касается кроссплатформенной поддержки, IKEv2 немного отстает от OpenVPN, но он работает на устройствах BlackBerry. Кроме того, IKEv2 обычно немного проще настроить, поскольку он обычно изначально встроен в платформы, на которых доступен.

Хотите узнать больше об OpenVPN? Вот подробное руководство, которое мы писали об этом

4. IKEv2 против PPTP

IKEv2, как правило, намного лучше, чем PPTP, просто потому, что он более безопасен. Во-первых, он предлагает поддержку 256-битных ключей шифрования и высокопроизводительных шифров, таких как AES. Кроме того, насколько нам известно, трафик IKEv2 еще не был взломан АНБ. Чего нельзя сказать о трафике PPTP.

Кроме того, PPTP намного менее стабилен, чем IKEv2.Он не может противостоять изменениям сети с легкостью, как IKEv2, и, что еще хуже, его очень легко заблокировать с помощью брандмауэра, особенно брандмауэра NAT, поскольку PPTP изначально не поддерживается в NAT. Фактически, если PPTP Passthrough не включен на маршрутизаторе, PPTP-соединение даже не может быть установлено.

Обычно одним из основных преимуществ PPTP, выделяющих его среди конкурентов, является его очень высокая скорость. Что ж, самое забавное, что IKEv2 на самом деле способен предлагать скорости, аналогичные тем, которые предлагает PPTP.

По сути, PPTP лучше IKEv2 только в том, что касается доступности и простоты настройки. Видите ли, PPTP изначально встроен в множество платформ, поэтому настроить соединение чрезвычайно просто. Тем не менее, в будущем это может измениться, поскольку встроенная поддержка PPTP начала удаляться из более новых версий некоторых операционных систем. Например, PPTP больше не доступен в iOS 10 и macOS Sierra.

В общем, вы всегда должны выбирать IKEv2 вместо PPTP, если это возможно.

Если вы хотите узнать больше о PPTP и выяснить, почему это такой рискованный вариант, перейдите по этой ссылке.

5. IKEv2 против Wireguard

Wireguard — это совершенно новый протокол VPN с открытым исходным кодом, который, очевидно, стремится стать значительно лучше, чем IPSec (на котором основан протокол туннелирования IKEv2). По этой логике Wireguard должен быть более безопасным, быстрым и более удобным в использовании, чем IKEv2 — и это вполне может иметь место в будущем.

Тем не менее, на данный момент Wireguard находится только на экспериментальной стадии, и он не очень стабилен и не работает на нескольких платформах.Фактически, сейчас Wireguard в основном работает только с дистрибутивами Linux. Согласно этим тестам Wireguard намного быстрее, чем IPSec, хотя это не обязательно означает, что на данный момент он быстрее, чем IKEv2, поскольку IKEv2 также быстрее, чем IPSec.

Таким образом, все еще безопаснее использовать IKEv2, когда вы находитесь в Интернете.

Если вы хотите узнать больше о Wireguard, вот ссылка на наше руководство.

6. IKEv2 против SoftEther

И IKEv2, и SoftEther являются довольно безопасными протоколами, и хотя SoftEther может быть более надежным, поскольку он имеет открытый исходный код, вы также можете найти реализации IKEv2 с открытым исходным кодом.Оба протокола также очень быстрые, хотя SoftEther может быть немного быстрее, чем IKEv2.

Когда дело доходит до стабильности, все иначе. Во-первых, SoftEther намного сложнее заблокировать с помощью брандмауэра, потому что он работает на порту 443 (порт HTTPS). С другой стороны, функция MOBIKE IKEv2 позволяет ему легко сопротивляться изменениям в сети (например, когда вы переключаетесь с Wi-Fi-соединения на тарифный план).

Также может быть интересно узнать, что, хотя сервер SoftEther VPN поддерживает протоколы IPSec и L2TP / IPSec (среди прочих), он не поддерживает протокол IKEv2 / IPSec.

В конце концов, SoftEther — намного лучший вариант, чем IKEv2, хотя вы можете предпочесть использовать IKEv2, если вы мобильный пользователь — тем более, что он доступен на устройствах BlackBerry.

Если вы хотите узнать больше о SoftEther, перейдите по этой ссылке.

7. Сравнение IKEv2 и SSTP

IKEv2 и SSTP предлагают аналогичный уровень безопасности, но SSTP гораздо более устойчив к межсетевому экрану, поскольку он использует TCP-порт 443, порт, который обычно не может быть заблокирован.С другой стороны, SSTP не доступен на таком количестве платформ, как IKEv2. SSTP встроен только в системы Windows (Vista и выше), и его можно дополнительно настроить на маршрутизаторах, Linux и Android. IKEv2 работает на всех этих и других платформах (устройства macOS, iOS, FreeBSD и BlackBerry).

И IKEv2, и SSTP были разработаны Microsoft, но IKEv2 был разработан Microsoft вместе с Cisco. Это делает его немного более надежным, чем SSTP, который принадлежит исключительно Microsoft — компании, которая в прошлом предоставляла АНБ доступ к зашифрованным сообщениям и которая также является частью программы наблюдения PRISM.

С точки зрения скорости соединения оба протокола довольно сильно связаны, но вполне вероятно, что IKEv2 быстрее, чем SSTP. Зачем? Потому что скорость SSTP часто сравнивают со скоростью OpenVPN, и мы уже упоминали, что IKEv2 быстрее, чем OpenVPN. Кроме того, SSTP использует только TCP, который медленнее, чем UDP (протокол передачи, используемый IKEv2).

Хотите узнать больше о SSTP? Вот статья, которую мы писали об этом.

Итак, протокол IKEv2 — хороший выбор?

Да, IKEv2 — хороший вариант для безопасной и бесперебойной работы в сети.Мы по-прежнему рекомендуем вам использовать OpenVPN или SoftEther, но если по какой-то причине эти возможности недоступны, IKEv2 тоже подойдет, особенно если вы используете свой мобильный телефон и часто путешествуете.

Что такое IKEv2? В заключение

IKEv2 — это и протокол VPN, и протокол шифрования, используемые в пакете IPSec.

По сути, он используется для установления и аутентификации защищенного соединения между VPN-клиентом и VPN-сервером.

IKEv2 очень безопасен в использовании, поскольку он поддерживает мощные шифры шифрования, а также улучшил все недостатки безопасности, которые присутствовали в IKEv1.Кроме того, IKEv2 является отличным выбором для мобильных пользователей благодаря поддержке MOBIKE, которая позволяет соединениям IKEv2 противостоять изменениям сети.

Тем не менее, мы рекомендуем выбрать поставщика VPN, который предлагает доступ к нескольким протоколам наряду с IKEv2. Хотя это отличный вариант для мобильных пользователей, не помешает иметь даже лучшие протоколы (например, OpenVPN и SoftEther) в качестве альтернативы для других устройств.

Переход на OpenVPN или IKEv2 с SSTP

  • Читать 8 минут

В этой статье

Соединение через шлюз VPN типа «точка-место» (P2S) позволяет создать безопасное соединение с виртуальной сетью с отдельного клиентского компьютера.P2S-соединение устанавливается путем его запуска с клиентского компьютера. Эта статья относится к модели развертывания Resource Manager и рассказывает о способах преодоления ограничения SSTP в 128 одновременных подключений путем перехода на протокол OpenVPN или IKEv2.

Какой протокол использует P2S?

VPN типа «точка-сеть» может использовать один из следующих протоколов:

  • Протокол OpenVPN® , протокол VPN на основе SSL / TLS. Решение SSL VPN может проникать через брандмауэры, поскольку большинство брандмауэров открывают исходящий TCP-порт 443, который использует SSL.OpenVPN можно использовать для подключения с устройств Android, iOS (версии 11.0 и выше), Windows, Linux и Mac (OSX версии 10.13 и выше).

  • Secure Socket Tunneling Protocol (SSTP) , проприетарный протокол VPN на основе SSL. Решение SSL VPN может проникать через брандмауэры, поскольку большинство брандмауэров открывают исходящий TCP-порт 443, который использует SSL. SSTP поддерживается только на устройствах Windows. Azure поддерживает все версии Windows с SSTP (Windows 7 и более поздние версии). SSTP поддерживает до 128 одновременных подключений только независимо от SKU шлюза.

  • IKEv2 VPN, стандартное решение IPsec VPN. IKEv2 VPN можно использовать для подключения с устройств Mac (OSX версии 10.11 и выше).

Примечание

IKEv2 и OpenVPN для P2S доступны только для модели развертывания Resource Manager. Они недоступны для классической модели развертывания. SKU базового шлюза не поддерживает протоколы IKEv2 или OpenVPN. Если вы используете базовый SKU, вам придется удалить и заново создать производственный SKU Virtual Network Gateway.

Переход с SSTP на IKEv2 или OpenVPN

Могут быть случаи, когда вы хотите поддерживать более 128 одновременных P2S-подключений к шлюзу VPN, но используете SSTP. В таком случае вам необходимо перейти на протокол IKEv2 или OpenVPN.

Вариант 1. Добавьте IKEv2 в дополнение к SSTP на шлюзе

Это самый простой вариант. SSTP и IKEv2 могут сосуществовать на одном шлюзе и обеспечивать большее количество одновременных подключений. Вы можете просто включить IKEv2 на существующем шлюзе и повторно загрузить клиент.

Добавление IKEv2 к существующему шлюзу SSTP VPN не повлияет на существующие клиенты, и вы можете настроить их на использование IKEv2 небольшими партиями или просто настроить новых клиентов на использование IKEv2. Если клиент Windows настроен как для SSTP, так и для IKEv2, он сначала попытается подключиться с помощью IKEV2, а если это не удастся, он вернется к SSTP.

IKEv2 использует нестандартные порты UDP, поэтому необходимо убедиться, что эти порты не заблокированы брандмауэром пользователя. Используемые порты — UDP 500 и 4500.

Чтобы добавить IKEv2 к существующему шлюзу, просто перейдите на вкладку «Конфигурация точка-сеть» под виртуальным сетевым шлюзом на портале и выберите IKEv2 и SSTP (SSL) из раскрывающегося списка.

Вариант 2 — Удалить SSTP и включить OpenVPN на шлюзе

Поскольку SSTP и OpenVPN являются протоколами на основе TLS, они не могут сосуществовать на одном шлюзе. Если вы решите перейти от SSTP к OpenVPN, вам придется отключить SSTP и включить OpenVPN на шлюзе.Эта операция приведет к потере связи существующих клиентов со шлюзом VPN до тех пор, пока на клиенте не будет настроен новый профиль.

Вы можете включить OpenVPN вместе с IKEv2, если хотите. OpenVPN основан на TLS и использует стандартный порт TCP 443. Чтобы переключиться на OpenVPN, перейдите на вкладку «Конфигурация точка-сеть» под виртуальным сетевым шлюзом на портале и выберите OpenVPN (SSL) или IKEv2 и OpenVPN (SSL) из раскрывающегося списка.

После настройки шлюза существующие клиенты не смогут подключиться, пока вы не развернете и не настроите клиентов OpenVPN.

Если вы используете Windows 10, вы также можете использовать клиент Azure VPN для Windows

Часто задаваемые вопросы

Каковы требования к конфигурации клиента?

Примечание

Для клиентов Windows у вас должны быть права администратора на клиентском устройстве, чтобы инициировать VPN-подключение от клиентского устройства к Azure.

Пользователи используют собственные VPN-клиенты на устройствах Windows и Mac для P2S. Azure предоставляет zip-файл конфигурации VPN-клиента, который содержит параметры, необходимые этим собственным клиентам для подключения к Azure.

  • Для устройств Windows конфигурация VPN-клиента состоит из установочного пакета, который пользователи устанавливают на свои устройства.
  • Для устройств Mac он состоит из файла mobileconfig, который пользователи устанавливают на свои устройства.

ZIP-файл также содержит значения некоторых важных параметров на стороне Azure, которые можно использовать для создания собственного профиля для этих устройств. Некоторые из значений включают адрес шлюза VPN, настроенные типы туннелей, маршруты и корневой сертификат для проверки шлюза.

Примечание

С 1 июля 2018 г. прекращается поддержка TLS 1.0 и 1.1 из VPN-шлюза Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только соединения точка-сеть; соединения между сайтами не будут затронуты. Если вы используете TLS для VPN типа «точка-сеть» в клиентах Windows 10, вам не нужно предпринимать никаких действий. Если вы используете TLS для соединений точка-сеть на клиентах Windows 7 и Windows 8, см. Инструкции по обновлению в разделе часто задаваемых вопросов о VPN-шлюзе.

Какие SKU шлюза поддерживают P2S VPN?

VPN
Шлюз
Поколение
Артикул S2S / VNet-to-VNet
Туннели
P2S
Соединения SSTP
P2S
Соединения IKEv2 / OpenVPN
Совокупный тест производительности
BGP Резервирование зоны
Поколение1 Базовый Макс.10 Макс. 128 Не поддерживается 100 Мбит / с Не поддерживается
Поколение1 VpnGw1 Макс. 30 * Макс. 128 Макс. 250 650 Мбит / с Поддерживается
Поколение1 VpnGw2 Макс. 30 * Макс. 128 Макс. 500 1 Гбит / с Поддерживается
Поколение1 VpnGw3 Макс.30 * Макс. 128 Макс. 1000 1,25 Гбит / с Поддерживается
Поколение1 ВпнГв1АЗ Макс. 30 * Макс. 128 Макс. 250 650 Мбит / с Поддерживается Есть
Поколение1 ВпнГв2АЗ Макс. 30 * Макс. 128 Макс. 500 1 Гбит / с Поддерживается Есть
Поколение1 ВпнГв3АЗ Макс.30 * Макс. 128 Макс. 1000 1,25 Гбит / с Поддерживается Есть
Поколение2 VpnGw2 Макс. 30 * Макс. 128 Макс. 500 1,25 Гбит / с Поддерживается
Поколение2 VpnGw3 Макс.30 * Макс. 128 Макс. 1000 2,5 Гбит / с Поддерживается
Поколение2 VpnGw4 Макс. 30 * Макс. 128 Макс. 5000 5 Гбит / с Поддерживается
Поколение2 VpnGw5 Макс. 30 * Макс. 128 Макс. 10000 10 Гбит / с Поддерживается
Поколение2 ВпнГв2АЗ Макс.30 * Макс. 128 Макс. 500 1,25 Гбит / с Поддерживается Есть
Поколение2 ВпнГв3АЗ Макс. 30 * Макс. 128 Макс. 1000 2,5 Гбит / с Поддерживается Есть
Поколение2 VpnGw4AZ Макс. 30 * Макс. 128 Макс. 5000 5 Гбит / с Поддерживается Есть
Поколение2 VpnGw5AZ Макс.30 * Макс. 128 Макс. 10000 10 Гбит / с Поддерживается Есть

(*) Используйте виртуальную глобальную сеть, если вам нужно более 30 туннелей S2S VPN.

  • Изменение размера SKU VpnGw разрешено в рамках одного поколения, за исключением изменения размера базового SKU. Базовый номер SKU является устаревшим и имеет ограничения функций. Чтобы перейти от базового номера SKU к другому VpnGw, необходимо удалить шлюз VPN с базовым номером SKU и создать новый шлюз с желаемой комбинацией поколения и размера SKU.

  • Эти ограничения на количество подключений являются отдельными. Например, у вас может быть 128 подключений SSTP, а также 250 подключений IKEv2 на SKU VpnGw1.

  • Информацию о ценах можно найти на странице цен.

  • SLA (Соглашение об уровне обслуживания) информацию можно найти на странице SLA.

  • В одном туннеле может быть достигнута максимальная пропускная способность 1 Гбит / с. Сравнительный анализ совокупной пропускной способности в приведенной выше таблице основан на измерениях нескольких туннелей, агрегированных через один шлюз.Сравнительный тест совокупной пропускной способности для VPN-шлюза — это комбинация S2S + P2S. Если у вас много соединений P2S, это может негативно повлиять на соединение S2S из-за ограничений пропускной способности. Сравнительный анализ совокупной пропускной способности не является гарантированной пропускной способностью из-за условий интернет-трафика и поведения вашего приложения.

Чтобы помочь нашим клиентам понять относительную производительность SKU с использованием различных алгоритмов, мы использовали общедоступные инструменты iPerf и CTSTraffic для измерения производительности.В таблице ниже приведены результаты тестов производительности для SKU VpnGw поколения 1. Как видите, наилучшая производительность достигается при использовании алгоритма GCMAES256 как для шифрования IPsec, так и для обеспечения целостности. Мы получили среднюю производительность при использовании AES256 для шифрования IPsec и SHA256 для целостности. Когда мы использовали DES3 для шифрования IPsec и SHA256 для целостности, мы получили самую низкую производительность.

Поколение Артикул Используемые алгоритмы
Пропускная способность
наблюдаемая
пакетов в секунду
наблюдается
Поколение1 VpnGw1 GCMAES256
AES256 и SHA256
DES3 и SHA256
650 Мбит / с
500 Мбит / с
120 Мбит / с
58,000
50,000
50,000
Поколение1 VpnGw2 GCMAES256
AES256 и SHA256
DES3 и SHA256
1 Гбит / с
500 Мбит / с
120 Мбит / с
90 000
80 000
55 000
Поколение1 VpnGw3 GCMAES256
AES256 и SHA256
DES3 и SHA256
1.25 Гбит / с
550 Мбит / с
120 Мбит / с
105 000
90 000
60 000
Поколение1 ВпнГв1АЗ GCMAES256
AES256 и SHA256
DES3 и SHA256
650 Мбит / с
500 Мбит / с
120 Мбит / с
58,000
50,000
50,000
Поколение1 ВпнГв2АЗ GCMAES256
AES256 и SHA256
DES3 и SHA256
1 Гбит / с
500 Мбит / с
120 Мбит / с
90 000
80 000
55 000
Поколение1 ВпнГв3АЗ GCMAES256
AES256 и SHA256
DES3 и SHA256
1.25 Гбит / с
550 Мбит / с
120 Мбит / с
105 000
90 000
60 000

Примечание

Базовый SKU не поддерживает аутентификацию IKEv2 или RADIUS.

Какие политики IKE / IPsec настроены на шлюзах VPN для P2S?

IKEv2

Шифр ​​ Целостность ПРФ Группа DH
GCM_AES256 GCM_AES256 SHA384 ГРУППА_24
GCM_AES256 GCM_AES256 SHA384 ГРУППА_14
GCM_AES256 GCM_AES256 SHA384 ГРУППА_ECP384
GCM_AES256 GCM_AES256 SHA384 ГРУППА_ECP256
GCM_AES256 GCM_AES256 SHA256 ГРУППА_24
GCM_AES256 GCM_AES256 SHA256 ГРУППА_14
GCM_AES256 GCM_AES256 SHA256 ГРУППА_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 ГРУППА_24
AES256 SHA384 SHA384 ГРУППА_14
AES256 SHA384 SHA384 ГРУППА_ECP384
AES256 SHA384 SHA384 ГРУППА_ECP256
AES256 SHA256 SHA256 ГРУППА_24
AES256 SHA256 SHA256 ГРУППА_14
AES256 SHA256 SHA256 ГРУППА_ECP384
AES256 SHA256 SHA256 ГРУППА_ECP256
AES256 SHA256 SHA256 ГРУППА_2

IPsec

Шифр ​​ Целостность Группа ПФС
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 ГРУППА_24
GCM_AES256 GCM_AES256 ГРУППА_14
GCM_AES256 GCM_AES256 ГРУППА_ECP384
GCM_AES256 GCM_AES256 ГРУППА_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 ГРУППА_24
AES256 SHA256 ГРУППА_14
AES256 SHA256 ГРУППА_ECP384
AES256 SHA256 ГРУППА_ECP256
AES256 SHA1 GROUP_NONE

Какие политики TLS настроены на шлюзах VPN для P2S?

TLS

Политики
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Как настроить P2S-соединение?

Для настройки P2S требуется несколько конкретных шагов.Следующие статьи содержат пошаговые инструкции по настройке P2S и ссылки для настройки клиентских устройств VPN:

Следующие шаги

«OpenVPN» является товарным знаком OpenVPN Inc.

Dynamic Site to Site IKEv2 VPN Tunnel между ASA и IOS Router Пример конфигурации

Введение

В этом документе описывается, как настроить VPN-туннель межсетевого обмена ключами версии 2 (IKEv2) между устройством адаптивной защиты (ASA) и маршрутизатором Cisco, где маршрутизатор имеет динамический IP-адрес, а ASA — статический IP-адрес. адрес на общедоступных интерфейсах.

Предварительные требования

Требования

Для этого документа нет особых требований.

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

  • Cisco IOS ® версии 15.1 (1) T или более поздней
  • Cisco ASA версии 8.4 (1) или более поздней

Информация в этом документе была создана на устройствах в определенной лабораторной среде.Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть активна, убедитесь, что вы понимаете потенциальное влияние любой команды.

Справочная информация

В этом документе обсуждаются следующие сценарии:

  • Сценарий 1: ASA настроен со статическим IP-адресом, который использует именованную туннельную группу, а маршрутизатор настроен с динамическим IP-адресом.
  • Сценарий 2: ASA настроен с динамическим IP-адресом, а маршрутизатор настроен с динамическим IP-адресом.
  • Сценарий 3: Этот сценарий здесь не обсуждается. В этом сценарии ASA настроен со статическим IP-адресом, но использует туннельную группу DefaultL2LGroup. Конфигурация для этого аналогична тому, что описано в статье «Динамический туннель IKEv2 VPN между двумя узлами ASA».

Самая большая разница в конфигурации между сценариями 1 и 3 заключается в идентификаторе ассоциации безопасности Интернета и протокола управления ключами (ISAKMP), используемом удаленным маршрутизатором.Когда DefaultL2LGroup используется на статическом ASA, идентификатор ISAKMP однорангового узла на маршрутизаторе должен быть адресом ASA. Однако, если используется именованная туннельная группа, идентификатор ISAKMP однорангового узла на маршрутизаторе должен совпадать с именем туннельной группы, настроенным на ASA. Это выполняется с помощью этой команды на маршрутизаторе:

  identity local key-id <имя туннельной группы на статическом ASA>  

Преимущество использования именованных туннельных групп на статическом ASA заключается в том, что при использовании DefaultL2LGroup конфигурация на удаленных динамических ASA / маршрутизаторах, которая включает предварительно общие ключи, должна быть идентична и не допускает большой степени детализации с настройка политик.

Настроить

Сценарий 1

Схема сети

Конфигурация

В этом разделе описывается конфигурация ASA и маршрутизатора на основе конфигурации Именованной туннельной группы.

Статическая конфигурация ASA
 интерфейс Ethernet0 / 0 
имяесли вне
уровень безопасности 0
IP-адрес 201.1.1.2 255.255.255.0
!
крипто ipsec ikev2 ipsec-предложение ESP-AES-SHA
протокол esp encryption aes
протокол esp целостность sha-1
crypto ipsec security-association pmtu-ageing infinite
crypto dynamic-map dmap 1 set ikev2 ipsec-offer ESP-AES- SHA
криптокарта vpn 1 ipsec-isakmp динамический dmap
криптокарта vpn интерфейс вне
криптографическая политика доверительного пула
крипто политика ikev2 1
шифрование 3des
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
крипто ikev2 включить вне 9 group-policy Site-to-Site internal
group-policy Атрибуты Site-to-Site
vpn-tunnel-protocol ikev2
tunnel-group S2S-IKEv2 type ipsec-l2l
tunnel-group S2S-IKEv2 general-attributes
default-group-policy Site-to-Site
туннельная группа S2S-IKEv2 ipsec-attributes
Удаленная аутентификация ikev2 с предварительным общим ключом cisco321
ikev2 с локальной аутентификацией с предварительным общим ключом cisco123

Конфигурация динамического маршрутизатора

Динамический маршрутизатор настраивается почти так же, как вы обычно настраиваете в случаях, когда маршрутизатор является динамическим сайтом для туннеля L2L IKEv2 с добавлением одной команды, как показано здесь:

 ip access-list расширенный vpn 
разрешение ip host 10.10.10.1 хост 201.1.1.2

крипто предложение ikev2 L2L-Prop
шифрование 3des
целостность sha1
группа 2 5
!
крипто политика ikev2 L2L-Pol
предложение L2L-Prop
!
crypto ikev2 keyring L2L-Keyring
peer vpn
address 201.1.1.2
pre-shared-key local cisco321
pre-shared-key remote cisco123
!
крипто-профиль ikev2 L2L-Prof
соответствует идентификатору удаленного адреса 201.1.1.2 255.255.255.255
идентификатору локального ключа-идентификатора S2S-IKEv2
удаленного предварительного доступа аутентификации
локального предварительного общего доступа
keyring локальный L2L-Keyring

крипто ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
mode tunnel
!
криптокарта vpn 10 ipsec-isakmp
установить равноправный узел 201.1.1.2
set transform-set ESP-AES-SHA
set ikev2-profile L2L-Prof
сопоставить адрес vpn
!
интерфейс GigabitEthernet0 / 0
ip-адрес 192.168.1.2 255.255.255.0
дуплекс авто
скорость авто
криптокарта vpn

Таким образом, на каждом динамическом одноранговом узле идентификатор ключа отличается, и соответствующая туннельная группа должна быть создана на статическом ASA с правильным именем, что также увеличивает степень детализации политик, реализованных на ASA.

Сценарий 2

Примечание : Эта конфигурация возможна, только когда хотя бы одна сторона является маршрутизатором.Если обе стороны являются ASA, эта настройка в настоящее время не работает. В версии 8.4 ASA не может использовать полное доменное имя (FQDN) с командой set peer , но для будущих выпусков запрошено усовершенствование CSCus37350.

Если IP-адрес удаленного ASA также является динамическим, однако для его интерфейса VPN назначено полное доменное имя, то вместо определения IP-адреса удаленного ASA теперь вы определяете FQDN удаленного ASA с помощью этой команды на роутер:

 C1941 (config) #  do show run | sec криптокарта  

криптокарта vpn 10 ipsec-isakmp
set peer < FQDN > dynamic

Совет : ключевое слово dynamic необязательно.Когда вы указываете имя хоста удаленного однорангового узла IPsec с помощью команды set peer , вы также можете ввести ключевое слово dynamic, которое откладывает разрешение сервера доменных имен (DNS) имени хоста до момента, когда будет установлен туннель IPsec. .

Отсрочка разрешения позволяет программному обеспечению Cisco IOS определять, изменился ли IP-адрес удаленного узла IPsec. Таким образом, программное обеспечение может связаться с партнером по новому IP-адресу. Если ключевое слово dynamic не задано, имя хоста разрешается сразу после его указания.Таким образом, программное обеспечение Cisco IOS не может обнаружить изменение IP-адреса и, следовательно, пытается подключиться к IP-адресу, который было разрешено ранее.

Схема сети

Конфигурация
Динамическая конфигурация ASA

Конфигурация ASA такая же, как и Статическая Конфигурация ASA, за исключением того, что IP-адрес на физическом интерфейсе не определен статически.

Конфигурация маршрутизатора
 crypto ikev2 keyring L2L-Keyring 
peer vpn
hostname asa5510.test.com
pre-shared-key local cisco321
pre-shared-key remote cisco123
!
crypto ikev2 profile L2L-Prof
match identity remote fqdn domain test.com
identity local key-id S2S-IKEv2
authentication remote pre-share
authentication local pre-share
keyring local L2L-Keyring

crypto ipsec transform- установить ESP-AES-SHA esp-aes esp-sha-hmac
mode tunnel

crypto map vpn 10 ipsec-isakmp
set peer asa5510.test.com dynamic
set transform-set ESP-AES-SHA
set ikev2-profile L2L-Prof
сопоставить адрес vpn

Проверить

Используйте этот раздел, чтобы убедиться, что ваша конфигурация работает правильно.

Статический ASA

  • Вот результат команды show crypto IKEv2 sa det :
     IKEv2 SAs: 

    Session-id: 23, Status: UP-ACTIVE, IKE count: 1, CHILD count: 1

    Tunnel-id Local Remote Статусная роль
    120434199 201.1.1.2 / 4500 201.1.1.1/4500 READY RESPONDER
    Encr: 3DES, Hash: SHA96, DH Grp: 2, Auth sign: PSK, Auth verify: PSK
    Life / Active Time: 86400/915 sec
    Session-id: 23
    Описание статуса: согласование выполнено
    Локальный spi: 97272A4B4DED4A5C Удаленный spi: 67E01CB8E8619AF1
    Локальный идентификатор: 201.1.1.2
    Удаленный идентификатор: S2S-IKEv2
    Локальный идентификатор сообщения запроса: 43 Идентификатор удаленного запроса сообщения следующий: 2
    : 43 Идентификатор следующего сообщения удаленного доступа: 2
    В очереди локального запроса: 43 В очереди удаленного запроса: 2
    Локальное окно: 1 Удаленное окно: 5
    DPD настроен на 10 секунд, повтор попытки 2
    NAT-T обнаружен вне
    Дочерний sa: локальный селектор 201.1.1.2 / 0 - 201.1.1.2/65535
    удаленный селектор 10.10.10.1/0 - 10.10.10.1/65535
    ESP spi in / out: 0x853c02 / 0x41aa84f4
    AH spi in / out: 0x0 / 0x0
    CPI in / out : 0x0 / 0x0
    Encr: AES-CBC, размер ключа: 128, esp_hmac: SHA96
    ah_hmac: None, comp: IPCOMP_NONE, режим туннель

  • Вот результат команды show crypto ipsec sa :
     интерфейс: за пределами 
    Тег криптокарты: dmap, seq num: 1, local addr: 201.1.1.2 Локальный идентификатор

    (адрес / маска / прот / порт): (201.1.1.2/255.255.255.255/0/0)
    удаленный идентификатор (адрес / маска / прот / порт): (10.10.10.1/255.255.255.255 / 0/0)
    current_peer: 201.1.1.1

    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
    # pkts сжато: 0, #pkts распаковано: 0
    #pkts не сжато: 4, #pkts comp failed: 0, #pkts decomp failed: 0
    # успехи префрагмента: 0, # ошибки префрагмента: 0, #fragments created: 0
    #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs, нуждающиеся в повторной сборке: 0
    #TFC rcvd: 0, #TFC sent: 0
    # Valid ICMP Errors rcvd: 0, # Invalid ICMP Errors rcvd: 0
    # отправить ошибки: 0, #recv ошибки: 0

    локальное шифрование endpt.: 201.1.1.2/4500, удаленное шифрование endpt .: 201.1.1.1/4500
    путь mtu 1500, служебные данные IPsec 82 (52), media mtu 1500
    PMTU оставшееся время (сек): 0, политика DF: copy-df
    ICMP проверка ошибок: отключено, пакеты TFC: отключено
    текущий исходящий spi: 41AA84F4
    текущий входящий spi: 00853C02

    входящий esp sas:
    spi: 0x00853C02 (8731650)
    преобразование: esp-aes esp-sha-hmac без сжатия 9025 settings = {L2L, Tunnel, NAT-T-Encaps, IKEv2,}
    слот: 0, conn_id: 94208, криптокарта: dmap
    sa тайминги: оставшееся время жизни ключа (кБ / сек): (4101119/27843)
    IV размер: 16 байтов
    поддержка обнаружения воспроизведения: Y
    Растровое изображение анти-повтора:
    0x00000000 0x0000001F
    исходящий esp sas:
    spi: 0x41AA84F4 (1101694196)
    преобразование: esp-aes esp-sha-hmac без сжатия
    in use settings = {L2 , Туннель, NAT -T-Encaps, IKEv2,}
    слот: 0, conn_id: 94208, crypto-map: dmap
    sa тайминг: оставшееся время жизни ключа (кБ / сек): (4055039/27843)
    Размер IV: 16 байт Поддержка обнаружения воспроизведения
    : Y
    Растровое изображение антиповтора:
    0x00000000 0x00000001

Динамический маршрутизатор

  • Вот результат команды show crypto IKEv2 sa detail :
     IPv4 Crypto IKEv2 SA 

    Tunnel-id Local Remote fvrf / ivrf Status
    1 192.168.1.2 / 4500 201.1.1.2/4500 нет / нет READY
    Encr: 3DES, Hash: SHA96, DH Grp: 2, Auth sign: PSK, Auth verify: PSK
    Life / Active Time: 86400/1013 sec
    CE id : 1023, идентификатор сеанса: 23
    Описание состояния: согласование выполнено
    Локальный spi: 67E01CB8E8619AF1 Удаленный spi: 97272A4B4DED4A5C
    Локальный идентификатор: S2S-IKEv2
    Идентификатор удаленного доступа: 201.1.1.2
    Локальный запрос req msg id: 2 : 48
    Локальный идентификатор следующего сообщения: 2 Удаленный идентификатор следующего сообщения: 48
    Локальный запрос в очереди: 2 Удаленный запрос в очереди: 48
    Локальное окно: 5 Удаленное окно: 1
    DPD настроен на 0 секунд, повторить попытку 0
    Фрагментация не настроена.
    Расширенная проверка подлинности не настроена.
    NAT-T обнаружен внутри
    Cisco Trust Security SGT отключен
    Инициатор SA: Да

    IPv6 Crypto IKEv2 SA

  • Вот результат команды show crypto ipsec sa :
     интерфейс: GigabitEthernet0 / 0 
    Тег карты криптографии: vpn, локальный адрес 192.168.1.2

    protected vrf: (none)
    local identity (addr / mask / prot / порт): (10.10.10.1/255.255.255.255/0/0)
    удаленный идентификатор (адрес / маска / прот / порт): (201.1.1.2/255.255.255.255/0/0)
    current_peer 201.1.1.2 порт 4500
    РАЗРЕШЕНИЕ, flags = {origin_is_acl,}
    # pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
    #pkts decaps: 6, #pkts decrypt: 6, #pkts verify: 6
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not сжатый: 0, #pkts compr. не удалось: 0
    #pkts не распакован: 0, #pkts распаковать не удалось: 0
    # отправить ошибки 0, #recv errors 0

    local crypto endpt.: 192.168.1.2, удаленный криптографический endpt .: 201.1.1.2
    открытый текст mtu 1422, путь mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0 / 0
    текущий исходящий spi: 0x853C02 (8731650)
    PFS (Y / N): N , Группа DH: нет

    входящий esp sas:
    spi: 0x41AA84F4 (1101694196)
    преобразование: esp-aes esp-sha-hmac,
    in use settings = {Tunnel UDP-Encaps,}
    conn id: 2006, flow_id: Встроенный VPN: 6, sibling_flags 80000040, криптокарта: vpn
    sa тайминги: оставшееся время жизни ключа (к / сек): (4263591/2510)
    Размер IV: 16 байт
    поддержка обнаружения воспроизведения: Y
    Статус: АКТИВНЫЙ (АКТИВНЫЙ)

    входящий ah sas:

    входящий pcp sas:

    исходящий esp sas:
    spi: 0x853C02 (8731650)
    преобразование: esp-aes esp-sha-hmac,
    in use settings = {Tunnel UDP-Encaps,}
    conn id: 2005, flow_id: Встроенный VPN: 5, sibling_flags 80000040, cry Карта pto: vpn
    sa тайминги: оставшееся время жизни ключа (к / сек): (4263591/2510)
    Размер IV: 16 байт Поддержка обнаружения воспроизведения
    : Y
    Статус: АКТИВНЫЙ (АКТИВНЫЙ)

    исходящий

Динамический VPN-туннель IKEv2 между двумя ASA, пример конфигурации

Введение

В этом документе описывается, как настроить VPN-туннель версии 2 для обмена ключами в Интернете (IKEv2) между двумя устройствами адаптивной защиты (ASA), где один ASA имеет динамический IP-адрес, а другой — статический IP-адрес.

Предварительные требования

Требования

Для этого документа нет особых требований.

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

  • Версия ASA 5505
  • ASA версии 9.1 (5)

Информация в этом документе была создана на устройствах в определенной лабораторной среде.Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть активна, убедитесь, что вы понимаете потенциальное влияние любой команды.

Справочная информация

Эту конфигурацию можно настроить двумя способами:

  • С туннельной группой DefaultL2LGroup
  • С именованной туннельной группой

Самая большая разница в конфигурации между двумя сценариями — это идентификатор ISAKMP (Internet Security Association and Key Management Protocol), используемый удаленным ASA.Когда DefaultL2LGroup используется на статическом ASA, идентификатор ISAKMP однорангового узла должен быть адресом. Однако, если используется именованная туннельная группа, идентификатор ISAKMP однорангового узла должен совпадать с именем туннельной группы с помощью этой команды:

  crypto isakmp identity key-id <имя-группы-туннеля>  

Преимущество использования именованных туннельных групп на статическом ASA заключается в том, что при использовании DefaultL2LGroup конфигурация удаленных динамических ASA, которая включает предварительно общие ключи, должна быть идентична и не допускает большой степени детализации с настройка политик.

Схема сети

Настроить

В этом разделе описывается конфигурация каждого ASA в зависимости от того, какое решение вы решите использовать.

Решение 1. Использование DefaultL2LGroup

Это самый простой способ настроить туннель LAN-to-LAN (L2L) между двумя ASA, когда один ASA получает свой адрес динамически. Группа DefaultL2L — это предварительно настроенная туннельная группа на ASA, и все соединения, которые явно не соответствуют какой-либо конкретной туннельной группе, попадают в это соединение.Поскольку динамический ASA не имеет постоянного заранее определенного IP-адреса, это означает, что администратор не может настроить Statis ASA, чтобы разрешить соединение с определенной туннельной группой. В этой ситуации группа DefaultL2L может использоваться для разрешения динамических подключений.

Совет : Обратной стороной этого метода является то, что все одноранговые узлы будут иметь один и тот же предварительный общий ключ, поскольку для каждой туннельной группы может быть определен только один предварительно общий ключ, и все узлы будут подключаться к одному туннелю DefaultL2LGroup. группа.

Статическая конфигурация ASA
 интерфейс Ethernet0 / 0 
имя если внутри
уровень безопасности 100
IP-адрес 172.30.2.6 255.255.255.0
!
интерфейс Ethernet0 / 3
nameif За пределами
уровень безопасности 0
IP-адрес 207.30.43.15 255.255.255.128
!
boot system disk0: /asa915-k8.bin
crypto ipsec IKEv2 ipsec-offer Site2Site
протокол esp encryption aes-256
protocol esp целостность sha-1
crypto ipsec IKEv2 ipsec-offer AES256
protocol esp encryption aes-256
protocol целостность esp sha-1 md5
крипто ipsec IKEv2 ipsec-предложение AES192
протокол esp шифрование aes-192
протокол esp целостность sha-1 md5
крипто ipsec IKEv2 ipsec-предложение AES
протокол esp шифрование aes
протокол esp целостность sha-1 md5
крипто ipsec IKEv2 ipsec-предложение 3DES
протокол esp шифрование 3des
протокол esp целостность sha-1 md5
крипто ipsec IKEv2 ipsec-предложение DES
протокол esp encryption des
протокол esp целостность sha-1 md5
крипто-двигатель большой-мод-аксел
крипто-ipsec security-association pmtu-старение бесконечное
крипто-динамическая карта SYSTEM_DEFAULT_CRYPTO_MAP 10 set IKEv2 ipsec-предложение AES256
AES192 AES 3DES DES
crypto dyna mic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set
ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-
256-SHA ESP-AES -256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
криптодинамическая карта SYSTEM_DEFAULT_CRYPTO_MAP 65535 установить IKEv2 ipsec-предложение AES256
AES192 AES 3DES DES
crypto map 65255 криптокарта Outside_map динамическая SYSTEM_DEFAULT_CRYPTO_MAP Криптокарта
Outside_map interface За пределами
криптографическая политика IKEv2 2
encryption aes-256
целостность sha512
группа 24
prf sha512
время жизни секунд 86400
prf политика IKEv2 3

группа шифрование sha25 aes-256
время жизни в секундах 86400
политика шифрования IKEv2 10
шифрование aes-192
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
политика шифрования IKEv2 20
шифрование aes
целостность sha
группа 5 2
prf sha
продолжительность жизни сек onds 86400
политика шифрования IKEv2 30
шифрование 3des
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
крипто политика IKEv2 40
шифрование des
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400 90v255 crypto enable IKE внутренний порт клиентских служб 443
крипто IKEv2 включить Внешний порт клиентских служб 443
групповая политика Site2Site внутренний
групповая политика Site2Site атрибуты
vpn-idle-timeout нет
vpn-session-timeout нет
vpn-filter нет
vpn- туннельный протокол IKEv2
туннельная группа DefaultL2LGroup общие атрибуты
default-group-policy Site2Site
туннельная группа DefaultL2LGroup ipsec-атрибуты
предварительный общий ключ удаленной аутентификации IKEv2 *****
IKEv2 local-authentication pre-shared -ключ *****

В диспетчере устройств адаптивной безопасности (ASDM) вы можете настроить DefaultL2LGroup, как показано здесь:

Динамический ASA
 интерфейс Ethernet0 / 0 
switchport access vlan 2
!
интерфейс Ethernet0/1
!
интерфейс Ethernet0 / 2
!
интерфейс Ethernet0 / 3
!
интерфейс Ethernet0 / 4
!
интерфейс Ethernet0 / 5
!
интерфейс Ethernet0 / 6
!
интерфейс Ethernet0 / 7
!
interface Vlan1
nameif внутри
уровень безопасности 100
IP-адрес 172.16.1.1 255.255.255.224
!
interface Vlan2
nameif за пределами
security-level 0
IP-адрес dhcp setroute
!
режим ftp пассивный
объект сети NETWORK_OBJ_172.16.1.0_24
подсеть 172.16.1.0 255.255.255.0
группа объектов сеть DM_INLINE_NETWORK_1
объект сетевого объекта 10.0.0.0
объект сетевого объекта разрешение 172.0.0.0
список доступа external_cryptomap 172.16.1.0 255.255.255.0
объектная группа DM_INLINE_NETWORK_1
nat (внутри, снаружи) источник статический NETWORK_OBJ_172.16.1.0_24 NETWORK_OBJ_
172.16.1.0_24 назначение статическое DM_INLINE_NETWORK_1 DM_INLINE_NETWORK_1
nat (внутри, снаружи) источник динамический любой интерфейс
crypto ipsec IKEv2 ipsec-предложение Site2Site
протокол esp протокол шифрования ipsec целостность IKE-256 esp
протокол шифрования esp 1 esp-1 esp
esp целостность esp 1 esp
ipsec-предложение DES
протокол esp шифрование des
протокол esp целостность sha-1 md5
crypto ipsec IKEv2 ipsec-предложение 3DES
протокол esp шифрование 3des
протокол esp целостность sha-1 md5
крипто ipsec IKEv2 ipsec-предложение протокол AES
esp encryption aes
протокол целостность esp sha-1 md5
крипто ipsec IKEv2 ipsec-предложение AES192
протокол esp шифрование aes-192
протокол целостность esp sha-1 md5
крипто ipsec IKEv2 ipsec-предложение AES256
протокол esp шифрование aes-256
протокол esp целостность sha-1 md5
crypto ipsec security-association pmtu-старение бесконечное
криптокарта external_map 1 сопоставление адреса o utside_cryptomap
криптокарта outside_map 1 set pfs group5
криптокарта outside_map 1 set peer 198.51.100.1 Криптокарта
outside_map 1 набор ikev1 phase1-mode агрессивная группа5
криптокарта outside_map 1 набор IKEv2 ipsec-предложение Site2Site
криптокарта external_map интерфейс за пределами
криптографическая политика IKEv2 2
шифрование aes-256
целостность sha512
группа 24
prf sha512
время жизни в секундах 86400
крипто политика IKEv2 3
шифрование aes-256
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
крипто политика IKEv2 10
шифрование aes-192
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
политика шифрования IKEv2 20
шифрование aes
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
политика шифрования IKEv2 30
шифрование 3des
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
крипто-секунда 86400
крипто policy 40
encryption des
целостность sha
group 5 2
prf sha
life s econds 86400
crypto IKEv2 включить внешний доступ
к управлению внутри групповой политики
GroupPolicy_198.51.100.1 внутренняя
групповая политика GroupPolicy_198.51.100.1 атрибуты
vpn-tunnel-protocol IKEv2
tunnel-group 198.51.100.1 type ipsec-l2l
tunnel-group 198.51.100.1 general-attributes
default-group-policy GroupPolicy_198. 51.100.1
туннельная группа 198.51.100.1 атрибуты ipsec
предварительный общий ключ ikev1 *****
предварительный общий ключ удаленной аутентификации IKEv2 *****
предварительный общий ключ локальной аутентификации IKEv2 *****

На ASDM вы можете использовать стандартный мастер, чтобы настроить соответствующий профиль соединения, или вы можете просто добавить новое соединение и следовать стандартной процедуре.

Решение 2. Создание определенной пользователем туннельной группы

Для этого метода требуется немного больше настроек, но он обеспечивает большую детализацию. У каждого однорангового узла может быть собственная отдельная политика и общий ключ. Однако здесь важно изменить идентификатор ISAKMP на динамическом одноранговом узле, чтобы он использовал имя вместо IP-адреса. Это позволяет статическому ASA сопоставлять входящий запрос инициализации ISAKMP с правильной туннельной группой и использовать правильные политики.

Статическая конфигурация ASA
 интерфейс Ethernet0 / 0 
имя если внутри
уровень безопасности 100
IP-адрес 172.16.0.1 255.255.255.0
!
интерфейс Ethernet0 / 3
nameif За пределами
уровень безопасности 0
IP-адрес 198.51.100.1 255.255.255.128
!
boot system disk0: /asa915-k8.bin
объектная группа сеть DM_INLINE_NETWORK_1
сетевой объект объект 10.0.0.0
сетевой объект объект 172.0.0.0

список доступа Outside_cryptomap_1 расширенное разрешение IP-объект-группа DM_INLINE_NETWORK_
1 172.16.1.0 255.255.255.0

crypto ipsec IKEv2 ipsec-предложение Site2Site
протокол esp encryption aes-256
протокол esp целостность sha-1
crypto ipsec IKEv2 ipsec-предложение AES256
протокол esp шифрование aes-256
протокол esp целостность sha- 1 md5
crypto ipsec IKEv2 ipsec-предложение AES192
протокол esp шифрование aes-192
протокол esp целостность sha-1 md5
crypto ipsec IKEv2 ipsec-предложение AES
протокол esp шифрование aes
протокол esp целостность sha-1 md5
crypto ipsec IKE ipsec-предложение 3DES
протокол esp шифрование 3des
протокол esp целостность sha-1 md5
крипто ipsec IKEv2 ipsec-предложение DES
протокол esp шифрование des
протокол esp целостность sha-1 md5
крипто-механизм большой мод-ускорение
крипто безопасность ipsec -association pmtu-ageing infinite
крипто-динамическая карта SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set
ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-A ES-192-MD5 ESP-AES-256-
SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
крипто-динамическая карта SYSTEM_DEFAULT_CRYPTO_MAP 65535 установить IKEv2 ipsec -proposal
AES256 AES192 AES 3DES DES
crypto dynamic-map DynamicSite2Site1 4 сопоставления адресов Outside_cryptomap_1
crypto dynamic-map DynamicSite2Site1 4 set IKEv2 ipsec-предложение Site2Site
crypto map Outside_map 65534 ipsec25-isakmpite dynamic isakmpite map Outside_map 65534 ipsec25-isakmpite dynamic isakmpite map Outside_map 65534 ipsec-isakmpite dynamic isakmpite map Outside_map 65534 ipsec-isakmpite dynamic isakmpite map Outside_map 65534 ipsec-isakmpite dynamic isakmpite map Outside_map 65534 ipsec-isakmpite dynamic isakmpite map Outside_map 65534 ipsec-isakmpitedynamic SYSTEM_DEFAULT_CRYPTO_MAP
криптокарта Outside_map интерфейс За пределами

криптографическая политика IKEv2 2
шифрование aes-256
целостность sha512
группа 24
prf sha512
время жизни в секундах 86400
крипто-IKEv2 политика 3
9025 группа шифрования 5 aes sha
время жизни в секундах 86400
крипто-политика IKEv2 10
шифрование aes-192
целостность sha
группа 5 2
prf sha
продолжительность жизни в секундах 86400
политика шифрования IKEv2 20
шифрование aes
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
крипто политика IKEv2 30
шифрование 3des
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
крипто политика
IKEv2 шифрование des
целостность sha
группа 5 2
prf sha
время жизни в секундах 86400
crypto IKEv2 enable Внешний порт клиентских служб 443
доступ к управлению внутри

групповая политика GroupPolicy4 внутренняя
групповая политика GroupPolicy4 атрибуты
VPN-туннельный протокол IKEv2

туннельная группа DynamicSite2Site1 тип ipsec-l2l
туннельная группа DynamicSite2Site1 общие атрибуты
групповая политика по умолчанию GroupPolicy4
туннельная группа DynamicSite2Site1 ipsec-атрибуты
предварительный общий ключ удаленной аутентификации IKEv2 *****
Общий ключ локальной аутентификации IKEv2 *****

В ASDM именем профиля подключения по умолчанию является IP-адрес.Поэтому, когда вы создаете его, вы должны изменить его, чтобы дать ему имя, как показано на скриншоте здесь:

Динамическая конфигурация ASA

Динамический ASA настроен почти одинаково в обоих решениях с добавлением одной команды, как показано здесь:

  крипто isakmp identity key-id DynamicSite2Site1  

Как описано ранее, по умолчанию ASA использует IP-адрес интерфейса, с которым сопоставлен VPN-туннель, как идентификатор ключа ISAKMP.Однако в этом случае идентификатор ключа на динамическом ASA совпадает с именем туннельной группы на статическом ASA. Таким образом, на каждом динамическом одноранговом узле идентификатор ключа будет другим, и на статическом ASA должна быть создана соответствующая туннельная группа с правильным именем.

На ASDM это можно настроить, как показано на этом снимке экрана:

Проверить

Используйте этот раздел, чтобы убедиться, что ваша конфигурация работает правильно.

на статическом ASA

Вот результат команды show crypto IKEv2 sa det :

 IKEv2 SA: 

Идентификатор сеанса: 132, статус: UP-ACTIVE, количество IKE: 1, количество детей: 1

Tunnel-id Local Remote Status Role
1574208993 198.51.100.1 / 4500 203.0.113.134/4500 READY RESPONDER
Encr: AES-CBC, размер ключа: 256, хеш: SHA512, группа DH: 24, знак аутентификации: PSK,
Проверка аутентификации: PSK
Срок службы / время активности: 86400 / 352 сек
Идентификатор сеанса: 132
Описание состояния: Согласование выполнено
Локальный spi: 4FDFF215BDEC73EC Удаленный spi: 2414BEA1E10E3F70
Локальный идентификатор: 198.51.100.1
Удаленный идентификатор: DynamicSite2Site1
Локальный идентификатор сообщения запроса: 13 17 Удаленный идентификатор сообщения запроса 9025: следующий идентификатор сообщения: 13 Удаленный идентификатор следующего сообщения: 17
Локальный запрос в очереди: 13 Удаленный запрос в очереди: 17
Локальное окно: 1 Удаленное окно: 1
DPD настроен на 10 секунд, повторите попытку 2
NAT-T обнаружен за пределами
Дочерний sa : локальный селектор 172.0.0.0 / 0 - 172.255.255.255/65535 Удаленный селектор
172.16.1.0/0 - 172.16.1.255/65535
Вход / выход ESP: 0x9fd5c736 / 0x6c5b3cc9
Вход / выход AH: 0x0 / 0x0
Вход / выход CPI : 0x0 / 0x0
Encr: AES-CBC, размер ключа: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, режим туннель

Вот результат команды show crypto ipsec sa :

 интерфейс: снаружи 
Тег криптокарты: DynamicSite2Site1, порядковый номер: 4, локальный адрес: 198.51.100.1

список доступа Outside_cry

IKEv2 с Windows 7 IKEv2 Agile VPN Client и аутентификация сертификата на FlexVPN

Введение

FlexVPN — это новая инфраструктура VPN на базе Internet Key Exchange версии 2 (IKEv2) на базе Cisco IOS ® , которая должна быть единым решением VPN. В этом документе описывается, как настроить клиент IKEv2, встроенный в Windows 7, для подключения головного узла Cisco IOS с использованием центра сертификации (CA).

Примечание : Устройство адаптивной безопасности (ASA) теперь поддерживает соединения IKEv2 со встроенным клиентом Windows 7, начиная с версии 9.3 (2).

Примечание : протоколы SUITE-B не работают, потому что головная станция IOS не поддерживает SUITE-B с IKEv1, или клиент Windows 7 IKEv2 Agile VPN в настоящее время не поддерживает SUITE-B с IKEv2.

Предварительные требования

Требования

Cisco рекомендует знать следующие темы:

  • Встроенный VPN-клиент Windows 7
  • Программное обеспечение Cisco IOS версии 15.2 (2) Т
  • Центр сертификации
  • — OpenSSL CA

Используемые компоненты

Информация в этом документе основана на следующих версиях аппаратного и программного обеспечения:

  • Встроенный VPN-клиент Windows 7
  • Программное обеспечение Cisco IOS версии 15.2 (2) T
  • Центр сертификации
  • — OpenSSL CA

Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией.Если ваша сеть активна, убедитесь, что вы понимаете потенциальное влияние любой команды.

Условные обозначения

См. Раздел Условные обозначения технических советов Cisco для получения информации об условных обозначениях в документе.

Настроить

Обзор

Существует четыре основных этапа настройки встроенного клиента IKEv2 в Windows 7 для подключения головной станции Cisco IOS с использованием CA:

  1. Настроить CA

    CA должен позволить вам встроить необходимое расширенное использование ключа (EKU) в сертификат.Например, на сервере IKEv2 требуется «Server Auth EKU», а для сертификата клиента — «Client Auth EKU». Для локальных развертываний можно использовать:

    • Сервер CA Cisco IOS — Самозаверяющие сертификаты не могут использоваться из-за ошибки CSCuc82575.
    • Сервер OpenSSL CA
    • Microsoft CA server — как правило, это предпочтительный вариант, поскольку его можно настроить для подписи сертификата точно так, как нужно.
  2. Настроить головную станцию ​​Cisco IOS
    1. Получить сертификат
    2. Настроить IKEv2
  3. Настроить встроенный клиент Windows 7
  4. Получить сертификат клиента

Каждый из этих основных шагов подробно объясняется в следующих разделах.

Примечание : Используйте Инструмент поиска команд (только для зарегистрированных клиентов), чтобы получить дополнительную информацию о командах, используемых в этом разделе.

Настроить центр сертификации

Этот документ не содержит подробных шагов по настройке центра сертификации. Однако шаги в этом разделе показывают, как настроить центр сертификации, чтобы он мог выдавать сертификаты для этого типа развертывания.

OpenSSL

OpenSSL CA основан на файле config.Файл конфигурации для сервера OpenSSL должен иметь:

 [extCSR] 
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
Сервер Cisco IOS CA

Если вы используете сервер CA Cisco IOS, убедитесь, что вы используете самую последнюю версию программного обеспечения Cisco IOS, которая назначает EKU.

 IOS-CA #  демонстрация | section crypto pki  
crypto pki server IOS-CA
имя-эмитента cn = IOS-CA.cisco.com, ou = TAC, o = cisco
grant auto
eku server-auth client-auth

Настроить головную станцию ​​Cisco IOS

Получить сертификат

Сертификат должен иметь поля EKU, установленные на «Проверка подлинности сервера» для Cisco IOS и «Проверка подлинности клиента» для клиента. Как правило, один и тот же ЦС используется для подписи сертификатов клиента и сервера. В этом случае и «Аутентификация сервера», и «Аутентификация клиента» отображаются в сертификате сервера и сертификате клиента соответственно, что приемлемо.

Если ЦС выдает сертификаты в формате Стандарты криптографии с открытым ключом (PKCS) # 12 на сервере IKEv2 для клиентов и сервера, и если список отзыва сертификатов (CRL) недоступен или недоступен, он должен быть настроен:

 crypto pki trustpoint FlexRootCA 
проверка отзыва нет

Введите эту команду, чтобы импортировать сертификат PKCS # 12:

 скопируйте ftp: // user: ***@OpenSSLServer/p12/ikev2.p12* flash: / 
crypto pki import FlexRootCA pkcs12 flash: / ikev2.p12 пароль <пароль>
!! Примечание : ikev2.p12 - это сертификат формата pkcs12, в который включен сертификат CA.

Если сервер CA Cisco IOS автоматически предоставляет сертификаты, сервер IKEv2 должен быть настроен с URL-адресом сервера CA для получения сертификата, как показано в этом примере:

 crypto pki trustpoint IKEv2 
URL регистрации http: // : 80
имя-субъекта cn = ikev2.cisco.com, ou = TAC, o = cisco
проверка отзыва нет

Когда точка доверия настроена, вам необходимо:

  1. Аутентифицируйте CA с помощью этой команды:
     crypto pki Authenticate FlexRootCA 
  2. Зарегистрируйте сервер IKEv2 в CA с помощью этой команды:
     crypto pki enroll FlexRootCA 

Чтобы увидеть, содержит ли сертификат все необходимые параметры, используйте эту команду show :

 ikev2 #  показать подробный сертификат крипто pki  
Сертификат

Эмитент:

Тема:
Имя: ikev2.cisco.com
ou = TAC
o = Cisco
c = BE
cn = ikev2.cisco.com

Информация о ключе темы:
Алгоритм открытого ключа: rsaEncryption
Открытый ключ RSA: (1024 бит )
Алгоритм подписи: MD5 с шифрованием RSA
отпечатков пальцев MD5: 3FB01AE4 E36DF9D8 47F3C206 05F287C6

отпечатков пальцев SHA1: DEE6C4D1 00CDD2D5 C0976274 203D2E74 2BC49BE8
x509v3 расширения:
x509v3 Основные Использование: F0000000
Цифровая подпись
Non Repudiation
Шифрование ключей
Шифрование данных
Идентификатор ключа субъекта X509v3: CBCE6E9F F508927C E97040FD F49B52D1 D5919D45
Идентификатор ключа авторизации X509v3: 4B86A079 A5738694 85721D0D 7A75892F 0CDAC723
9025 9025 9025 9028 Сервер расширенной аутентификации 9025 9025 9025 9025 Сервер аутентификации клиента 9028 Доступ: 9028 9025 9025 9025 9025 Сервер аутентификации 9028 s: FlexRootCA
Метка ключа: FlexRootCA

Настроить IKEv2

Это пример конфигурации IKEv2:

 !! Пул IP-адресов для клиентов IKEv2 

Локальный пул IP-адресов mypool 172.16.0.101 172.16.0.250

!! Сертификат MAP для соответствия удаленным сертификатам, в нашем случае это карта сертификатов Windows 7

crypto pki win7_map 10
имя-субъекта co ou = tac

!! Одно из предложений, которое нравится встроенному клиенту Windows 7

крипто предложение ikev2 win7
шифрование aes-cbc-256
целостность sha1
группа 2

!! Политика IKEv2 для хранения предложения

крипто политика ikev2 win7
предложение win7

!! Политика локальной авторизации IKEv2.Сплит-туннелирование не работает, как было
!! дело в старом добром l2tp over IPSec.

крипто политика авторизации ikev2 win7_author
пул mypool

!! Профиль IKEv2

крипто профиль ikev2 win7-rsa
сертификат соответствия win7_map
идентификация локальный fqdn ikev2.cisco.com
проверка подлинности локальный rsa-sig
проверка подлинности удаленная rsa-sig
точка доверия pki FlexRootCA
aaa группа авторизации список сертификатов win25 win7 шаблон 1

!! Один из наборов преобразования IPSec, который нравится Windows 7

crypto ipsec transform-set aes256-sha1 esp-aes 256 esp-sha-hmac

!! Профиль IPSec, который вызывает профиль IKEv2

crypto ipsec profile win7_ikev2
set transform-set aes256-sha1
set ikev2-profile win7-rsa

!! Интерфейс dVTI - точка завершения для клиентов IKEv2

интерфейс Virtual-Template1 type туннель
ip ненумерованный Loopback0
туннельный режим ipsec ipv4
защита туннеля профиль ipsec win7_ikev2

IP-адрес виртуального шаблона без номера должен быть любым, кроме локального адреса, используемого для соединения IPsec.[Если вы используете аппаратный клиент, вы обмениваетесь информацией о маршрутизации через узел конфигурации IKEv2 и создаете проблему рекурсивной маршрутизации на аппаратном клиенте.]

Настроить встроенный клиент Windows 7

Эта процедура описывает, как настроить встроенный клиент Windows 7.

  1. Перейдите в Центр управления сетями и общим доступом и щелкните Настройка нового подключения или сети .

  2. Нажмите Использовать мое Интернет-соединение (VNP) .Это позволяет вам настроить VPN-соединение, согласованное через текущее Интернет-соединение.

  3. Введите полное доменное имя (FQDN) или IP-адрес сервера IKEv2 и присвойте ему имя назначения, чтобы идентифицировать его локально.

    Примечание : полное доменное имя должно совпадать с общим именем (CN) из сертификата идентификации маршрутизатора. Windows 7 разрывает соединение с ошибкой 13801, если обнаруживает несоответствие.


    Так как необходимо установить дополнительные параметры, отметьте Не подключаться сейчас; просто настройте его, чтобы я мог подключиться позже , и нажмите Далее :

  4. Не заполняйте поля Имя пользователя , Пароль и Домен (необязательно) , потому что должна использоваться проверка подлинности сертификата.Щелкните Create .

    Примечание : Закройте получившееся окно. Не пытайтесь подключиться.

  5. Вернитесь в центр управления сетями и общим доступом и щелкните Изменить настройки адаптера .

  6. Выберите логический адаптер FlexVPN-IOS, который является результатом всех шагов, предпринятых до этого момента. Щелкните его свойства. Это свойства вновь созданного профиля подключения под названием FlexVPN-IOS:
    • На вкладке «Безопасность» типом VPN должен быть IKEv2.
    • В разделе Аутентификация выберите Использовать сертификаты машины .

    Профиль FlexVPN-IOS теперь готов к подключению после того, как вы импортировали сертификат в хранилище сертификатов машины.

Получить сертификат клиента

Сертификат клиента требует следующих факторов:

    • Сертификат клиента имеет EKU «Проверка подлинности клиента». Кроме того, CA выдает сертификат PKCS # 12:
 Сертификат PKCS12 клиента поступит в хранилище личных сертификатов локального компьютера 
 Сертификат CA поступает в хранилище доверенных корневых центров сертификации локального компьютера 

Важные детали

  • ‘Промежуточный IPSec IKE’ (OID = 1.3.6.1.5.5.8.2.2) следует использовать в качестве EKU, если применимы оба этих утверждения:
    • Сервер IKEv2 — это сервер Windows 2008.
    • Для подключений IKEv2 используется более одного сертификата проверки подлинности сервера. Если это так, либо поместите EKU «Server Authentication» и «IPSec IKE Intermediate» в один сертификат, либо распределите эти EKU между сертификатами. Убедитесь, что хотя бы один сертификат содержит EKU «Промежуточный IPSec IKE».
    Дополнительные сведения см. В разделе Устранение неполадок VPN-подключений IKEv2.
  • В развертывании FlexVPN не используйте «Промежуточный IPSec IKE» в EKU. Если вы это сделаете, клиент IKEv2 не получит сертификат сервера IKEv2. В результате они не могут отвечать на CERTREQ от IOS в ответном сообщении IKE_SA_INIT и, таким образом, не могут подключиться с идентификатором ошибки 13806.
  • Хотя альтернативное имя субъекта (SAN) не требуется, допустимо, если оно есть в сертификатах.
  • В хранилище клиентских сертификатов Windows 7 убедитесь, что в хранилище доверенных на компьютере корневых центров сертификации содержится минимально возможное количество сертификатов.Если их больше 50 или около того, Cisco IOS может не прочитать всю полезную нагрузку Cert_Req, которая содержит отличительное имя сертификата (DN) всех известных центров сертификации из окна Windows 7. В результате согласование не удается, и вы видите тайм-аут соединения на клиенте.

Проверить

Используйте этот раздел, чтобы убедиться, что ваша конфигурация работает правильно.

Средство интерпретации выходных данных (только для зарегистрированных пользователей) поддерживает определенные команды show .Используйте Средство интерпретации выходных данных для просмотра анализа выходных данных команды show .

 ikev2 #  показать детали крипто-сеанса ikev2  
IPv4 Crypto IKEv2 Session

Session-id: 4, Status: UP-ACTIVE , IKE count: 1, CHILD count: 1

Tunnel-id Local Remote fvrf / ivrf Status
1 10.0.3.1/4500 192.168.56.1/4500 нет / нет READY
Encr: AES-CBC, размер ключа: 256, хеш: SHA96, группа DH: 2, знак аутентификации: RSA,
Проверка аутентификации: RSA
Life / Активное время: 86400/17 сек.
CE id: 1004, Session-id: 4
Описание статуса: согласование выполнено
Локальный spi: A40828A826160328 Удаленный spi: C004B7103936B430
Локальный идентификатор: ikev2.cisco.com
Remote id: ou = TAC, o = Cisco, c = BE, cn = Win7
Local req msg id: 0 Remote req msg id: 2
Local next msg id: 0 Remote next msg id: 2
Local в очереди запросов: 0 В очереди удаленных запросов: 2
Локальное окно 5 Удаленное окно: 1 DPD настроен на 0 секунд,
повторов 0
NAT-T не обнаружен
Cisco Trust Security SGT отключен

ikev2 # show crypto ipsec sa peer 192.168.56.1

interface: Virtual-Access1

Тег криптокарты: Virtual-Access1-head-0, локальный адрес 10.0.3.1
protected vrf: (none)
локальный идентификатор (addr / mask / prot / port): (0.0.0.0/0.0.0.0/0/0)
удаленный идентификатор (addr / mask / prot / port) ): (172.16.0.104/255.255.255.255/0/0)
current_peer 192.168.56.1 порт 4500
РАЗРЕШЕНИЕ, flags = {origin_is_acl,}
#pkts encaps: 5, #pkts encaps: 5, #pkts encrypt: 5 , #pkts digest: 5
#pkts decaps: 55, #pkts decrypt: 55, #pkts verify: 55
#pkts compressed: 0, #pkts decompressed: 0
#pkts uncompressed: 0, #pkts compr.сбой: 0
#pkts не распакован: 0, #pkts распаковать не удалось: 0
# отправить ошибки 0, #recv ошибки 0

локальный конец шифрования: 10.0.3.1, удаленный конец шифрования: 192.168.56.1
путь mtu 1500, ip mtu 1500, ip mtu idb Ethernet0 / 0
текущий исходящий spi: 0x3C3D299 (63165081)
PFS (Y / N): N, группа DH: нет

входящий esp sas:
spi: 0xE461ED10 (3831622928) 9025 transform: esp-256-aes esp-sha-hmac,
in use settings = {Tunnel,}
conn id: 7, flow_id: SW: 7, sibling_flags 80000040, криптокарта: Virtual-Access1-head-0
sa time : оставшееся время жизни ключа (к / с): (4257423/0)
Размер IV: 16 байтов
Поддержка обнаружения воспроизведения: Y
Статус: АКТИВНЫЙ (АКТИВНЫЙ)

входящий ah sas:

входящий pcp sas:

исходящий esp sas:

spi: 0x3C3D299 (63165081)
transform: esp-256-aes esp-sha-hmac,
in use settings = {Tunnel,}
conn id: 8, flow_id: SW: 8, sibling_flags 80000040, криптокарта : Вир tual-Access1-head-0
sa тайминги: оставшееся время жизни ключа (k / sec): (4257431/0)
IV size: 16 байтов
поддержка обнаружения воспроизведения: Y
Статус: АКТИВНЫЙ (АКТИВНЫЙ)

исходящий ah sas:

исходящий pcp sas:

Устранение неполадок

В настоящее время для этой конфигурации нет специальной информации по поиску и устранению неисправностей.

Дополнительная информация

Linux IKEv2 ProtonVPN tutorial — Поддержка ProtonVPN

Мы представляем новый способ подключения к ProtonVPN с помощью IKEv2 на машинах Linux. Мы хотим поблагодарить «Sh5dowb», члена сообщества Proton, который оказал большую помощь в создании этого руководства. Используйте это руководство, если вы предпочитаете подключаться к нашим серверам по протоколу IKEv2 или если у вас возникли проблемы с сетью с клиентским инструментом Linux.

В этом руководстве по настройке объясняется, как настроить соединение IKEv2 на Mint 18.3 Сильвия.


  1. Вам необходимо установить необходимые пакеты, открыв Терминал (CTRL + T) и введя следующие команды: (Вам будет предложено ввести пароль root, чтобы разрешить установку. Введите его, чтобы продолжить)
 sudo apt-get install strongswan 

 sudo apt-get установить libstrongswan-extra-plugins
sudo apt-get установить libcharon-extra-plugins 

Примечание: в зависимости от вашего дистрибутива Linux вам могут не понадобиться все пакеты.Если Терминал выводит запрос «Не удается найти пакет», просто продолжайте без пакета.


  1. Загрузите сертификат ProtonVPN и поместите его в соответствующий каталог.
 wget https://protonvpn.com/download/ProtonVPN_ike_root.der -O /tmp/protonvpn.der 
 судо мв /tmp/protonvpn.der /etc/ipsec.d/cacerts/ 


  1. Откройте / etc / ipsec.conf в вашем любимом текстовом редакторе (для этой демонстрации использовался Nano), введя sudo nano /etc/ipsec.conf

Это то, что вы должны увидеть:

Удалите текст до « Добавьте сюда соединения » и введите следующие параметры:

 соедин  тест 
 left =% defaultroute
 leftsourceip =% config
 leftauth = eap-mschapv2
 eap_identity =  тестер 
 right =  it-01.protonvpn.com 
 rightubnet = 0.0,0.0 / 0
 rightauth = pubkey
 rightid =%  it-01.protonvpn.com 
 rightca = / etc / ipsec.d / cacerts / protonvpn.der
 keyexchange = ikev2
 тип = туннель
 auto = добавить 

Вместо test введите имя для вашего подключения, которое вы будете использовать позже.

Вместо tester введите свое имя пользователя IKEv2 / OpenVPN .

Вместо it-01.protonvpn.com выберите любой сервер, который вам нужен, кроме бесплатного сервера.

Затем нажмите Ctrl + X для сохранения, Y для подтверждения и нажмите Enter.

4. Добавьте учетные данные в правильный каталог.

Откройте /etc/ipsec.secrets с помощью текстового редактора, введя sudo nano /etc/ipsec.secrets

Затем введите этот текст:

тестер: EAP test123

Где вместо tester введите свое имя пользователя OpenVPN / IKEv2 и вместо test123 введите свой пароль OpenVPN / IKEv2 .

Затем еще раз нажмите Ctrl + X , нажмите Y для сохранения и нажмите Enter .

После этого вам нужно будет перезапустить службу IPSEC, введя sudo ipsec restart


  1. Настройка завершена. Вы можете попробовать подключиться к созданному вами IKEv2-соединению.

Для подключения к VPN-серверу введите sudo ipsec up test

Вместо test используйте имя подключения, которое вы ввели в файле / etc / ipsec.conf файл.

Если вы правильно настроили соединение, вы должны увидеть:

Поздравляем! Вы подключились к ProtonVPN по протоколу IKEv2. Если вы хотите разорвать соединение с сервером, введите эту команду:

sudo ipsec down тест

(вместо test используйте имя вашего соединения)

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *