Vigor 路由器IKEv2 设置 – Windows端
本文档适用于各路由器型号4.2.0之后版本(包括但不限于Vigor 2915,Vigor2915ac,Vigor 2927,Vigor 2927ac,Vigor 2927ax,Vigor 2962,Vigor 3910等)
路由器端设置:
因为IKEv2要用到证书验证,所以路由器端设置稍微复杂一些,需要先签证书。
如果您有固定IP或域名,从互联网证书机构签发了正式证书,可以跳过下面签证书步骤2~3和客户端导入证书的步骤,直接将证书上传到Vigor路由器本地证书作为IKEv2服务器证书。
步骤一:在 系统维护 >> 时间和日期 页面,设置使用互联网对时,在国内可以使用ntp.aliyun.com作为时间服务器,时区选择东八区。
步骤二:创建根证书
在 证书管理 >> 受信任的CA证书页面,点击“创建RootCA“按钮。
在下图根据自己的实际情况填写各项的英文缩写
受信任CA生成完成,可以看到绿色的状态,代表已经可用。
点击导出,将ROOT根证书导出备用(会用于在客户端电脑导入使用)
步骤三:生成服务器证书
使用前一步签发的根证书来签发一个跟您的IP地址或域名对应的服务器证书。如果您是动态IP用户,可以先到www.58ddns.com申请一个动态域名。
点击菜单 证书管理 >> 本地证书,点击“生成“按钮。
在下图中,如果您是静态IP,可以直接以IP作为类型进行签发,如果是动态IP,则请使用您在58ddns申请到的动态域名进行证书签发。这一步很关键,因为IKEv2协商过程中,会校验域名/IP地址,如果填写错误,是无法建立连接的。
将域名栏和通用名栏都填入正确的域名/IP地址
点击生成按钮后,并不会完成证书签发,因为这里只是生成了一个证书请求,您可以使用我们自己上一步建立的根证书来签发,也可以点击查看,复制请求,去第三方证书签发软件/服务器来签发。当然,这里为了方便,我们直接在下图点击“签发“按钮,选择有效期,RootCA,点击签发即可完成证书签发。
注意这里的有效性时间,如果您要连接iOS系统的IKEv2到路由器,那么证书有效期建议不超过395天。(每年记得来重新更新证书有效期)。如果不考虑苹果系统的IKEv2接入,这个有效期可以直接多选几年,更加简单方便,避免忘记更新证书导致VPN连不上。
步骤四:证书签发完成,到VPN和远程访问 >> IPsec一般设置 页面,选择刚刚生成的服务器证书作为IKE服务器证书。
到VPN和远程访问 >> 远程拨入用户页面,建立一个用户,勾选IKEv1/V2模式
至此,Vigor 路由器端IKEv2设置完成。
客户端设置:
可以使用Windows内建客户端直接拨,也可以使用SmartVPN来建立连接拨号。
步骤一、导入RootCA根证书作为受信任证书机构。如果是使用互联网上受信证书办法机构办法的证书,则无需此步骤。
双击前面在路由器端生成导出的RootCA根证书,如下图,显示为不受信任的根证书。
点击安装证书,选择“本地计算机“(重要!!!),下一步。
选择“将所有证书都放入下列存储“,点击浏览。
选择“受信任的根证书颁发机构”。
点击确定,完成证书导入。
然后在Windows VPN连接里创建一个新的VPN连接,设置如下图。
如果前面的设置无误,完成设置后,就可以点击这个新建的连接拨IKEv2连接了。
注意,Windows上的VPN默认会将所有上网数据发到远程中转,因此可能会导致您的上网速度变慢。如果您希望只有访问总部的数据才走VPN,那么可以右键点击这个连接,选择属性,然后在TCP/IP的高级设置里,将”在远程网络上使用默认网关”选项勾掉,然后就只有VPN数据才会走通道里了。如下图所示:
如果是使用SmartVPN建立IKEv2连接,默认就是不勾选这个选项的,所以无需特别设置,SmartVPN设置参考下图