Vigor 2915 IKEv2 设置 – Windows客户端

Vigor 路由器IKEv2 设置 – Windows端

本文档适用于各路由器型号4.2.0之后版本(包括但不限于Vigor 2915,Vigor2915ac,Vigor 2927,Vigor 2927ac,Vigor 2927ax,Vigor 2962,Vigor 3910等)

路由器端设置:

因为IKEv2要用到证书验证,所以路由器端设置稍微复杂一些,需要先签证书。

如果您有固定IP或域名,从互联网证书机构签发了正式证书,可以跳过下面签证书步骤2~3和客户端导入证书的步骤,直接将证书上传到Vigor路由器本地证书作为IKEv2服务器证书。

 

步骤一:在 系统维护 >> 时间和日期 页面,设置使用互联网对时,在国内可以使用ntp.aliyun.com作为时间服务器,时区选择东八区。

设置时区为东八区

步骤二:创建根证书

在 证书管理 >> 受信任的CA证书页面,点击“创建RootCA“按钮。

创建根证书

在下图根据自己的实际情况填写各项的英文缩写

创建根证书信息填写

 

受信任CA生成完成,可以看到绿色的状态,代表已经可用。

根证书创建完成

点击导出,将ROOT根证书导出备用(会用于在客户端电脑导入使用)

 

步骤三:生成服务器证书

使用前一步签发的根证书来签发一个跟您的IP地址或域名对应的服务器证书。如果您是动态IP用户,可以先到www.58ddns.com申请一个动态域名。

 

点击菜单 证书管理 >> 本地证书,点击“生成“按钮。

生成本地证书

在下图中,如果您是静态IP,可以直接以IP作为类型进行签发,如果是动态IP,则请使用您在58ddns申请到的动态域名进行证书签发。这一步很关键,因为IKEv2协商过程中,会校验域名/IP地址,如果填写错误,是无法建立连接的。

将域名栏和通用名栏都填入正确的域名/IP地址

生成本地证书信息填写

点击生成按钮后,并不会完成证书签发,因为这里只是生成了一个证书请求,您可以使用我们自己上一步建立的根证书来签发,也可以点击查看,复制请求,去第三方证书签发软件/服务器来签发。当然,这里为了方便,我们直接在下图点击“签发“按钮,选择有效期,RootCA,点击签发即可完成证书签发。

 

注意这里的有效性时间,如果您要连接iOS系统的IKEv2到路由器,那么证书有效期建议不超过395天。(每年记得来重新更新证书有效期)。如果不考虑苹果系统的IKEv2接入,这个有效期可以直接多选几年,更加简单方便,避免忘记更新证书导致VPN连不上。

点击签发按钮签发证书

选择有效期,签发

签发本地服务器证书完成

 

步骤四:证书签发完成,到VPN和远程访问 >> IPsec一般设置 页面,选择刚刚生成的服务器证书作为IKE服务器证书。

选择新签发的证书作为IKEv2服务器证书

到VPN和远程访问 >> 远程拨入用户页面,建立一个用户,勾选IKEv1/V2模式

创建允许IKEv2拨入的用户

 

至此,Vigor 路由器端IKEv2设置完成。

 

 

客户端设置:

可以使用Windows内建客户端直接拨,也可以使用SmartVPN来建立连接拨号。

 

步骤一、导入RootCA根证书作为受信任证书机构。如果是使用互联网上受信证书办法机构办法的证书,则无需此步骤。

 

双击前面在路由器端生成导出的RootCA根证书,如下图,显示为不受信任的根证书。

PC导入根证书

 

点击安装证书,选择“本地计算机“(重要!!!),下一步。

PC导入证书选择路径

选择“将所有证书都放入下列存储“,点击浏览。

选择证书区域

选择“受信任的根证书颁发机构”。

选中受信任的根证书办法机构

点击确定,完成证书导入。

 

然后在Windows VPN连接里创建一个新的VPN连接,设置如下图。

如果前面的设置无误,完成设置后,就可以点击这个新建的连接拨IKEv2连接了。

Windows内建连接创建IKEv2方式连接

 

注意,Windows上的VPN默认会将所有上网数据发到远程中转,因此可能会导致您的上网速度变慢。如果您希望只有访问总部的数据才走VPN,那么可以右键点击这个连接,选择属性,然后在TCP/IP的高级设置里,将”在远程网络上使用默认网关”选项勾掉,然后就只有VPN数据才会走通道里了。如下图所示:

 

调整路由方式

 

如果是使用SmartVPN建立IKEv2连接,默认就是不勾选这个选项的,所以无需特别设置,SmartVPN设置参考下图

SmartVPN建立IKEv2连接

已读次数:4457