IKEv2 VPN LAB

IKEv2 VPN LAB

用戶端只需要安裝信任的CA即可

ikev2

在企業根CA建立一個伺服器驗證與IP安全性IKE中繼憑證範本

執行憑證管理工具 —> 憑證範本 滑鼠右鍵  —> 管理

ike1

在IPSEC 範本上 —> 滑鼠右鍵 —> 複製範本

ike2

選windows server 2003 Enrprises 即可

ike3

修改好記的範本名稱

ike4

點選 處理要求 標籤  勾選[匯出私密金鑰]

ike5

點選  主體名稱 標籤  點選 [在要求中提供]

ike7

點選  延伸 標籤  —> 點 應用程式原則  —> 編輯 

ike8

點選 新增

ike9

點選  伺服器驗證 後  點兩次確定

ike10

回到延伸標籤  —> 點選  [金鑰使用方法]    —> 編輯

ike11

確認 數位簽章 已經勾選

ike12

新vpn 範本建立完畢

ike13

將新範本發佈

回憑證管理工具 —> 憑證範本 —> 滑鼠右鍵  —> 新增  —->要發出的憑證範本

ike14

點選之前建立的 VPN 範本 —> 確定

ike15jpg

就會產生 再憑證範本中

ike16jpg

IkEv2 VPN 伺服器設定

1.由於前面步驟有安裝企業根CA,所以在網域內的主機都會自動信任根CA (如下圖)

ike17

如果沒看到可以執行 gpupdate /force  即可

2. IKEV2 VPN伺服器安裝伺服器驗證和IP安全性IKE中繼電腦憑證

  • 利用MMC工具 ,要求憑證 (如下圖)

    ike18

  • 點 [需要更多資訊才行註冊此憑證] (如下圖框起來部分)

    ike19

    主體名稱類型 選擇 [一般名稱]
    值 : vpn.test.com (該名稱是VPN用戶連線時所輸入的名稱,不一樣就會連線失敗)
    ike20

    ike21

    設定完畢後 回到上一層 將VPN 憑證勾選 申請該憑證

    ike22

    申請完畢(如下圖)

    ike23

    IKEv2 用戶端設定

    用戶端不需安裝電腦憑證,但是需要信任CA所發的憑證
    所以需將VPN伺服器的憑證匯出 拿到用戶端匯入即可
    在VPN伺服器上(如下圖)的憑證匯出,也就是企業的根憑證
    ike24

  • 匯出方式請參考之前文章即可
  • Win7 匯入憑證 (如下圖)

    ike25

由於是lab環境,鋼材設定連線的名稱為 vpn.test.com  (ip: 172.16.1.2)

所以在c:windowssystem32driverstest    hosts 檔案新增該筆資料
ike26

修改用戶端連線設定

1. 連線名稱改為:  vpn.test.com
ike27

2. 修改安全性選項 IKEv2

ike28

3.測試連線成功

ike29

如果用戶端連線名稱 或是 未安裝CA 會出現無法連線訊息(如下圖)

ike30



本篇瀏覽人數: 6400
分類: VPN 伺服器篇。這篇內容的永久連結

在〈IKEv2 VPN LAB〉中有 2 則留言

  1. japan vpn表示:

    如何設定l2tp/ipsec呢?

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *