Remote Access 啟用 IKEv2¶
Check Point 的 Remote Access VPN Client 預設走 IKEv1。想改用更新、更穩的 IKEv2,有版本門檻也要動到客戶端設定 —— 這篇依官方 sk166415 把「為什麼、要什麼版本、怎麼做」說清楚。
先搞懂:IKE 是什麼?¶
IKE(Internet Key Exchange)是 IPsec VPN 在真正傳資料前,用來「協商加密參數 + 交換金鑰 + 互相認證」的協定。可以把它想成 VPN 的開場握手,握完手雙方才建立安全通道。
IKEv1 vs IKEv2¶
| 項目 | IKEv1 | IKEv2 |
|---|---|---|
| 協商交握 | 較多訊息、較慢 | 較少訊息、較快 |
| 連線穩定性 | 一般 | 內建 MOBIKE,換網路不易斷線 |
| 失效偵測 | 需 DPD 機制 | 原生內建 |
| NAT 穿越 | 支援 | 原生支援、更乾淨 |
| 現代加密套件 | 有限 | 支援更完整 |
什麼時候該換 IKEv2?
使用者常在 Wi-Fi / 4G 間切換、或反映 VPN 容易斷線重連時,IKEv2 的 MOBIKE 會明顯改善體驗;想用更新的加密演算法時,也建議切到 IKEv2。
⚠️ 版本門檻(先確認)¶
依官方 sk166415,Remote Access VPN Client 用 IKEv2 需要:
| 元件 | 需求版本 |
|---|---|
| Endpoint Security VPN Client | E88.40 以上 |
| Security Gateway | R82 以上 |
R81.20 不支援 Remote Access Client IKEv2
這是常被誤會的點:R81.20 的 Remote Access 並不支援 client 端 IKEv2,要到 R82 才支援。(Site-to-Site VPN 的 IKEv2 則 R81.20 就有,別搞混。)支援 IKEv2 的 client 會用 IKEv2 連線;不支援的 client 自動退回 IKEv1。
啟用步驟(官方兩步)¶
Step 1 — 在 Gateway 端啟用(集中、一次設定)¶
- SmartConsole → Menu → Global Properties
- Remote Access → VPN - Authentication and Encryption
- Encryption Method 選 「IKEv2 only」 或 「Prefer IKEv2, support IKEv1」
- OK → Install Policy
預設是 IKEv1 only
Encryption Method 預設值是 「IKEv1 only」,所以 IKEv2 預設不啟用,一定要手動切換。Prefer IKEv2, support IKEv1 較保險:支援的 client 走 IKEv2,舊 client 仍可用 IKEv1。
Step 2 — 設定 Client 端¶
| Client 類型 | 做法 |
|---|---|
| Managed(集中管理)Endpoint | registry 變更可集中套用,依《Endpoint Security Web Management Administration Guide》從管理端推送 → 這就是「免逐台手動改」的官方做法 |
| Unmanaged Windows | 開 Registry Editor → HKLM\SOFTWARE\WOW6432Node\CheckPoint\TRAC → 把 disable_ikev2 設為 0 → 重啟裝置 |
| Unmanaged macOS | 編輯 HKLM_registry.data,把 disable_ikev2 從 4[1] 改成 4[0] → 重啟(E89.00 以上不需要此步驟) |
企業大量部署的關鍵(呼應「免改機碼」需求)
端點很多、不想逐台改 registry 時:把端點納入 Managed Endpoint(集中管理),就能從 Endpoint Web Management 集中推送 IKEv2 設定,不必一台台手動改。只有 unmanaged client 才需逐台改 registry。
怎麼驗證真的走 IKEv2?¶
連上後,在 Gateway 的 expert shell 檢查:
# 互動式 VPN 隧道工具,檢視 peer 與 SA
vpn tu
# 即時抓 IKE 協商封包(debug)
vpn debug ikeon
# ... 重現使用者連線 ...
vpn debug ikeoff
檢視協商記錄檔(可用 Check Point 的 IKEView 工具開,較易讀):
- IKEv1 →
$FWDIR/log/ike.elg - IKEv2 →
$FWDIR/log/ikev2.xmll
看到 ikev2.xmll 有對應連線、且協商成功,就確認走的是 IKEv2。
上線前先測
切換前先在測試帳號 / 測試機驗證連線、路由、認證都正常,再推給全體。部分環境即使設了 Prefer IKEv2,特定 client 版本仍可能退回 IKEv1(社群有回報早期版本的相容性問題),務必實測並對照 sk166415 當下的版本需求。
小結¶
- IKEv2 比 IKEv1 更快、更穩、抗斷線(MOBIKE)。
- Remote Access client IKEv2 需 R82 Gateway + E88.40 client;R81.20 不支援。
- 啟用兩步:① Gateway 端 Global Properties 把 Encryption Method 改成 IKEv2(預設 IKEv1 only)→ Install Policy;② Client 端
disable_ikev2=0。 - Managed Endpoint 可集中推送 = 免逐台改機碼。
- 驗證看
ikev2.xmll(IKEv2)/ike.elg(IKEv1),用 IKEView 分析。