Compartir a través de


Configuración criptográfica para conexiones VPN IKEv2

En las conexiones VPN IKEv2, la configuración predeterminada para la configuración criptográfica IKEv2 es:

  • Algoritmo de cifrado: DES3
  • Integridad, algoritmo hash: SHA1
  • Grupo Diffie Hellman (tamaño clave): DH2

Esta configuración no es segura para los intercambios IKE.

Para proteger las conexiones, actualiza la configuración de los clientes y servidores de la VPN mediante la ejecución de los cmdlets de VPN.

Servidor VPN

Para los servidores VPN que ejecuten Windows Server 2012 R2 o posterior, debes ejecutar Set-VpnServerConfiguration para configurar el tipo de túnel. Esta configuración es efectiva para todas las conexiones VPN IKEv2.

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy

En una versión anterior de Windows Server, ejecute Set-VpnServerIPsecConfiguration. Dado Set-VpnServerIPsecConfiguration que no tiene -TunnelType, la configuración se aplica a todos los tipos de túnel del servidor.

Set-VpnServerIPsecConfiguration -CustomPolicy

Cliente VPN

Para el cliente VPN, deberás configurar cada conexión VPN. Por ejemplo, ejecuta Set-VpnConnectionIPsecConfiguration (versión 4.0) y especifica el nombre de la conexión:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String>

Ejemplo de configuración criptográfica de IKEv2

Los siguientes comandos configuran los valores criptográficos IKEv2 para:

  • Algoritmo de cifrado: AES128
  • Integridad, algoritmo hash: SHA256
  • Grupo Diffie Hellman (tamaño clave): DH14

SERVIDOR VPN IKEv2

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -SALifeTimeSeconds 28800 -MMSALifeTimeSeconds 86400 -SADataSizeForRenegotiationKilobytes 1024000
restart-service RemoteAccess -PassThru

Si necesita volver a la configuración de IKEv2 predeterminada, use este comando:

Set-VpnServerConfiguration -TunnelType IKEv2 -RevertToDefault
restart-service RemoteAccess -PassThru

Cliente VPN IKEv2

Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force

Si necesita volver a la configuración de IKEv2 predeterminada, use este comando:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -RevertToDefault -Force

Sugerencia

Si va a configurar una conexión VPN de todos los usuarios o un túnel de dispositivos, debe usar el -AllUserConnection parámetro en el Set-VpnConnectionIPsecConfiguration comando .