通过

如何为 IKEv2 VPN 连接配置加密设置

在 IKEv2 VPN 连接中,IKEv2 加密设置的默认设置为:

  • 加密算法:DES3
  • 完整性、哈希算法:SHA1
  • Diffie Hellman Group (密钥大小) :DH2

这些设置对于 IKE 交换不安全。

要保证连接安全,请通过运行 VPN cmdlet 更新 VPN 服务器和客户端的配置。

VPN 服务器

对于运行 Windows Server 2012 R2 或更高版本的 VPN 服务器,需要运行 Set-VpnServerConfiguration 来配置隧道类型。 这些设置对所有 IKEv2 VPN 连接都有效。

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy

在早期版本的 Windows Server 上,运行 Set-VpnServerIPsecConfiguration。 由于 Set-VpnServerIPsecConfiguration 没有 -TunnelType,该配置将应用于服务器上的所有隧道类型。

Set-VpnServerIPsecConfiguration -CustomPolicy

VPN 客户端

对于 VPN 客户端,需要配置每个 VPN 连接。 例如,运行 Set-VpnConnectionIPsecConfiguration (version 4.0) 并指定连接名称:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String>

IKEv2 加密设置示例

以下命令将 IKEv2 加密设置配置为:

  • 加密算法:AES128
  • 完整性、哈希算法:SHA256
  • Diffie Hellman Group (密钥大小) :DH14

IKEv2 VPN 服务器

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -SALifeTimeSeconds 28800 -MMSALifeTimeSeconds 86400 -SADataSizeForRenegotiationKilobytes 1024000
restart-service RemoteAccess -PassThru

如果需要切换回默认 IKEv2 设置,请使用以下命令:

Set-VpnServerConfiguration -TunnelType IKEv2 -RevertToDefault
restart-service RemoteAccess -PassThru

IKEv2 VPN 客户端

Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force

如果需要切换回默认 IKEv2 设置,请使用以下命令:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -RevertToDefault -Force

提示

如果要配置所有用户 VPN 连接或设备隧道, -AllUserConnection 则必须在 命令中使用 Set-VpnConnectionIPsecConfiguration 参数。