共用方式為


如何設定 IKEv2 VPN 連線的密碼編譯設定

在 IKEv2 VPN 連線中,IKEv2 密碼編譯設定的預設設定為:

  • 加密演算法:DES3
  • 完整性、哈希演算法:SHA1
  • Diffie Hellman 群組 (金鑰大小) :DH2

這些設定對於 IKE 交換並不安全。

若要確保連線安全,請執行 VPN Cmdlet 以更新 VPN 伺服器及用戶端的設定。

VPN 伺服器

對於執行 Windows Server 2012 R2 或更新版本的 VPN 伺服器,您需要執行 Set-VpnServerConfiguration 以設定通道類型。 這些設定適用於所有 IKEv2 VPN 連線。

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy

在舊版 Windows Server 上,執行 Set-VpnServerIPsecConfiguration。 因為 Set-VpnServerIPsecConfiguration 沒有 -TunnelType,所以組態會套用至伺服器上的所有通道類型。

Set-VpnServerIPsecConfiguration -CustomPolicy

VPN 用戶端

對於 VPN 用戶端,您必須設定每個 VPN 連線。 例如,執行 Set-VpnConnectionIPsecConfiguration (4.0 版),然後指定連線的名稱:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String>

IKEv2 密碼編譯設定範例

下列命令會將 IKEv2 密碼編譯設定設定為:

  • 加密演算法:AES128
  • 完整性、哈希演算法:SHA256
  • DiffieMan Group (金鑰大小) :DH14

IKEv2 VPN 伺服器

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -SALifeTimeSeconds 28800 -MMSALifeTimeSeconds 86400 -SADataSizeForRenegotiationKilobytes 1024000
restart-service RemoteAccess -PassThru

如果您需要切換回預設的 IKEv2 設定,請使用此指令:

Set-VpnServerConfiguration -TunnelType IKEv2 -RevertToDefault
restart-service RemoteAccess -PassThru

IKEv2 VPN 用戶端

Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force

如果您需要切換回預設的 IKEv2 設定,請使用此指令:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -RevertToDefault -Force

提示

如果您要設定全使用者 VPN 連線或裝置通道,則必須在 命令中Set-VpnConnectionIPsecConfiguration使用 -AllUserConnection 參數。