在 IKEv2 VPN 連線中,IKEv2 密碼編譯設定的預設設定為:
- 加密演算法:DES3
- 完整性、哈希演算法:SHA1
- Diffie Hellman 群組 (金鑰大小) :DH2
這些設定對於 IKE 交換並不安全。
若要確保連線安全,請執行 VPN Cmdlet 以更新 VPN 伺服器及用戶端的設定。
VPN 伺服器
對於執行 Windows Server 2012 R2 或更新版本的 VPN 伺服器,您需要執行 Set-VpnServerConfiguration 以設定通道類型。 這些設定適用於所有 IKEv2 VPN 連線。
Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy
在舊版 Windows Server 上,執行 Set-VpnServerIPsecConfiguration。 因為 Set-VpnServerIPsecConfiguration 沒有 -TunnelType,所以組態會套用至伺服器上的所有通道類型。
Set-VpnServerIPsecConfiguration -CustomPolicy
VPN 用戶端
對於 VPN 用戶端,您必須設定每個 VPN 連線。 例如,執行 Set-VpnConnectionIPsecConfiguration (4.0 版),然後指定連線的名稱:
Set-VpnConnectionIPsecConfiguration -ConnectionName <String>
IKEv2 密碼編譯設定範例
下列命令會將 IKEv2 密碼編譯設定設定為:
- 加密演算法:AES128
- 完整性、哈希演算法:SHA256
- DiffieMan Group (金鑰大小) :DH14
IKEv2 VPN 伺服器
Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -SALifeTimeSeconds 28800 -MMSALifeTimeSeconds 86400 -SADataSizeForRenegotiationKilobytes 1024000
restart-service RemoteAccess -PassThru
如果您需要切換回預設的 IKEv2 設定,請使用此指令:
Set-VpnServerConfiguration -TunnelType IKEv2 -RevertToDefault
restart-service RemoteAccess -PassThru
IKEv2 VPN 用戶端
Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force
如果您需要切換回預設的 IKEv2 設定,請使用此指令:
Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -RevertToDefault -Force
提示
如果您要設定全使用者 VPN 連線或裝置通道,則必須在 命令中Set-VpnConnectionIPsecConfiguration使用 -AllUserConnection 參數。