Ikev2 vpn mac os

ProtonVPN macOS manual IKEv2 VPN setup

Note: We have released a ProtonVPN app for macOS! If your device uses macOS version 10.12 and above, you can download the ProtonVPN macOS app . The tutorial for our macOS app is here . With the ProtonVPN macOS app, you can connect to ProtonVPN directly without any additional setups.

You can also connect to the ProtonVPN servers by either using TunnelBlick (it uses OpenVPN), or connect manually via IKEv2 protocol.

The manual connection won’t have additional features and this connection method is only available on Mac OS X 10.11 (El Capitan) or newer macOS versions.

MacOS IKEv2 VPN setup for ProtonVPN

1. Download ProtonVPN IKEv2 certificate and open it from your Downloads folder: https://protonvpn.com/download/ProtonVPN_ike_root.der

2. If you are using macOS 10.13.x, the certificate will be added automatically. Otherwise, click on Add in order to add it to the keychain.

3. Right click on ProtonVPN Root CA certificate and then click on Get Info.

4. At this step, it’s enough to select Use Custom Settings and Always Trust only the IP Security (IPsec) for the ProtonVPN connection. Enter your Mac password when prompted and close the keychain window.

5. Open System Preferences and then open Network.

6. In the Network window, click on the Plus icon at the bottom-left corner.

7. A new network setup window will appear. Select VPN in the Interface field, IKEv2 in the VPN Type field, name Service however you like and click Create.

8. You will be prompted to enter server information. In the Server Address and Remote ID fields, type in the hostname of the server you wish to connect to (for example us-nj-01.protonvpn.com). Server hostnames can be found in the Downloads category in your account, under Server Configs section. Each server is named according to its server number and first two letters: https://account.protonvpn.com/downloads

9. Click on the Authentication Settings… and enter your OpenVPN/IKEv2 credentials, you can check them in the Account section: https://account.protonvpn.com/settings. Afterward, click OK.

10. Click Connect and Apply once this screen is prompted.

11. You should get connected now. You can disconnect from the Network screen or VPN status bar at the top right of your screen.

Related articles:
ProtonVPN macOS OpenVPN setup
ProtonVPN iOS IKEv2 manual setup

Источник

Настройка IKEv2 VPN соединения на macOS

Выберите логотип Apple и затем Системные настройки.

Выполните следующие шаги:

1. Нажмите на знак +
2. Выберите VPN
3. Выберите IKEv2
4. Введите любое название подключения
5. Нажмите Создать

В разделе Подписки посмотрите домены IKEv2 VPN серверов, Логин и Пароль VPN.

Выполните следующие шаги:

1. Укажите домен IKEv2 VPN сервера
2. Аналогично пункту 1
3. Нажмите Настройки аутентификации

1. Аутентификация через Имя пользователя
2. Логин VPN
3. Пароль VPN

1. Поставьте галку Показывать статус VPN в строке меню
2. Подключитесь к VPN серверу

VPN подключение успешно установлено.

Также можно подключиться к VPN из верхнего меню.

Источник

Ikev2 vpn mac os

IKEv2 на сегодняшний день считается самым безопасным протоколом подключения, принцип его настройки похож на L2TP.

Если у вас уже есть тестовый или премиум код доступа, введите его на странице VPN
и нажмите Подключиться, далее в личном кабинете выберите Компьютер > Mac OS > IKEv2

Откройте Системные настройки > Сеть далее нажмите на «+» (в нижней части окна) и у вас появится окно.
Во всплывающем окне вам нужно указать:
Интерфейс — выберите VPN ;
Тип VPN — выберите IKEv2 ;
Имя службы можете поставить произвольное описание.

После того как вы нажмёте Создать , у вас появится еще одно всплывающие окно в котором так же необходимо заполнить данные для подключения. Для этого зайдите в личный кабинет и введите ваш код, выберитеа Компьютер > MacOS > IKEv2.
Адрес сервера (адрес сервера из общего списка серверов)
Удаленный ID (указываем тоже что и в разделе адрес сервера)
Локальный ID (поле оставляем пустым)

После того как вы все указали, нажимаем на кнопку Настройка аутентификации и вводим:
Имя пользователя — Ваш код доступа;
Пароль — указываем ваши данные (пароль по умолчанию служит ваша почта, на которую вы приобретали покупку);
Нажимаем на Применить и после Подключиться .

После подключения, открываем страницу в браузере и проверяем изменился ли IP адрес. Если IP-адрес изменился,
значит вы все сделали правильно и VPN корректно работает.

Если вы не смогли самостоятельно подключиться или возникли трудности, напишите нам.

Инструкции использования сервиса: VPN , MacOS

Ответы на самые частые вопросы пользователей > Подключение через IKEv2 для пользователей услуги VPN.

Источник

Почему я люблю IKEv2 больше других VPN

Сейчас все вокруг настраивают VPN для удаленных сотрудников. Мне больно смотреть, как люди устанавливают монструозные глючные программы, настраивают какие-то сертификаты, устанавливают драйвера TUN/TAP и делают множество сложных операций, в то время как лучшее решение уже встроено в операционную систему.

IKEv2 — это современный протокол VPN, разработанный Microsoft и Cisco. Он используется по умолчанию для новых VPN-подключений в Windows, macOS, iOS. Он быстрее и безопаснее большинства VPN-протоколов и может легко настраиваться на стороне клиента в два клика без использования сторонних программ.

Я считаю, что IPsec IKEv2 отлично подходит не только для соединения серверов, но и для обычных VPN-подключений конечных пользователей. В этом посте я постараюсь убедить вас использовать IPsec IKEv2 для обычных домашних пользователей вместо OpenVPN.

IKEv2 быстрее

При прочих равных условиях, IKEv2 будет всегда быстрее OpenVPN. Это особенно заметно на маломощных системах с медленной памятью, например на роутерах или одноплатных компьютерах.

Дело в том, что IPsec работает в контексте ядра операционной системы, а OpenVPN в контексте пользователя (userspace), и на обработку каждого пакета происходит переключение контекста между процессами ядра и процессами пользователя. Это влияет как на пропускную способность, так и на задержки.

Сравнение задержек для разных протоколов VPN.

Скриншот выше показывает разницу в задержке в два раза между IPsec и OpenVPN. Разумеется, разницу в 1мс невозможно заметить на глаз, но при нагрузке на систему эти значения могут значительно изменяться. Кроме того, реальные показатели сильно зависят от характеристик конкретной системы, поэтому я не буду приводить абсолютные цифры для сравнения двух протоколов. Задержки очень важны при использовании голосовой и видеосвязи через VPN.

По моим субъективным ощущениям IKEv2 на Windows 10 работает заметно отзывчивее чем OpenVPN. Ведь реальное использование десктопного компьютера сильно отличается от синтетических тестов VPN-протоколов. Нагрузка на процессор и память непостоянная, пользователь может запускать ресурсоемкие программы, все это будет влиять на показатели.

IKEv2 проще в настройке

Все современные операционные системы (кроме Android) поддерживают IPsec IKEv2 прямо из коробки. Не нужно устанавливать никакие программы, драйвера виртуальных адаптеров TUN/TAP и прочее. Всё управление VPN происходит из системного меню.

При этом настройку на клиенте можно упростить до трех строчек:

• Домен — для IPsec домен обязателен, так как для него выпускается SSL-сертификат
• логин
• пароль

Не нужно больше передавать клиенту файлы с сертификатами и ключами, заставлять его импортировать корневые сертификаты в системное хранилище. Достаточно логина и пароля, при этом соединение будет так же надежно защищено, как и в OpenVPN при использовании сертификатов, ведь для установки соединения используется такой же x.509 сертификат, как и для веб-сайтов с HTTPS.

Настройка на Windows 10

Мастер настройки VPN вызывается из меню подключения к WiFi. С настройкой одного окна справится пользователь любой квалификации. Созданное подключение активируется из меню со списком WiFi-сетей.

Интерфейс настройки нового IKEv2 подключения в Windows 10

В macOS поддерживается IKEv2 начиная с версии 10.11 (El Capitan). Создание подключения происходит через меню настроек сети.

Добавляем новое подключение. В качестве имени подключения задаем любое произвольное имя.

Для проверки подлинности сертификата, нужно указать доменное имя. При этом в поле «Server Address» можно указать IP-адрес сервера, а домен только в «Remote ID», тогда для подключения не будет выполняться DNS-резолв, и оно будет происходить чуть быстрее.

Логин и пароль пользователя указываем из файла /etc/ipsec.secrets

Настройку iOS можно выполнить вручную через мастер, но намного удобнее использовать профиль автоконфигурации mobileconfig.

Ручная настройка по смыслу аналогична десктопной macOS:

Настройки -> VPN -> Добавить конфигурацию VPN

IKEv2 это безопасно

На предыдущем шаге мы выяснили, что для настройки подключения достаточно логина и пароля. Но как клиенту проверить, что подключение не прослушивается, не подменяются данные и сервер действительно тот, за кого себя выдает? Для этого используются обычные SSL-сертификаты, которые мы привыкли использовать для веб-сайтов и HTTPS.

Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

Сервер IKEv2 может использовать один и тот же сертификат вместе с веб-сервером, например от популярного Let’s Encrypt. Это сильно упрощает управлением сертификатами.

Такая же модель используется в OpenVPN, и при желании в нем можно использовать сертификат от Lets Encrypt, однако администратору в любом случае потребуется передать пользователю файл для настройки VPN.

Настраиваем IKEv2 сервер

Развернуть свой IKEv2 сервер можно за пару минут с помощью скриптов автоматической установки или используя готовые контейнеры. Использовать docker не рекомендуется, так как его сетевая подсистема снижает производительность IPsec на дешевых тарифах VPS. Вы также можете настроить IKEv2-сервер вручную, на Хабре есть статьи с примерами настройки сервера Strongswan.

Мы будем использовать один из наиболее удачных вариантов скриптов автонастройки github.com/jawj/IKEv2-setup
Этот скрипт хорош тем, что использует сертификаты от Lets Encrypt и автоматически генерирует валидный сертификат.

Шаг 1: Выбор сервера

Для запуска VPN сервера нам потребуется VDS. Подойдет самая простая конфигурация с одним ядром процессора. Скрипт из нашего примера лучше всего протестирован на Ubuntu 18.04, поэтому при создании сервера выбираем этот образ ОС.

Ждем окончания установки сервера и копируем реквизиты для подключения. Пароль root придет на почту, либо его можно задать вручную через веб-интервейс. Далее все команды мы вводим

Шаг 2: Установка Strongswan

Подключаемся SSH-клиентом и запускаем скрипт установки:

Шаг 3: Настройка клиента

Введенные реквизиты пользователя VPN теперь нужно использовать для настройки на клиенте. Важно использовать именно то доменное имя, которое вы вводили в Hostname for VPN.

Шаг 4: Добавление новых пользователей

Чтобы добавить нового пользователя в уже созданный сервер, отредактируйте файл /etc/ipsec.sectes.

После добавления пользователя выполните команду ipsec secrets чтобы Strongswan перечитал конфиг.

Заключение

Мы рассмотрели удобство IKEv2 со стороны пользователя. Администрирование такого сервера не сложнее, а иногда даже проще чем OpenVPN. Если вы только планируете организовать удаленный доступ для своих сотрудников, обязательно посмотрите в сторону IKEv2. Не заставляйте своих пользователей устанавливать лишние программы, если все необходимое уже есть на их компьютере. Это удобнее, безопаснее и намного прогрессивнее.

Источник