Ipsec
SonicWall 上的 IKEv2 DH 組
我正在為 SonicWall 防火牆上的 IPsec VPN 設置制定內部標準,並且我一直在學習 IKEv2。選擇 IKEv2“模式”時,UI 會禁用 DH 組、加密和身份驗證欄位,並且我在文件的任何地方都找不到使用的值。IKEv2 是否有某種機制可以將這些欄位協商到“最高公分母”?如果沒有,我會在星期一打電話給技術支持。
IKEv2 是否有某種機制可以將這些欄位協商到“最高公分母”?
好吧,IKEv2 允許發起者列出哪些 DH 組、加密算法和身份驗證算法(以及其他),以及哪些組合;然後響應者從該列表中選擇將使用的內容。它實際上非常靈活(DH 組除外;這有點笨拙,因為發起者必須選擇一個“主要的”,如果響應者不喜歡它,它需要列出它真正想要的 DH 組,我們與該組進行另一次往返)。
現在,發起者按優先順序列出事物(例如,首先列出它希望的加密算法),並且響應者應該尊重該順序。IKE 協議本身沒有內置邏輯表明,例如,AES-GCM 比 ChaCha20 更好(或更差);這是由發起人決定的事情。
選擇 IKEv2“模式”時,UI 會禁用 DH 組、加密和身份驗證欄位,並且我在文件的任何地方都找不到使用的值。
這絕對應該是可變的和記錄的;如果你想出一個讓每個人都開心的單一政策似乎不太可能。
你用的是6.2嗎?如果是這樣,請查看如何在 SonicOS 6.2 及更高版本中使用 IKE2 動態客戶端建議設置站點到站點 VPN
注意:菜單“DH Group”、“Encryption”和“Authentication”將灰顯,因為General選項卡中的“IPsec Primary Gateway Name or Address”填寫為“0.0.0.0”或留空。它們將在第 3 步中進行配置。