💅🏾 🔣 👩🏽‍💻 لماذا أحب IKEv2 أكثر من شبكات VPN الأخرى 🎲 💂🏼 🛰️

يقوم الجميع الآن بإعداد VPN للموظفين البعيدين. يؤلمني مشاهدة كيفية تثبيت الأشخاص لبرامج عربات التي تجرها الدواب البشعة ، وتكوين نوع من الشهادات ، وتثبيت برامج تشغيل TUN / TAP والقيام بالعديد من العمليات المعقدة ، في حين أن الحل الأفضل مدمج بالفعل في نظام التشغيل.

IKEv2 هو بروتوكول VPN حديث طورته Microsoft و Cisco. يتم استخدامه بشكل افتراضي لاتصالات VPN الجديدة في Windows و macOS و iOS. إنه أسرع وأكثر أمانًا من معظم بروتوكولات VPN ويمكن تكوينه بسهولة على جانب العميل بنقرتين دون استخدام برامج خارجية.

أعتقد أن IPsec IKEv2 رائع ليس فقط لتوصيل الخوادم ، ولكن أيضًا لاتصالات المستخدم النهائي VPN العادية. في هذا المنشور ، سأحاول إقناعك باستخدام IPsec IKEv2 للمستخدمين المنزليين العاديين بدلاً من OpenVPN.

IKEv2 بشكل أسرع

جميع الأشياء متساوية ، IKEv2 سيكون دائمًا أسرع من OpenVPN. يمكن ملاحظة ذلك بشكل خاص على الأنظمة منخفضة الطاقة ذات الذاكرة البطيئة ، مثل أجهزة التوجيه أو أجهزة الكمبيوتر ذات اللوحة الواحدة.

والحقيقة هي أن IPsec يعمل في سياق نواة نظام التشغيل ، و OpenVPN في سياق المستخدم (مساحة المستخدمين) ، وتؤدي معالجة كل حزمة إلى تبديل السياق بين عمليات النواة وعمليات المستخدم. يؤثر هذا على كل من الإنتاجية ووقت الاستجابة.

^{مقارنة التأخيرات لبروتوكولات VPN المختلفة.}

توضح لقطة الشاشة أعلاه الفرق في التأخير بمقدار النصف بين IPsec و OpenVPN. بالطبع ، من المستحيل ملاحظة الفرق بمقدار 1 مللي ثانية ، ولكن مع وجود حمل على النظام ، يمكن أن تختلف هذه القيم بشكل كبير. بالإضافة إلى ذلك ، تعتمد المؤشرات الحقيقية بشدة على خصائص نظام معين ، لذلك لن أعطي أرقامًا مطلقة لمقارنة البروتوكولين. التأخيرات مهمة جدًا عند استخدام الصوت والفيديو عبر VPN.

وفقًا لمشاعري الذاتية ، يعمل IKEv2 على نظام التشغيل Windows 10 بشكل أكثر استجابة بشكل ملحوظ من OpenVPN. بعد كل شيء ، يختلف الاستخدام الفعلي لجهاز كمبيوتر سطح المكتب تمامًا عن الاختبارات الاصطناعية لبروتوكولات VPN. الحمل على المعالج والذاكرة ليس ثابتًا ، يمكن للمستخدم تشغيل البرامج الصعبة ، كل هذا سيؤثر على الأداء.

تكوين IKEv2 أسهل

تدعم جميع أنظمة التشغيل الحديثة (باستثناء Android) IPsec IKEv2 فور إخراجها من العلبة. لا حاجة لتثبيت أي برامج ، برامج تشغيل افتراضية TUN / TAP ، إلخ. تأتي جميع إدارة VPN من قائمة النظام.

في الوقت نفسه ، يمكن تبسيط التكوين على العميل إلى ثلاثة أسطر:

المجال - بالنسبة إلى IPsec ، يلزم وجود مجال ، حيث يتم إصدار شهادة SSL له
تسجيل الدخول
كلمه السر

لم تعد بحاجة إلى نقل الملفات ذات الشهادات والمفاتيح إلى العميل ، وإجباره على استيراد شهادات الجذر إلى مخزن النظام. يكفي اسم المستخدم وكلمة المرور ، وسيكون الاتصال آمنًا تمامًا كما هو الحال في OpenVPN عند استخدام الشهادات ، لأن الاتصال يستخدم نفس شهادة x.509 كما هو الحال مع مواقع الويب التي تستخدم HTTPS.

الإعداد في Windows 10

يتم استدعاء معالج إعداد VPN من قائمة اتصال WiFi. يمكن للمستخدم من أي مؤهل التعامل مع إعداد نافذة واحدة. يتم تنشيط الاتصال الذي تم إنشاؤه من القائمة بقائمة شبكات WiFi.

^{واجهة لتكوين اتصال IKEv2 جديد في Windows 10}

إعداد MacOS

macOS IKEv2 10.11 (El Capitan). .

. .

, . «Server Address» IP- , «Remote ID», DNS-, .

/etc/ipsec.secrets

إعداد IOS

iOS , mobileconfig.

macOS:

-> VPN -> VPN

IKEv2 آمن

في الخطوة السابقة ، اكتشفنا أن تسجيل الدخول وكلمة المرور كافية لتكوين الاتصال. ولكن كيف يمكن للعميل التحقق من أن الاتصال لم يتم استغلاله ، وأن البيانات لا يتم استبدالها ، وأن الخادم هو بالفعل من يدعي أنه؟ لهذا ، يتم استخدام شهادات SSL العادية ، التي اعتدنا على استخدامها لمواقع الويب و HTTPS.

يقوم العميل بتثبيت نفق SSL آمن مع الخادم ، ويتم بالفعل إرسال كلمة مرور تسجيل الدخول داخله. بشكل افتراضي ، في Windows و macOS ، يتم استخدام خوارزمية mschapv2 لإرسال كلمة المرور. وهكذا ، بمساعدة شهادة SSL ، يتحقق العميل من صحة الخادم ، وباستخدام كلمة مرور تسجيل الدخول ، يتحقق الخادم من صحة العميل.

يمكن لخادم IKEv2 استخدام نفس الشهادة مع خادم ويب ، على سبيل المثال من Let's Encrypt المشهور. هذا يبسط إلى حد كبير إدارة الشهادة.

يتم استخدام نفس النموذج في OpenVPN ، وإذا رغبت في ذلك ، يمكنك استخدام شهادة من Lets Encrypt في ذلك ، ومع ذلك ، على أي حال ، سيحتاج المسؤول إلى نقل الملف إلى المستخدم لتكوين VPN.

تكوين خادم IKEv2

يمكنك نشر خادم IKEv2 الخاص بك في غضون دقيقتين باستخدام البرامج النصية للتثبيت الآلي أو باستخدام حاويات جاهزة. لا يُنصح باستخدام عامل الإرساء ، حيث أن النظام الفرعي لشبكته يقلل من أداء IPsec بمعدلات VPS رخيصة. يمكنك أيضًا تكوين خادم IKEv2 يدويًا ، وهناك مقالات على Habré مع أمثلة لإعدادات خادم Strongswan .

سنستخدم أحد أنجح نصوص التكوين التلقائي github.com/jawj/IKEv2-setup
هذا البرنامج النصي جيد لأنه يستخدم شهادات من Lets Encrypt ويقوم تلقائيًا بإنشاء شهادة صالحة.

الخطوة 1: اختيار الخادم

لبدء خادم VPN ، نحتاج إلى VDS. سوف تفعل أبسط التكوين مع جوهر معالج واحد. يتم اختبار البرنامج النصي من مثالنا بشكل أفضل على Ubuntu 18.04 ، لذلك عند إنشاء الخادم ، حدد صورة نظام التشغيل هذه.

نحن في انتظار انتهاء تثبيت الخادم ونسخ تفاصيل الاتصال. سيتم إرسال كلمة مرور الجذر إلى البريد ، أو يمكن تعيينها يدويًا من خلال واجهة الويب. بعد ذلك ، نقوم بإدخال جميع الأوامر

الخطوة 2: تثبيت Strongswan

نحن متصلون من قبل عميل SSH وتشغيل البرنامج النصي للتثبيت:

#     IKEv2 
wget https://raw.githubusercontent.com/jawj/IKEv2-setup/master/setup.sh
chmod u+x setup.sh
./setup.sh
....
#      IP- 
#   sslip.io     
Hostname for VPN: 123-45-67-89.sslip.io
#   VPN
VPN username: coolguy
#  
VPN password (no quotes, please):
....
#     SSH-,    .

الخطوة 3: إعداد العميل

يجب الآن استخدام تفاصيل مستخدم VPN التي تم إدخالها للتكوين على العميل. من المهم استخدام اسم المجال الذي أدخلته في Hostname لـ VPN بالضبط .

الخطوة 4: إضافة مستخدمين جدد

لإضافة مستخدم جديد إلى خادم تم إنشاؤه بالفعل ، قم بتحرير الملف /etc/ipsec.sectes.

# nano /etc/ipsec.secrets
123-45-67-89.sslip.io : RSA "privkey.pem"
coolguy : EAP "C00lPassword"
badguy : EAP "bAdP$$word"

بعد إضافة المستخدم ، قم بتشغيل الأمر ipsec secrets بحيث يقوم Strongswan بإعادة قراءة التكوين.

استنتاج

لقد راجعنا تجربة مستخدم IKEv2. إدارة مثل هذا الخادم ليست أكثر تعقيدًا ، وأحيانًا أسهل من OpenVPN. إذا كنت تخطط فقط لتنظيم الوصول عن بعد لموظفيك ، فاحرص على التطلع نحو IKEv2. لا تجبر المستخدمين على تثبيت البرامج غير الضرورية إذا كان كل ما تحتاجه موجودًا بالفعل على أجهزة الكمبيوتر الخاصة بهم. إنه أكثر ملاءمة وأمانًا وأكثر تقدمًا.

لماذا أحب IKEv2 أكثر من شبكات VPN الأخرى