IKEv2 és el mateix que IPsec?

No — IKEv2 és el protocol d'intercanvi de claus; IPsec és el protocol que xifra i autentica paquets mitjançant les claus negociades IKEv2. Quasi sempre corren junts. Quan algú diu "IKEv2 VPN", vol dir que IKEv2 fa l'encaixada de mans i IPsec que fa el xifratge de dades real.

Per què IKEv2 és tan popular a iPhone i Mac?

Tres motius. En primer lloc, és l'únic protocol per al qual Apple ofereix suport natiu, de manera que funciona sense aplicacions de tercers. En segon lloc, MOBIKE (l'extensió IKEv2 Mobility and Multihoming) permet que un túnel sobrevisqui als commutadors de xarxa: la vostra VPN es torna a connectar perfectament quan passeu de Wi-Fi a mòbil. En tercer lloc, la implementació del nucli té un consum de bateria molt baix en comparació amb alternatives d'espai d'usuari com OpenVPN.

Pot IKEv2 funcionar amb tallafocs?

Sí, en la majoria dels casos. IKEv2 utilitza els ports UDP 500 i 4500. El port 500 és l'estàndard; 4500 s'utilitza automàticament quan es detecta NAT mitjançant NAT-Traversal. Si una xarxa bloqueja tot UDP, IKEv2 no funcionarà; aquest és l'escenari on guanya OpenVPN-TCP/443 perquè es pot disfressar d'HTTPS.

Les configuracions modernes d'IKEv2 (AES-256-GCM, Curve25519 o grans grups Diffie-Hellman, autenticació basada en certificats, EAP per als usuaris) són segures. La investigació de Logjam el 2015 va demostrar que les configuracions més antigues que utilitzaven el grup 2 de Diffie-Hellman de 1024 bits estaven a l'abast dels atacants a nivell estatal, però els desplegaments moderns eviten aquest grup completament. Eviteu les claus precompartides amb baixa entropia; utilitzar certificats en lloc d'això.

IKEv2 és més ràpid que WireGuard?

Normalment no. WireGuard sol ser més ràpid amb el mateix maquinari a causa de la seva pila criptogràfica més petita i més moderna. IKEv2 tanca la bretxa dels servidors de gamma alta amb l'acceleració de maquinari AES-NI. Per als usuaris mòbils on la bateria i la itinerància importen més que el màxim rendiment, l'extensió MOBIKE d'IKEv2 i l'eficiència a nivell del nucli la converteixen en la millor opció.

IKEv2 explicat: el protocol VPN que el vostre iPhone ja parla

IKEv2 és el protocol VPN que s'envia integrat a iOS, macOS, Windows i la majoria dels tallafocs empresarials. És la "VPN nativa" per defecte a tot arreu (no cal cap aplicació de tercers) i l'estàndard d'or per a les configuracions de VPN mòbils sempre activades. Aquesta és l'explicació tècnica: com funciona, per què brilla al mòbil, on encara perd davant WireGuard i quan triar-la.

El cos complet de l'article es proporciona en anglès a continuació.

Què és IKEv2

Internet Key Exchange versió 2 (IKEv2) és el protocol utilitzat per negociar les claus de xifratge per a un túnel IPsec. Tots dos van junts: quan algú diu "IKEv2 VPN", vol dir que IKEv2 gestiona l'encaixada de mans i l'intercanvi de claus, amb IPsec fent el xifratge real de paquets a la part superior.

El protocol IKE original es va enviar el novembre de 1998 (RFC 2407–2409). IKEv2 va sorgir com una reescriptura important el desembre de 2005 (RFC 4306) i es va elevar a l'estat d'Internet complet a l'octubre de 2014 amb RFC 7296. Des d'aleshores, ha estat un estàndard estable i ben entès.

Què estava malament amb IKEv1

XPLZ8, però n'havien funcionat tres. problemes:

Malson d'interoperabilitat. Vuit mecanismes d'intercanvi inicial diferents (mode principal, mode agressiu, amb/sense PFS, certificat vs PSK, etc.). Els venedors van implementar diferents subconjunts de manera inconsistent. La connexió de Cisco a Juniper a Fortinet requeria habitualment enginyers que poguessin llegir les captures de paquets.
Arquitectura de dues fases. La fase 1 va configurar el canal segur; La fase 2 va negociar el SA real. Més de sis viatges d'anada i tornada abans que les dades dels usuaris poguessin fluir. Slow.
Caos de detecció d'iguals morts. Cada proveïdor va implementar els batecs del cor de manera diferent. Els punts finals amb configuracions tècnicament correctes no detectaran silenciosament la mort del túnel i deixarien de passar el trànsit.

Què s'ha solucionat IKEv2

Intercanvi únic de quatre missatges. Els dos companys s'autentiquen i acorden una ronda de missatges Child SA. ~2 viatges d'anada i tornada de punta a punta. Inici més ràpid, menys corda per penjar-se.

Números de seqüència i fiabilitat. Els paquets IKEv2 estan numerats explícitament. El protocol gestiona la retransmissió, la detecció de duplicats i la recuperació d'errors de manera determinista. El comportament d'IKEv1 quan es van caure els paquets era "l'esperança del millor".

NAT-Traversal incorporat. IKEv2 detecta automàticament NAT a cada extrem i canvia a l'encapsulació UDP al port 4500 de manera transparent. L'IKEv1 necessitava NAT-T com a extensió opcional que els venedors implementaven esporàdicament.

Resistència DoS incorporada. Abans de fer el càlcul Diffie–Hellman car, IKEv2 pot requerir que el sol·licitant faci ressò d'una galeta sense estat. Un atacant no pot esgotar la CPU del servidor ruixant paquets inicials falsificats. Autenticació

EAP. El suport natiu per al protocol d'autenticació extensible significa que IKEv2 es pot integrar amb LDAP, RADIUS, targetes intel·ligents i fluxos moderns de nom d'usuari/contrasenya. A les empreses els encanta.

MOBIKE: la superpotència de VPN per a mòbils

RFC 4555 (MOBIKE: IKEv2 Mobility and Multihoming) és la característica principal per als usuaris mòbils. Amb MOBIKE, un túnel IKEv2 segueix el dispositiu a través de les xarxes. Caminar des del Wi-Fi de l'oficina fins a la zona morta de l'ascensor fins al vestíbul El Wi-Fi no deixa caure la VPN: el túnel només actualitza la IP exterior i manté viva la sessió interior.

Per això totes les principals plataformes de gestió de dispositius mòbils (Apple Business Manager, Microsoft Intune, JAMF, perfils Workspace IKE 2 VPN) sempre utilitzen. Empènyer el perfil una vegada, el dispositiu gestiona totes les transicions de xarxa sense problemes i l'usuari mai veu una desconnexió.

Cryptography

IKEv2 negocia xifratge d'aquestes opcions estandarditzades:

Encryption:-EnX8:- AES-256-GCM, ChaCha20-Poly1305 (modern); Variants AES-CBC (compatibilitat heretada).
Hashing: SHA-256, SHA-384, SHA-512.
Diffie–Hellman: Curve25519 (grup P81/25),/NIST3, modular 3/25 grups 2048–8192.
Autenticació: certificats PSK, RSA / ECDSA / EdDSA X.509, mètodes EAP.

Els desplegaments moderns utilitzen l'autenticació AES-256DH5519 i el certificat d'autenticació. Eviteu les claus pre-compartides per a qualsevol cosa que no sigui estrictament interna: són vulnerables als atacs de diccionari fora de línia si l'entropia és baixa. i que això podria comprometre les VPN IPsec utilitzant aquests grups. Aproximadament el 66% dels servidors VPN mesurats utilitzaven el grup 2 en aquell moment.

La mitigació és senzilla: utilitzeu un grup més gran. Els desplegaments moderns d'IKEv2 per defecte al grup 14 (2048 bits) com a mínim o a grups de corba el·líptica (Curve25519, P-256) que no són vulnerables als mateixos atacs de precomputació. Si esteu configurant un servidor IKEv2 avui, el grup 31 (Curve25519) és l'opció predeterminada correcta.

On IKEv2 s'envia de manera nativa

iOS / iPadOS / macOS: el client VPN natiu parla IKEv2 des de la caixa del client VPN/IPsec. Configurar mitjançant perfil (fitxer .mobileconfig). La funció sempre activada gestionada per MDM funciona perfectament.
Windows 7+: IKEv2 s'admet de manera nativa com a "VPN Reconnect" / Agile VPN. Windows 10/11 ofereix criptografia moderna per defecte.
Android: client IKEv2 natiu afegit a Android 12. Les versions anteriors utilitzen l'aplicació strongSwan per a connexions IKEv2, que és excel·lent però de tercers. Libreswan i OpenBSD's iked són les principals implementacions. Tot es manté activament.

IKEv2 vs WireGuard vs OpenVPN

vs WireGuard: WireGuard és més petit, més ràpid i té una seguretat formal. IKEv2 està preinstal·lat universalment i té la superpotència d'itinerància mòbil MOBIKE. Per al mòbil sempre en funcionament, IKEv2 encara guanya. Per obtenir un rendiment en brut més ràpid, guanya WireGuard.
vs OpenVPN: IKEv2 s'executa al nucli i és més ràpid. OpenVPN-TCP/443 es pot disfressar d'HTTPS i passar per DPI. Per a xarxes restrictives, OpenVPN. Per a la resta, IKEv2 és més ràpid i lleuger.
vs L2TP/IPsec: L2TP/IPsec afegeix una capa de túnel innecessària. Tots els clients del sistema operatiu modern parlen IKEv2/IPsec nu, que és estrictament millor.

Quan escolliu IKEv2 el 2026

Esteu configurant una VPN sempre activa en una flota d'iPhones/iPads/Macs mitjançant MDM. IKEv2 és l'únic predeterminat raonable.
Esteu creant una VPN d'accés remot per a una empresa i voleu assistència de client nativa sense distribuir aplicacions de tercers.
Voleu el consum de bateria més baix al mòbil durant un ús intens de VPN. La implementació del nucli d'IKEv2 és difícil de superar.
Esteu fent una VPN d'un lloc a un altre entre dos tallafocs que parlen IKEv2 de manera neta (gairebé tots ho fan).

Quan escolliu una altra cosa: trieu WireGuard per a una connexió residencial molt ràpida, o oberta per a una velocitat restrictiva o 4VPN3 normal. xarxes. Executeu la nostra leak test després de qualsevol canvi de configuració per confirmar que el túnel està fent la seva feina.

Preguntes freqüents

IKEv2 és el mateix que IPsec?: No — IKEv2 és el protocol d'intercanvi de claus; IPsec és el protocol que xifra i autentica paquets mitjançant les claus negociades IKEv2. Quasi sempre corren junts. Quan algú diu "IKEv2 VPN", vol dir que IKEv2 fa l'encaixada de mans i IPsec que fa el xifratge de dades real.
Per què IKEv2 és tan popular a iPhone i Mac?: Tres motius. En primer lloc, és l'únic protocol per al qual Apple ofereix suport natiu, de manera que funciona sense aplicacions de tercers. En segon lloc, MOBIKE (l'extensió IKEv2 Mobility and Multihoming) permet que un túnel sobrevisqui als commutadors de xarxa: la vostra VPN es torna a connectar perfectament quan passeu de Wi-Fi a mòbil. En tercer lloc, la implementació del nucli té un consum de bateria molt baix en comparació amb alternatives d'espai d'usuari com OpenVPN.
Pot IKEv2 funcionar amb tallafocs?: Sí, en la majoria dels casos. IKEv2 utilitza els ports UDP 500 i 4500. El port 500 és l'estàndard; 4500 s'utilitza automàticament quan es detecta NAT mitjançant NAT-Traversal. Si una xarxa bloqueja tot UDP, IKEv2 no funcionarà; aquest és l'escenari on guanya OpenVPN-TCP/443 perquè es pot disfressar d'HTTPS.
IKEv2 és segur?: Les configuracions modernes d'IKEv2 (AES-256-GCM, Curve25519 o grans grups Diffie-Hellman, autenticació basada en certificats, EAP per als usuaris) són segures. La investigació de Logjam el 2015 va demostrar que les configuracions més antigues que utilitzaven el grup 2 de Diffie-Hellman de 1024 bits estaven a l'abast dels atacants a nivell estatal, però els desplegaments moderns eviten aquest grup completament. Eviteu les claus precompartides amb baixa entropia; utilitzar certificats en lloc d'això.
IKEv2 és més ràpid que WireGuard?: Normalment no. WireGuard sol ser més ràpid amb el mateix maquinari a causa de la seva pila criptogràfica més petita i més moderna. IKEv2 tanca la bretxa dels servidors de gamma alta amb l'acceleració de maquinari AES-NI. Per als usuaris mòbils on la bateria i la itinerància importen més que el màxim rendiment, l'extensió MOBIKE d'IKEv2 i l'eficiència a nivell del nucli la converteixen en la millor opció.