Er IKEv2 det samme som IPsec?

Nej — IKEv2 er nøgleudvekslingsprotokollen; IPsec er den protokol, der krypterer og autentificerer pakker ved hjælp af de nøgler, IKEv2 er forhandlet. De løber næsten altid sammen. Når nogen siger 'IKEv2 VPN', mener de, at IKEv2 laver håndtrykket, og IPsec udfører den faktiske datakryptering.

Hvorfor er IKEv2 så populær på iPhone og Mac?

Tre grunde. For det første er det den eneste protokol, Apple sender indbygget support til, så det fungerer uden tredjepartsapps. For det andet lader MOBIKE (IKEv2 Mobility og Multihoming-udvidelsen) en tunnel overleve netværksswitches - din VPN genopretter problemfri forbindelse, når du går fra Wi-Fi til mobilnetværk. For det tredje har kerneimplementeringen meget lav batteridræning sammenlignet med brugerrumsalternativer som OpenVPN.

Kan IKEv2 fungere gennem firewalls?

Ja, i de fleste tilfælde. IKEv2 bruger UDP-porte 500 og 4500. Port 500 er standarden; 4500 bruges automatisk, når NAT detekteres via NAT-Traversal. Hvis et netværk blokerer al UDP, vil IKEv2 ikke virke - det er scenariet, hvor OpenVPN-TCP/443 vinder, fordi det kan forklædes som HTTPS.

Moderne IKEv2-konfigurationer - AES-256-GCM, Curve25519 eller store Diffie-Hellman-grupper, certifikatbaseret godkendelse, EAP for brugere - er sikre. Logjam-undersøgelsen i 2015 viste, at ældre konfigurationer, der bruger 1024-bit Diffie-Hellman gruppe 2, var inden for rækkevidde af angribere på statsniveau, men moderne implementeringer undgår denne gruppe fuldstændigt. Undgå foruddelte nøgler med lav entropi; bruge certifikater i stedet.

Er IKEv2 hurtigere end WireGuard?

Normalt nej. WireGuard er typisk hurtigere på den samme hardware på grund af dens mindre, mere moderne kryptografiske stak. IKEv2 lukker hullet på avancerede servere med AES-NI hardwareacceleration. For mobilbrugere, hvor batteri og roaming betyder mere end maksimal gennemstrømning, gør IKEv2's MOBIKE-udvidelse og effektivitet på kerneniveau det til det bedre valg.

IKEv2 forklaret: VPN-protokollen Din iPhone taler allerede

IKEv2 er VPN-protokollen, der leveres indbygget i iOS, macOS, Windows og de fleste virksomhedsfirewalls. Det er standard "native VPN" overalt - ingen tredjepartsapp er nødvendig - og guldstandarden for altid-aktiverede mobile VPN-konfigurationer. Dette er den tekniske forklaring: hvordan det virker, hvorfor det skinner på mobilen, hvor det stadig taber til WireGuard, og hvornår det skal vælges.

Hele artiklens krop findes på engelsk nedenfor.

Hvad IKEv2 er

Internet Key Exchange version 2 (IKEv2) er den protokol, der bruges til at forhandle krypteringsnøglerne til en IPsec-tunnel. De to går sammen - når nogen siger "IKEv2 VPN", mener de, at IKEv2 håndterer håndtrykket og nøgleudvekslingen, hvor IPsec udfører selve pakkekrypteringen øverst.

Den originale IKE-protokol blev sendt i november 1998 (RFC 2407–2409). IKEv2 dukkede op som en større omskrivning i december 2005 (RFC 4306), og blev hævet til fuld internetstandardstatus i oktober 2014 med RFC 7296. Det har været en stabil, velforstået standard lige siden. problemer:

Interoperabilitet mareridt. Otte forskellige indledende udvekslingsmekanismer (hovedtilstand, aggressiv tilstand, med/uden PFS, certifikat vs PSK osv.). Leverandører implementerede forskellige undersæt inkonsekvent. At forbinde Cisco til Juniper til Fortinet krævede rutinemæssigt ingeniører, der kunne læse pakkeoptagelser.
Ttofaset arkitektur. Fase 1 oprettede den sikre kanal; Fase 2 forhandlede den faktiske SA. Seks plus rundrejser, før nogen brugerdata kunne flyde. Slow.
Dead Peer Detection chaos. Hver leverandør implementerede hjerteslag forskelligt. Endepunkter med teknisk korrekte konfigurationer ville stille undlader at opdage tunneldød og bare stoppe forbipasserende trafik.

What IKEv2 fixed

Single fire-message exchange. Begge peers autentificerer og er enige om en Child of fire-meddelelse. ~2 rundrejser ende-til-ende. Hurtigere opstart, mindre reb at hænge dig i.

Sekvensnumre og pålidelighed. IKEv2-pakker er eksplicit nummererede. Protokollen håndterer retransmission, duplikatdetektion og fejlgendannelse deterministisk. IKEv1's opførsel, da pakker blev droppet, var "håb på det bedste."

NAT-Traversal indbygget. IKEv2 registrerer automatisk NAT i begge ender og skifter til UDP-indkapsling på port 4500 transparent. IKEv1 havde brug for NAT-T som en valgfri udvidelse, som leverandører implementerede sporadisk.

Indbygget DoS-modstand. Før den dyre Diffie–Hellman-beregning udføres, kan IKEv2 kræve, at rekvirenten gentager en tilstandsløs cookie. En angriber kan ikke udtømme serverens CPU ved at sprøjte forfalskede indledende pakker.

EAP authentication. Native support for Extensible Authentication Protocol betyder, at IKEv2 kan integreres med LDAP, RADIUS, moderne brugernavn/password og smart-kort. Virksomheder elsker dette.

MOBIKE — den mobile-VPN superpower

RFC 4555 (MOBIKE — IKEv2 Mobility and Multihoming) er den dræbende funktion for mobile brugere. Med MOBIKE følger en IKEv2-tunnel enheden på tværs af netværk. At gå fra dit kontors Wi-Fi til elevatorens cellulære døde zone til lobbyen Wi-Fi taber ikke VPN - tunnelen opdaterer bare den ydre IP og holder den indre session i live.

Dette er grunden til, at alle større mobilenhedsadministrationsplatforme (Apple Business Manager, Microsoft Intune, Microsoft Intune, JAMF, Workspace ONE2) altid bruger IKE-VPN-profiler. Du trykker på profilen én gang, enheden håndterer enhver netværksovergang problemfrit, og brugeren ser aldrig en afbrydelse.

Cryptography

IKEv2 forhandler chiffer fra disse standardiserede muligheder:

XPLZ60ZX12X:AXPLZ-12X:AXPLZ-12X:AXPLZ-12X, AES-256-GCM, ChaCha20-Poly1305 (moderne); AES-CBC-varianter (ældre kompatibilitet).
Hashing: SHA-256, SHA-384, SHA-512.
Diffie–Hellman: Curve25up 319 (Nurve25) P-256/384/521, modulære grupper 2048–8192.
Authentication: PSK, RSA / ECDSA / EdDSA X.509-certifikater, EAP-metoder.

NSA/Logjam-spørgsmålet

Logjam-forskningen fra 2015 foreslog, at 1024-bit Diffie-Hell-grupper var inden for rækkevidde af angrebsgrupper fra DH-stater via 2-mandsgrupper. forudberegning, og at dette kunne kompromittere IPsec VPN'er, der bruger disse grupper. Ca. 66 % af de målte VPN-servere brugte gruppe 2 på det tidspunkt.

Afhjælpningen er ligetil: brug en større gruppe. Moderne IKEv2-installationer som standard til gruppe 14 (2048-bit) som minimum eller til elliptiske kurvegrupper (Curve25519, P-256), der ikke er sårbare over for de samme forudberegningsangreb. Hvis du konfigurerer en IKEv2-server i dag, er gruppe 31 (Curve25519) den rigtige standard.

Hvor IKEv2 leveres indbygget

iOS / iPadOS / macOS: fra VPN2-klienten taler IecKEv-boksen IecKEv. Konfigurer via profil (.mobileconfig-fil). MDM-administreret, altid tændt fungerer upåklageligt.
Windows 7+: IKEv2 understøttes indbygget som "VPN Reconnect" / Agile VPN. Windows 10/11 leverer moderne krypto som standard.
Android: indbygget IKEv2-klient tilføjet i Android 12. Ældre versioner bruger strongSwan-appen til IKEv2-forbindelser — som er fremragende, men tredjeparts. Libreswan og OpenBSD's iked er de vigtigste implementeringer. Alle aktivt vedligeholdt.

IKEv2 vs WireGuard vs OpenVPN

vs WireGuard: WireGuard er mindre, hurtigere og har en for dårlig sikkerhed. IKEv2 er universelt forudinstalleret og har MOBIKE mobil-roaming-superkraften. For altid-på-mobil vinder IKEv2 stadig. For den hurtigste rågennemstrømning vinder WireGuard.
vs OpenVPN: IKEv2 kører i kernen og er hurtigere. OpenVPN-TCP/443 kan forklædes som HTTPS og glide forbi DPI. For restriktive netværk, OpenVPN. For alt andet er IKEv2 hurtigere og lettere.
vs L2TP/IPsec: L2TP/IPsec tilføjer et unødvendigt tunnelingslag. Moderne OS-klienter taler alle bare IKEv2/IPsec, hvilket er strengt taget bedre.

Hvornår skal du vælge IKEv2 i 2026

Du konfigurerer altid-på-VPN på en flåde af iPhones/iPads/Macs via MDM. IKEv2 er den eneste fornuftige standard.
Du bygger en fjernadgangs-VPN til en virksomhed og vil have indbygget klientsupport uden at distribuere tredjepartsapps.
Du vil have det laveste batteriforbrug på mobilen under tung VPN-brug. IKEv2's kerneimplementering er svær at slå.
Du laver en site-to-site VPN mellem to firewalls, der begge taler IKEv2 rent (næsten alle af dem gør).

Hvornår skal du vælge noget andet: vælg WireGuard for ren hastighed på et normalt netværk eller 4VPN-netværk. Kør vores leak test efter enhver konfigurationsændring for at bekræfte, at tunnelen gør sit job.

Ofte stillede spørgsmål

Er IKEv2 det samme som IPsec?: Nej — IKEv2 er nøgleudvekslingsprotokollen; IPsec er den protokol, der krypterer og autentificerer pakker ved hjælp af de nøgler, IKEv2 er forhandlet. De løber næsten altid sammen. Når nogen siger 'IKEv2 VPN', mener de, at IKEv2 laver håndtrykket, og IPsec udfører den faktiske datakryptering.
Hvorfor er IKEv2 så populær på iPhone og Mac?: Tre grunde. For det første er det den eneste protokol, Apple sender indbygget support til, så det fungerer uden tredjepartsapps. For det andet lader MOBIKE (IKEv2 Mobility og Multihoming-udvidelsen) en tunnel overleve netværksswitches - din VPN genopretter problemfri forbindelse, når du går fra Wi-Fi til mobilnetværk. For det tredje har kerneimplementeringen meget lav batteridræning sammenlignet med brugerrumsalternativer som OpenVPN.
Kan IKEv2 fungere gennem firewalls?: Ja, i de fleste tilfælde. IKEv2 bruger UDP-porte 500 og 4500. Port 500 er standarden; 4500 bruges automatisk, når NAT detekteres via NAT-Traversal. Hvis et netværk blokerer al UDP, vil IKEv2 ikke virke - det er scenariet, hvor OpenVPN-TCP/443 vinder, fordi det kan forklædes som HTTPS.
Er IKEv2 sikker?: Moderne IKEv2-konfigurationer - AES-256-GCM, Curve25519 eller store Diffie-Hellman-grupper, certifikatbaseret godkendelse, EAP for brugere - er sikre. Logjam-undersøgelsen i 2015 viste, at ældre konfigurationer, der bruger 1024-bit Diffie-Hellman gruppe 2, var inden for rækkevidde af angribere på statsniveau, men moderne implementeringer undgår denne gruppe fuldstændigt. Undgå foruddelte nøgler med lav entropi; bruge certifikater i stedet.
Er IKEv2 hurtigere end WireGuard?: Normalt nej. WireGuard er typisk hurtigere på den samme hardware på grund af dens mindre, mere moderne kryptografiske stak. IKEv2 lukker hullet på avancerede servere med AES-NI hardwareacceleration. For mobilbrugere, hvor batteri og roaming betyder mere end maksimal gennemstrømning, gør IKEv2's MOBIKE-udvidelse og effektivitet på kerneniveau det til det bedre valg.