Ist IKEv2 dasselbe wie IPsec?

Nein – IKEv2 ist das Schlüsselaustauschprotokoll; IPsec ist das Protokoll, das Pakete mithilfe der von IKEv2 ausgehandelten Schlüssel verschlüsselt und authentifiziert. Sie laufen fast immer zusammen. Wenn jemand „IKEv2 VPN“ sagt, meint er, dass IKEv2 den Handshake übernimmt und IPsec die eigentliche Datenverschlüsselung übernimmt.

Warum ist IKEv2 auf iPhone und Mac so beliebt?

Drei Gründe. Erstens ist es das einzige Protokoll, das Apple nativ unterstützt, sodass es ohne Drittanbieter-Apps funktioniert. Zweitens sorgt MOBIKE (die IKEv2-Mobilitäts- und Multihoming-Erweiterung) dafür, dass ein Tunnel Netzwerkwechsel übersteht – Ihr VPN stellt nahtlos wieder eine Verbindung her, wenn Sie von WLAN auf Mobilfunk umsteigen. Drittens hat die Kernel-Implementierung im Vergleich zu Userspace-Alternativen wie OpenVPN einen sehr geringen Batterieverbrauch.

Kann IKEv2 durch Firewalls hindurch funktionieren?

Ja, in den meisten Fällen. IKEv2 verwendet die UDP-Ports 500 und 4500. Port 500 ist der Standard; 4500 wird automatisch verwendet, wenn NAT über NAT-Traversal erkannt wird. Wenn ein Netzwerk UDP vollständig blockiert, funktioniert IKEv2 nicht – in diesem Szenario gewinnt OpenVPN-TCP/443, weil es sich als HTTPS tarnen kann.

Moderne IKEv2-Konfigurationen – AES-256-GCM, Curve25519 oder große Diffie-Hellman-Gruppen, zertifikatbasierte Authentifizierung, EAP für Benutzer – sind sicher. Die Logjam-Untersuchung aus dem Jahr 2015 zeigte, dass ältere Konfigurationen mit 1024-Bit-Diffie-Hellman-Gruppe 2 für Angreifer auf Landesebene erreichbar waren, moderne Bereitstellungen diese Gruppe jedoch vollständig meiden. Vermeiden Sie vorinstallierte Schlüssel mit geringer Entropie. Verwenden Sie stattdessen Zertifikate.

Ist IKEv2 schneller als WireGuard?

Normalerweise nein. WireGuard ist auf derselben Hardware aufgrund seines kleineren, moderneren kryptografischen Stapels in der Regel schneller. IKEv2 schließt die Lücke auf High-End-Servern mit AES-NI-Hardwarebeschleunigung. Für mobile Benutzer, bei denen Akku und Roaming wichtiger sind als der Spitzendurchsatz, ist IKEv2 mit seiner MOBIKE-Erweiterung und der Effizienz auf Kernel-Ebene die bessere Wahl.

IKEv2 erklärt: Das VPN-Protokoll, das Ihr iPhone bereits spricht

IKEv2 ist das VPN-Protokoll, das in iOS, macOS, Windows und den meisten Unternehmens-Firewalls integriert ist. Es ist überall das standardmäßige „native VPN“ – keine Drittanbieter-App erforderlich – und der Goldstandard für ständig verfügbare mobile VPN-Konfigurationen. Dies ist die technische Erklärung: Wie es funktioniert, warum es auf Mobilgeräten glänzt, wo es noch gegen WireGuard verliert und wann man es wählen sollte.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Was ist IKEv2

Internet Key Exchange Version 2 (IKEv2) ist das Protokoll, das zum Aushandeln der Verschlüsselungsschlüssel für einen IPsec-Tunnel verwendet wird. Die beiden gehören zusammen – wenn jemand „IKEv2 VPN“ sagt, meint er IKEv2, das den Handshake und den Schlüsselaustausch abwickelt, wobei IPsec darüber hinaus die eigentliche Paketverschlüsselung übernimmt.

Das ursprüngliche IKE-Protokoll wurde im November 1998 ausgeliefert (RFC 2407–2409). IKEv2 wurde im Dezember 2005 grundlegend überarbeitet (RFC 4306) und wurde im Oktober 2014 mit RFC 7296 zum vollständigen Internet-Standardstatus erhoben. Seitdem ist es ein stabiler, gut verstandener Standard Probleme:

Interoperabilitäts-Albtraum. Acht verschiedene anfängliche Austauschmechanismen (Hauptmodus, aggressiver Modus, mit/ohne PFS, Zertifikat vs. PSK usw.). Anbieter implementierten unterschiedliche Teilmengen inkonsistent. Für die Verbindung von Cisco mit Juniper und Fortinet waren routinemäßig Techniker erforderlich, die Paketerfassungen lesen konnten. In Phase 2 wurde die eigentliche SA ausgehandelt. Mehr als sechs Hin- und Rückfahrten, bevor Benutzerdaten fließen konnten. Langsam.
Dead Peer Detection Chaos. Jeder Anbieter implementierte Heartbeats unterschiedlich. Endpunkte mit technisch korrekten Konfigurationen würden den Tunneltod stillschweigend nicht erkennen und einfach aufhören, Datenverkehr weiterzuleiten.

XPLZ24 ~2 Hin- und Rückfahrten durchgehend. Schnellerer Start, weniger Seil zum Aufhängen.

Sequenznummern und Zuverlässigkeit. IKEv2-Pakete sind explizit nummeriert. Das Protokoll handhabt Neuübertragung, Duplikaterkennung und Fehlerbehebung deterministisch. Das Verhalten von IKEv1 beim Verwerfen von Paketen war „das Beste hoffen“. IKEv1 benötigte NAT-T als optionale Erweiterung, die von Anbietern sporadisch implementiert wurde.

XPLZ39 Ein Angreifer kann die CPU des Servers nicht durch das Versprühen gefälschter Anfangspakete erschöpfen.

XPLZ43 Unternehmen sind davon begeistert. Mit MOBIKE folgt ein IKEv2-Tunnel dem Gerät über Netzwerke hinweg. Wenn Sie vom WLAN Ihres Büros über die Mobilfunktotzone des Aufzugs bis zur Lobby gehen, wird das VPN nicht unterbrochen – der Tunnel aktualisiert nur die äußere IP und hält die innere Sitzung aufrecht.

XPLZ52 Sie übertragen das Profil einmal, das Gerät verarbeitet jeden Netzwerkübergang nahtlos und der Benutzer sieht nie eine Verbindungsunterbrechung.

XPLZ54 ChaCha20-Poly1305 (modern); AES-CBC-Varianten (Legacy-Kompatibilität).

Hashing : SHA-256, SHA-384, SHA-512 2048–8192.

Authentifizierung: PSK, RSA/ECDSA/EdDSA X.509-Zertifikate, EAP-Methoden.

Moderne Bereitstellungen verwenden AES-256-GCM mit Curve25519 ECDH und Zertifikatauthentifizierung. Vermeiden Sie Pre-Shared Keys für alles, was nicht rein intern ist – sie sind anfällig für Offline-Wörterbuchangriffe, wenn die Entropie niedrig ist.

XPLZ78 VPNs, die diese Gruppen verwenden. Ungefähr 66 % der gemessenen VPN-Server nutzten zu diesem Zeitpunkt Gruppe 2.

Die Abhilfe ist einfach: Verwenden Sie eine größere Gruppe. Moderne IKEv2-Bereitstellungen verwenden standardmäßig mindestens Gruppe 14 (2048-Bit) oder Gruppen mit elliptischen Kurven (Curve25519, P-256), die nicht für dieselben Vorberechnungsangriffe anfällig sind. Wenn Sie heute einen IKEv2-Server konfigurieren, ist Gruppe 31 (Curve25519) die richtige Standardeinstellung.

Wo IKEv2 nativ ausgeliefert wird

XPLZ5 Konfigurieren Sie über das Profil (.mobileconfig-Datei). MDM-verwaltetes Always-On funktioniert einwandfrei.
Windows 7+: IKEv2 wird nativ als „VPN Reconnect“ / Agile VPN unterstützt. Windows 10/11 liefert standardmäßig moderne Kryptowährungen Gefällt mir die Hauptimplementierungen. Alles aktiv gewartet.

IKEv2 vs WireGuard vs OpenVPN IKEv2 ist überall vorinstalliert und verfügt über die MOBIKE-Superpower für mobiles Roaming. Für Always-on-Mobilgeräte gewinnt IKEv2 immer noch. Für den schnellsten Rohdurchsatz gewinnt WireGuard.
vs. OpenVPN: IKEv2 läuft im Kernel und ist schneller. OpenVPN-TCP/443 kann sich als HTTPS tarnen und über DPI hinausgehen. Für restriktive Netzwerke OpenVPN. Für alles andere ist IKEv2 schneller und leichter.
vs. L2TP/IPsec: L2TP/IPsec fügt eine unnötige Tunnelschicht hinzu. Moderne Betriebssystem-Clients sprechen alle reines IKEv2/IPsec, was eindeutig besser ist.
XPLZ41 IKEv2 ist die einzig sinnvolle Standardeinstellung. XPLZ46 Die Kernel-Implementierung von IKEv2 ist kaum zu übertreffen. XPLZ50 Führen Sie nach jeder Konfigurationsänderung unseren -Lecktest durch, um zu bestätigen, dass der Tunnel seine Aufgabe erfüllt.

Häufig gestellte Fragen

Ist IKEv2 dasselbe wie IPsec?: Nein – IKEv2 ist das Schlüsselaustauschprotokoll; IPsec ist das Protokoll, das Pakete mithilfe der von IKEv2 ausgehandelten Schlüssel verschlüsselt und authentifiziert. Sie laufen fast immer zusammen. Wenn jemand „IKEv2 VPN“ sagt, meint er, dass IKEv2 den Handshake übernimmt und IPsec die eigentliche Datenverschlüsselung übernimmt.
Warum ist IKEv2 auf iPhone und Mac so beliebt?: Drei Gründe. Erstens ist es das einzige Protokoll, das Apple nativ unterstützt, sodass es ohne Drittanbieter-Apps funktioniert. Zweitens sorgt MOBIKE (die IKEv2-Mobilitäts- und Multihoming-Erweiterung) dafür, dass ein Tunnel Netzwerkwechsel übersteht – Ihr VPN stellt nahtlos wieder eine Verbindung her, wenn Sie von WLAN auf Mobilfunk umsteigen. Drittens hat die Kernel-Implementierung im Vergleich zu Userspace-Alternativen wie OpenVPN einen sehr geringen Batterieverbrauch.
Kann IKEv2 durch Firewalls hindurch funktionieren?: Ja, in den meisten Fällen. IKEv2 verwendet die UDP-Ports 500 und 4500. Port 500 ist der Standard; 4500 wird automatisch verwendet, wenn NAT über NAT-Traversal erkannt wird. Wenn ein Netzwerk UDP vollständig blockiert, funktioniert IKEv2 nicht – in diesem Szenario gewinnt OpenVPN-TCP/443, weil es sich als HTTPS tarnen kann.
Ist IKEv2 sicher?: Moderne IKEv2-Konfigurationen – AES-256-GCM, Curve25519 oder große Diffie-Hellman-Gruppen, zertifikatbasierte Authentifizierung, EAP für Benutzer – sind sicher. Die Logjam-Untersuchung aus dem Jahr 2015 zeigte, dass ältere Konfigurationen mit 1024-Bit-Diffie-Hellman-Gruppe 2 für Angreifer auf Landesebene erreichbar waren, moderne Bereitstellungen diese Gruppe jedoch vollständig meiden. Vermeiden Sie vorinstallierte Schlüssel mit geringer Entropie. Verwenden Sie stattdessen Zertifikate.
Ist IKEv2 schneller als WireGuard?: Normalerweise nein. WireGuard ist auf derselben Hardware aufgrund seines kleineren, moderneren kryptografischen Stapels in der Regel schneller. IKEv2 schließt die Lücke auf High-End-Servern mit AES-NI-Hardwarebeschleunigung. Für mobile Benutzer, bei denen Akku und Roaming wichtiger sind als der Spitzendurchsatz, ist IKEv2 mit seiner MOBIKE-Erweiterung und der Effizienz auf Kernel-Ebene die bessere Wahl.