Apakah IKEv2 sama dengan IPsec?

Tidak — IKEv2 adalah protokol pertukaran kunci; IPsec adalah protokol yang mengenkripsi dan mengautentikasi paket menggunakan kunci yang dinegosiasikan IKEv2. Mereka hampir selalu berlari bersama. Ketika seseorang mengatakan 'IKEv2 VPN', yang mereka maksud adalah IKEv2 yang melakukan jabat tangan dan IPsec melakukan enkripsi data sebenarnya.

Mengapa IKEv2 begitu populer di iPhone dan Mac?

Tiga alasan. Pertama, ini adalah satu-satunya protokol yang didukung oleh Apple, sehingga dapat berfungsi tanpa aplikasi pihak ketiga. Kedua, MOBIKE (ekstensi Mobilitas dan Multihoming IKEv2) memungkinkan terowongan bertahan dari peralihan jaringan — VPN Anda terhubung kembali dengan mulus saat Anda berjalan dari Wi-Fi ke seluler. Ketiga, implementasi kernel memiliki konsumsi baterai yang sangat rendah dibandingkan dengan alternatif ruang pengguna seperti OpenVPN.

Bisakah IKEv2 bekerja melalui firewall?

Ya, dalam banyak kasus. IKEv2 menggunakan port UDP 500 dan 4500. Port 500 adalah standarnya; 4500 digunakan secara otomatis ketika NAT terdeteksi melalui NAT-Traversal. Jika suatu jaringan memblokir semua UDP, IKEv2 tidak akan berfungsi — itulah skenario di mana OpenVPN-TCP/443 menang karena dapat menyamar sebagai HTTPS.

Konfigurasi IKEv2 modern — AES-256-GCM, Curve25519 atau grup besar Diffie-Hellman, autentikasi berbasis sertifikat, EAP untuk pengguna — aman. Penelitian Logjam pada tahun 2015 menunjukkan bahwa konfigurasi lama yang menggunakan Diffie-Hellman grup 2 1024-bit berada dalam jangkauan penyerang tingkat negara bagian, namun penerapan modern menghindari kelompok tersebut sepenuhnya. Hindari kunci yang dibagikan sebelumnya dengan entropi rendah; gunakan sertifikat sebagai gantinya.

Apakah IKEv2 lebih cepat dari WireGuard?

Biasanya tidak. WireGuard biasanya lebih cepat pada perangkat keras yang sama karena tumpukan kriptografinya yang lebih kecil dan modern. IKEv2 menutup kesenjangan pada server kelas atas dengan akselerasi perangkat keras AES-NI. Untuk pengguna seluler yang baterai dan roamingnya lebih penting daripada throughput puncak, ekstensi MOBIKE IKEv2 dan efisiensi tingkat kernel menjadikannya pilihan yang lebih baik.

Penjelasan IKEv2: Protokol VPN yang Sudah Digunakan iPhone Anda

IKEv2 adalah protokol VPN yang dikirimkan ke iOS, macOS, Windows, dan sebagian besar firewall perusahaan. Ini adalah "VPN asli" default di mana pun — tidak diperlukan aplikasi pihak ketiga — dan standar terbaik untuk konfigurasi VPN seluler yang selalu aktif. Inilah penjelasan teknisnya: cara kerjanya, mengapa ia unggul di perangkat seluler, di mana ia masih kalah dari WireGuard, dan kapan harus memilihnya.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

Apa itu IKEv2

Internet Key Exchange versi 2 (IKEv2) adalah protokol yang digunakan untuk menegosiasikan kunci enkripsi untuk terowongan IPsec. Keduanya berjalan bersamaan — ketika seseorang mengatakan "IKEv2 VPN", maksudnya IKEv2 menangani jabat tangan dan pertukaran kunci, dengan IPsec melakukan enkripsi paket sebenarnya di atasnya.

Protokol IKE asli dikirimkan pada bulan November 1998 (RFC 2407–2409). IKEv2 muncul sebagai penulisan ulang besar-besaran pada bulan Desember 2005 (RFC 4306), dan ditingkatkan ke status Standar Internet penuh pada bulan Oktober 2014 dengan RFC 7296. Ini menjadi standar yang stabil dan dipahami dengan baik sejak saat itu.

Apa yang salah dengan IKEv1

IKEv1 berfungsi tetapi memiliki tiga yang nyata masalah:

Interoperabilitas mimpi buruk. Delapan mekanisme pertukaran awal yang berbeda (mode utama, mode agresif, dengan/tanpa PFS, sertifikat vs PSK, dll.). Vendor menerapkan subset yang berbeda secara tidak konsisten. Menghubungkan Cisco ke Juniper ke Fortinet secara rutin membutuhkan insinyur yang dapat membaca tangkapan paket.
Arsitektur dua fase. Fase 1 menyiapkan saluran aman; Fase 2 menegosiasikan SA yang sebenarnya. Enam kali lebih perjalanan bolak-balik sebelum data pengguna dapat mengalir. Lambat.
Kekacauan Deteksi Rekan Mati. Setiap vendor menerapkan detak jantung secara berbeda. Titik akhir dengan konfigurasi yang benar secara teknis akan gagal mendeteksi kematian terowongan dan menghentikan lalu lintas yang lewat.

Apa yang diperbaiki IKEv2

Pertukaran empat pesan tunggal. Kedua rekan mengautentikasi dan menyetujui SA Anak dalam satu putaran yang terdiri dari empat pesan. ~2 perjalanan pulang pergi dari ujung ke ujung. Startup lebih cepat, lebih sedikit tali untuk digantung.

Nomor urut dan keandalan.Paket IKEv2 diberi nomor secara eksplisit. Protokol menangani transmisi ulang, deteksi duplikat, dan pemulihan kesalahan secara deterministik. Perilaku IKEv1 ketika paket dijatuhkan adalah "harapan untuk yang terbaik."

NAT-Traversal bawaan. IKEv2 secara otomatis mendeteksi NAT di kedua ujung dan beralih ke enkapsulasi UDP pada port 4500 secara transparan. IKEv1 memerlukan NAT-T sebagai ekstensi opsional yang diimplementasikan oleh vendor secara sporadis.

Resistensi DoS bawaan. Sebelum melakukan komputasi Diffie–Hellman yang mahal, IKEv2 dapat mengharuskan pemohon untuk melakukan echo back cookie stateless. Penyerang tidak dapat menghabiskan CPU server dengan menyemprotkan paket awal yang dipalsukan. Otentikasi

EAP. Dukungan asli untuk Protokol Otentikasi yang Dapat Diperluas berarti IKEv2 dapat berintegrasi dengan LDAP, RADIUS, kartu pintar, dan aliran nama pengguna/kata sandi modern. Perusahaan menyukai ini.

MOBIKE — kekuatan super VPN seluler

RFC 4555 (MOBIKE — IKEv2 Mobility dan Multihoming) adalah fitur mematikan bagi pengguna seluler. Dengan MOBIKE, terowongan IKEv2 mengikuti perangkat melintasi jaringan. Berjalan dari Wi-Fi kantor Anda ke zona mati seluler elevator ke lobi Wi-Fi tidak menghilangkan VPN — terowongan hanya memperbarui IP luar dan menjaga sesi dalam tetap hidup.

Inilah sebabnya setiap platform manajemen perangkat seluler utama (Apple Business Manager, Microsoft Intune, JAMF, Workspace ONE) menggunakan IKEv2 untuk profil VPN yang selalu aktif. Anda menekan profil satu kali, perangkat akan menangani setiap transisi jaringan dengan lancar, dan pengguna tidak akan pernah melihat pemutusan sambungan.

Kriptografi

IKEv2 menegosiasikan sandi dari opsi standar berikut:

Encryption: AES-128-GCM, AES-256-GCM, ChaCha20-Poly1305 (modern); Varian AES-CBC (kompatibilitas lama).
Hashing: SHA-256, SHA-384, SHA-512.
Diffie–Hellman: Curve25519 (grup 31), NIST P-256/384/521, grup modular 2048–8192.
Authentication: sertifikat PSK, RSA / ECDSA / EdDSA X.509, metode EAP.

Penerapan modern menggunakan AES-256-GCM dengan Curve25519 ECDH dan autentikasi sertifikat. Hindari kunci yang dibagikan sebelumnya untuk apa pun yang tidak sepenuhnya bersifat internal — kunci tersebut rentan terhadap serangan kamus offline jika entropinya rendah.

Pertanyaan NSA / Logjam

Penelitian Logjam tahun 2015 menyarankan grup Diffie–Hellman 1024-bit (grup DH 2) berada dalam jangkauan penyerang tingkat negara bagian melalui perhitungan awal, dan hal ini dapat membahayakan IPsec VPN yang menggunakan grup tersebut. Sekitar 66% server VPN yang diukur menggunakan grup 2 pada saat itu.

Mitigasinya mudah: gunakan kelompok yang lebih besar. Penerapan IKEv2 modern ditetapkan secara default ke grup 14 (2048-bit) minimal atau ke grup kurva elips (Curve25519, P-256) yang tidak rentan terhadap serangan pra-komputasi yang sama. Jika Anda mengonfigurasi server IKEv2 saat ini, grup 31 (Curve25519) adalah default yang tepat.

Di mana IKEv2 dikirimkan secara asli

iOS / iPadOS / macOS: klien VPN asli langsung mengucapkan IKEv2/IPsec. Konfigurasikan melalui profil (file .mobileconfig). Selalu aktif yang dikelola MDM bekerja dengan sempurna.
Windows 7+: IKEv2 didukung secara asli sebagai "VPN Reconnect" / Agile VPN. Windows 10/11 mengirimkan kripto modern secara default.
Android: klien IKEv2 asli ditambahkan di Android 12. Versi yang lebih lama menggunakan aplikasi strongSwan untuk koneksi IKEv2 — yang sangat bagus namun merupakan pihak ketiga.
Linux / BSD: strongSwan, Libreswan, dan Kesukaan OpenBSD adalah implementasi utama. Semua dipelihara secara aktif.

IKEv2 vs WireGuard vs OpenVPN

vs WireGuard: WireGuard lebih kecil, lebih cepat, dan memiliki bukti keamanan formal. IKEv2 sudah diinstal sebelumnya secara universal dan memiliki kekuatan super roaming seluler MOBIKE. Untuk perangkat seluler yang selalu aktif, IKEv2 tetap menang. Untuk throughput mentah tercepat, WireGuard menang.
vs OpenVPN: IKEv2 berjalan di kernel dan lebih cepat. OpenVPN-TCP/443 dapat menyamar sebagai HTTPS dan melewati DPI. Untuk jaringan terbatas, OpenVPN. Di sisi lain, IKEv2 lebih cepat dan ringan.
vs L2TP/IPsec: L2TP/IPsec menambahkan lapisan terowongan yang tidak diperlukan. Klien OS modern semuanya menggunakan IKEv2/IPsec, yang mana lebih baik.

Kapan memilih IKEv2 pada tahun 2026

Anda mengonfigurasi VPN yang selalu aktif di armada iPhone/iPad/Mac melalui MDM. IKEv2 adalah satu-satunya default yang masuk akal.
Anda sedang membuat VPN akses jarak jauh untuk perusahaan dan menginginkan dukungan klien asli tanpa mendistribusikan aplikasi pihak ketiga.
Anda ingin menguras baterai paling sedikit di perangkat seluler selama penggunaan VPN berat. Implementasi kernel IKEv2 sulit dikalahkan.
Anda melakukan VPN situs-ke-situs di antara dua firewall yang keduanya menggunakan IKEv2 dengan jelas (hampir semuanya melakukannya).

Kapan memilih yang lain: pilih WireGuard untuk kecepatan tinggi pada koneksi perumahan normal, atau OpenVPN-TCP/443 untuk jaringan terbatas. Jalankan leak test kami setelah perubahan konfigurasi apa pun untuk mengonfirmasi bahwa terowongan melakukan tugasnya.

Pertanyaan yang sering diajukan

Apakah IKEv2 sama dengan IPsec?: Tidak — IKEv2 adalah protokol pertukaran kunci; IPsec adalah protokol yang mengenkripsi dan mengautentikasi paket menggunakan kunci yang dinegosiasikan IKEv2. Mereka hampir selalu berlari bersama. Ketika seseorang mengatakan 'IKEv2 VPN', yang mereka maksud adalah IKEv2 yang melakukan jabat tangan dan IPsec melakukan enkripsi data sebenarnya.
Mengapa IKEv2 begitu populer di iPhone dan Mac?: Tiga alasan. Pertama, ini adalah satu-satunya protokol yang didukung oleh Apple, sehingga dapat berfungsi tanpa aplikasi pihak ketiga. Kedua, MOBIKE (ekstensi Mobilitas dan Multihoming IKEv2) memungkinkan terowongan bertahan dari peralihan jaringan — VPN Anda terhubung kembali dengan mulus saat Anda berjalan dari Wi-Fi ke seluler. Ketiga, implementasi kernel memiliki konsumsi baterai yang sangat rendah dibandingkan dengan alternatif ruang pengguna seperti OpenVPN.
Bisakah IKEv2 bekerja melalui firewall?: Ya, dalam banyak kasus. IKEv2 menggunakan port UDP 500 dan 4500. Port 500 adalah standarnya; 4500 digunakan secara otomatis ketika NAT terdeteksi melalui NAT-Traversal. Jika suatu jaringan memblokir semua UDP, IKEv2 tidak akan berfungsi — itulah skenario di mana OpenVPN-TCP/443 menang karena dapat menyamar sebagai HTTPS.
Apakah IKEv2 aman?: Konfigurasi IKEv2 modern — AES-256-GCM, Curve25519 atau grup besar Diffie-Hellman, autentikasi berbasis sertifikat, EAP untuk pengguna — aman. Penelitian Logjam pada tahun 2015 menunjukkan bahwa konfigurasi lama yang menggunakan Diffie-Hellman grup 2 1024-bit berada dalam jangkauan penyerang tingkat negara bagian, namun penerapan modern menghindari kelompok tersebut sepenuhnya. Hindari kunci yang dibagikan sebelumnya dengan entropi rendah; gunakan sertifikat sebagai gantinya.
Apakah IKEv2 lebih cepat dari WireGuard?: Biasanya tidak. WireGuard biasanya lebih cepat pada perangkat keras yang sama karena tumpukan kriptografinya yang lebih kecil dan modern. IKEv2 menutup kesenjangan pada server kelas atas dengan akselerasi perangkat keras AES-NI. Untuk pengguna seluler yang baterai dan roamingnya lebih penting daripada throughput puncak, ekstensi MOBIKE IKEv2 dan efisiensi tingkat kernel menjadikannya pilihan yang lebih baik.