Visão geral
Ao tentar conectar o Kerio Control a outros gateways VPN (Azure, Comcast, Mikrotik, etc) através de um túnel seguro, o Kerio Control precisa de uma configuração específica para ser habilitado. 

Os Gateways VPN remotos suportam apenas o protocolo IKEv2.


Este artigo descreve o procedimento para habilitar o IKEv2 para Kerio Control 9.3 e posterior.


Solução


As diferentes maneiras de habilitar esse suporte são fornecidas abaixo:
• Habilite IKEv2 editando um arquivo de configuração
• Habilite apenas IKEv2 usando o cliente de banco de dados Tiny
• Habilite IKEv1 e IKEv2 usando o cliente de banco de dados Tiny


Habilite IKEv2 editando um arquivo de configuração


1. Faça login no Kerio Control via SSH.

2. Abra o arquivo /var/winroute/winroute.cfg. Você pode usar o editor Nano ou Vim. Os comandos são:

a. nano /var/winroute/winroute.cfg
b. vi /var/winroute/winroute.cfg


3. Localize a tabela Firewall e altere a variável IKEVersion de ikev1 para ikev2.



4. Salve as alterações. No editor Nano, clique em CTRL + O para escrever a modificação. Pressione Enter para salvar o arquivo.


5. Reinicie o processo principal do Winroute executando o seguinte comando:

/etc/boxinit.d/60winroute restart 



Habilite apenas IKEv2 usando o cliente de banco de dados Tiny


1. Faça login no Kerio Control via SSH. 


2. Execute: /opt/kerio/winroute/tinydbclient "update Firewall set IKEVersion=ikev2" 


3. Execute /etc/boxinit.d/60winroute restart - isso reiniciará seu Kerio Control e eliminará todas as conexões atuais.



Habilite IKEv1 e IKEv2 usando o cliente de banco de dados Tiny 


Isso requer a configuração do parâmetro IKEVersion apenas como ike. Isso usará IKEv2 para inicialização, mas habilitará IKEv1 e IKEv2 ao responder. Abaixo estão as etapas para o mesmo:


1. Faça login no Kerio Control via SSH. 


2. Execute: /opt/kerio/winroute/tinydbclient "update Firewall set IKEVersion=ike" 


3. Execute /etc/boxinit.d/60winroute restart - isso reiniciará seu Kerio Control e eliminará todas as conexões atuais.



Testando


Kerio Control agora está habilitado para suportar IKEv2. As mudanças são refletidas no arquivo de configuração IPSec /etc/ipsec.conf. O valor do parâmetro keyexchange no arquivo será definido como ikev2 ou ike de acordo com o método selecionado anteriormente.



Observação: 


O transporte VPN IKEv2 no Kerio Control não é totalmente suportado, pois requer um plug-in extra EAP-PEAP para autenticar os usuários no Kerio Control e, em seguida, atribuir-lhes um IP. O plug-in atual funciona com IKEv1 porque suporta PPP, enquanto o IKEv2 não. Dispositivos iOS requerem autenticação EAP que não é suportada.