# OPNsense IKEv2: Das native VPN für mobile Endgeräte

TL;DR / Management Summary IKEv2 (Internet Key Exchange v2) ist das modernste Protokoll innerhalb des IPsec-Stacks. Sein größter Vorteil ist die Unterstützung von MOBIKE (Wechsel zwischen WLAN und Mobilfunk ohne Verbindungsabbruch) und die native Integration in alle modernen Betriebssysteme (Windows, iOS, macOS, Android). Ein Senior Admin nutzt IKEv2, um Usern ein VPN-Erlebnis ohne die Installation von Drittanbieter-Apps wie OpenVPN oder AnyConnect zu ermöglichen.

# 1. Einführung & Architektur

IPsec für Clients.

Während IPsec Site-to-Site (Artikel 565) zwei Gateways verbindet, nutzt IKEv2 für Roadwarriors den EAP-MSCHAPv2 oder EAP-TLS Standard zur Authentifizierung.

Protokoll: UDP Port 500 und 4500 (NAT-Traversal).
Verschlüsselung: AES-GCM (Hardware-beschleunigt).
Vorteil: Extrem niedriger Akkuverbrauch auf Smartphones im Vergleich zu OpenVPN.

# 2. Einrichtung in der Praxis

In 4 Schritten zum nativen VPN.

# Schritt 1: Zertifikate vorbereiten

IKEv2 benötigt zwingend ein Server-Zertifikat mit dem Hostnamen (FQDN) der Firewall.

Subject Alternative Name (SAN): Muss die öffentliche IP oder den DNS-Namen (z.B. vpn.firma.de) enthalten.

# Schritt 2: Mobile Clients (Phase 1)

VPN -> IPsec -> Mobile Clients.

Backend for Auth: Local Database oder RADIUS.
Virtual Address Pool: 10.60.0.0/24.
DNS Servers: Geben Sie Ihren internen DNS an (Artikel 493).

# Schritt 3: IKEv2 Server (Phase 1 Detail)

Protocol: IKEv2.
My identifier: FQDN (vpn.firma.de).
Authentication: EAP-MSCHAPv2 (User/Passwort) oder Mutual Certificate.

# Schritt 4: Firewall-Regeln

WAN: UDP 500, UDP 4500 und ESP (Protocol 50) erlauben.
IPsec Interface: Traffic ins LAN erlauben.

# 3. Deep Dive: Windows & iOS Konfiguration

Keine App nötig.

# Windows 10/11

Zertifikat der OPNsense CA in den lokalen Speicher “Vertrauenswürdige Stammzertifizierungsstellen” importieren.
Neue VPN-Verbindung anlegen. Typ: IKEv2. Authentifizierung: Benutzername/Kennwort.

# Apple iOS / macOS

Nutzen Sie den Apple Configurator oder generieren Sie ein .mobileconfig Profil aus OPNsense heraus, um das Zertifikat und die Server-URL in einem Rutsch auf das iPhone zu pushen.

# 4. Day-2 Operations: Zertifikats-Lifecycle

Wenn das Vertrauen abläuft.

IKEv2 steht und fällt mit der CA.

Aktion: Überwachen Sie das Ablaufdatum Ihres VPN-Server-Zertifikats.
Wichtig: Wenn das Server-Zertifikat erneuert wird, müssen Clients das neue CA-Zertifikat eventuell neu importieren, falls sich die Root-CA geändert hat.

# 5. Troubleshooting & “War Stories”

Wenn die Einwahl scheitert.

# Top 3 Fehlerbilder

Symptom: Fehler 800 oder 13801 unter Windows.
- Ursache: Das Zertifikat wird vom Client nicht als vertrauenswürdig eingestuft oder der SAN-Eintrag fehlt.
- Lösung: certmgr.msc am Client prüfen.
Symptom: Verbindung bricht nach 10 Minuten ab.
- Ursache: DPD (Dead Peer Detection) Timeouts durch restriktive Router beim Provider.
- Lösung: Lifetime der Phase 1 erhöhen.
Symptom: Android-Clients können nicht verbinden.
- Lösung: Neuere Android-Versionen bevorzugen IKEv2/RSA oder IKEv2/PSK. Prüfen Sie die gewählten Ciphers (Vermeiden Sie 3DES oder MD5).

# “War Story”: Der “Mobile” Office-Schwenk

Ein Admin wechselte von OpenVPN auf IKEv2 für alle Außendienst-Mitarbeiter. Das Ergebnis: Die Helpdesk-Tickets wegen “VPN bricht beim Fahren im Zug ab” sanken um 80%. Dank MOBIKE hielt das Smartphone den Tunnel auch beim Zellenwechsel zwischen LTE-Masten oder beim Einstieg ins Home-WLAN nahtlos offen. Lehre: User-Experience ist ein Sicherheitsfaktor. Ein VPN, das “einfach funktioniert”, wird nicht durch unsichere Schatten-IT (Dropbox, etc.) umgangen.

# 6. Monitoring & Reporting

Mobile Logins auditieren.

# IPsec Status View

VPN -> IPsec -> Status Overview. Hier sehen Sie detailliert:

Welche IP hat der mobile Client bekommen?
Welche Ciphers werden genutzt? (Ziel: AES_GCM_16)

# 7. Fazit & Empfehlung

IKEv2 ist die eleganteste Lösung für gemischte Client-Flotten.

Empfehlung: Nutzen Sie IKEv2 für Windows-Laptops und iPhones.
Wichtig: Nutzen Sie für die User-Authentifizierung das Active Directory via LDAP-Plugin (Artikel 581), um die Passwort-Policies zentral zu steuern.

# Anhang: Cheatsheet

Aufgabe	Pfad
Server Zertifikat	`System -> Trust -> Certificates`
Mobile Config	`VPN -> IPsec -> Mobile Clients`
Auth Logs	`System -> Log-Files -> General (Filter: charon)`
Windows Config	`PowerShell: Add-VpnConnection -Name "Corp" -ServerAddress "..." -TunnelType Ikev2`