如何让H3C路由器架设IKEv2服务器？

Sly

老公让我帮忙问一下：
MSR3610-X1路由器GE3的Dialer3负责PPPoE拨号，获得了广域网IPv4地址、一个60位IPv6前缀和一个IPv6地址。GE0（作为LAN口）分发了64位IPv4前缀和内网IPv4地址。

如何架设一个IKEv2服务器，使得Windows、iOS、安卓等通过IP地址、用户名和密码即可连接，然后访问局域网内的电脑。
不用证书方式，单纯考虑用户名密码方式。

另外如果能支持IPv6就更好了（其他电脑采用广域网IPv6地址连接这个路由器，还能分配一个IPv6的VP-N局域网地址），当然这个不刚需。

不考虑L2TP、PPTP和其他IPsec等方式（主要是现在手机端很多已经放弃支持了）。

thereone

是要用这个h3c路由器架设**吗？还是用其它的设备。用h3c的话那就看看产品文档，不是的话那再说。

chainofhonor

目前最方便的V P N 是wireguard
看看你这个路由器支不支持

各个厂家都有自己独有的V P N方式
然后各个节点之间都要用同一个厂家的设备

Sly

chainofhonor 发表于 2025-1-17 00:24
目前最方便的V P N 是wireguard
看看你这个路由器支不支持

重新梳理了问题

nn1122

chainofhonor 发表于 2025-1-17 00:24
目前最方便的V P N 是wireguard
看看你这个路由器支不支持

国内大部分品牌路由均不支持wg

nn1122

从安全层面考虑，威皮恩最好支持2FA/MFA双重多因子验证，我用open威皮恩搞定，附效果视频

Charles-Lee

路由器要是支持wg，用起来就很舒服了

Jerryhze

ipsec ikev2应该大部分客户端和路由器都支持的，就看路由器是不是好设置了

BH1PXK

https://www.h3c.com/cn/d_202501/2339916_30005_0.htm 16-IP隧道及安全V0PN配置指导

chip_discovery

Charles-Lee 发表于 2025-1-17 08:44
路由器要是支持wg，用起来就很舒服了

wg的缺点就是，如果在外电脑开了小猫咪，wg回家就没法正常使用，openv*p*n就不影响

loseblue

看什么H3C路由器，中低端的不支持IKEv2 IPSec,  给你指几条我常用的方案：
1.局域网有NAS或者服务器的话，可以安装安装Centos 部署OCSERV  (SSL V-P-N)或者Strongswan (IKEv2 IPSec)
2.飞塔防火墙，FG60E, FG60F都可以，支持SSL和IKEv2, 超方便
3.思科ASA, 二手很便宜，支持SSL和IKEv2 IPSec, 也很方便
其他的OpenV-P-N不推荐，性能差，一般用SSL和IPSec的多，性能好，OCSERV支持TLS1.3，安全性能又好，支持证书和账号密码认证

tedaz

纯密码的vxn目前新的安卓和苹果都不支持了。必须使用证书。
放弃吧。

ZeroYe

chip_discovery 发表于 2025-1-17 09:26
wg的缺点就是，如果在外电脑开了小猫咪，wg回家就没法正常使用，openv*p*n就不影响 ...

小猫咪的内核时支持WG的，直接把家里的WG添加到小猫咪的配置里，设置家里的网段走WG就可以了。

chip_discovery

ZeroYe 发表于 2025-1-17 13:57
小猫咪的内核时支持WG的，直接把家里的WG添加到小猫咪的配置里，设置家里的网段走WG就可以了。 ...

是我在公司的电脑一直开小猫咪，偶尔想开wg回家不行。得先关了小猫咪再用，

yan1990_y

型号都不说，咋整啊

Sly

yan1990_y 发表于 2025-1-17 14:54
型号都不说，咋整啊

不好意思

icg3000f-dp 等效于msr3610-x1

mpls

配置比较麻烦，不太好用。

yan1990_y

Sly 发表于 2025-1-17 19:49
不好意思

icg3000f-dp 等效于msr3610-x1

我看前面有人把官网文档发了

messia

路由器官网都有设置文档啊，路由器支持什么就用什么

sevastian

openxxx对于移动设备功耗不友好，我平时都是用wg连回家

shanzcx

我用的ubnt的路由器，内置的IKEv2 IPSec，很容易配置成功。