راه‌اندازی IKEv2/IPSec VPN در Windows Server راهنمای کامل، امن و سازمانی

اتصال امن از خارج سازمان به منابع داخلی، یکی از مهم‌ترین نیازهای تیم‌های IT، شرکت‌ها و سازمان‌هاست. مخصوصاً وقتی دورکاری، دسترسی شعبه‌ها و ارتباط کارشناسان پشتیبانی در میان باشد. در چنین شرایطی، راه‌اندازی VPN استاندارد با رمزنگاری قوی و پایداری بالا ضروری است.

IKEv2 همراه با IPSec یکی از پایدارترین و امن‌ترین پروتکل‌های VPN است که در سازمان‌های حرفه‌ای استفاده می‌شود. این پروتکل سرعت خوبی دارد، در برابر قطع و وصل شبکه مقاوم است، و به‌صورت Native در Windows, macOS, iOS و Linux پشتیبانی می‌شود.

در این راهنما، قدم‌به‌قدم نحوه ایجاد یک IKEv2 VPN Server روی Windows Server 2019/2022 را توضیح می‌دهیم:

• نصب نقش‌های لازم
• ایجاد Root CA سازمانی (Internal CA)
• تولید و انتشار گواهی‌های ارتباطی
• پیکربندی Routing و NAT
• تست اتصال در ویندوز و موبایل
• رفع خطاهای رایج

هدف ما این است که بدون کاهش امنیت، یک اتصال پایدار و تمیز راه‌اندازی کنید.

چرا IKEv2؟

پیش‌نیازها

پورت‌های لازم روی فایروال

UDP 500
UDP 4500
Protocol 50 (ESP)

۱. نصب نقش Remote Access و Routing

در Server Manager:

1. Add Roles and Features
2. انتخاب Remote Access
3. فعال کردن DirectAccess and VPN (RAS)
4. فعال کردن Routing

پس از نصب، سرویس را اجرا کنید:

Install-WindowsFeature RemoteAccess, Routing -IncludeManagementTools

۲. نصب Network Policy Server (NPS)

Install-WindowsFeature NPAS -IncludeManagementTools

NPS نقش احراز هویت کاربران را کنترل می‌کند.

۳. ایجاد Root CA و صدور Certificate سازمانی

اگر قبلاً Internal CA دارید → از همان استفاده کنید.
اگر ندارید:

Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

نوع CA: Enterprise Root CA

صدور گواهی برای سرور VPN

در Certification Authority:

1. Certificate Templates → Duplicate Template
2. مبنا: RAS and IAS Server
3. Allow Server Authentication
4. صادر کردن به سرور VPN:

certreq -submit vpn_server.req

۴. فعال‌سازی IKEv2 روی RAS

در Routing and Remote Access:

• Configure and Enable Routing and Remote Access
• گزینه Custom
• فعال کردن:
  • VPN Access
  • NAT

پروتکل‌های VPN:

• فقط IKEv2 را فعال کنید.

۵. ایجاد Address Pool برای کاربران VPN

در RRAS:

Properties → IPv4 → Static Address Pool

مثلاً:

۱۰.۱۰.۲۰۰.۱ – ۱۰.۱۰.۲۰۰.۲۰۰

۶. تنظیم NAT

در Routing → NAT:

• کارت شبکه متصل به اینترنت → Public
• کارت شبکه LAN → Private

۷. فعال‌سازی احراز هویت کاربران

در NPS → Policies → Network Policies

Policy جدید ایجاد کنید:

• شرط: User Group مثلاً VPN-Users
• Authentication: EAP → Microsoft: Smart Card or Certificate
• Encryption: Allow Strongest Only

۸. اتصال از Windows Client

در Windows:

Settings → Network → VPN → Add VPN

نوع VPN:

IKEv2

Authentication:

Certificate

گواهی Root CA را به کلاینت Import کنید:

certmgr.msc → Trusted Root Certification Authorities

۹. اتصال از iPhone / macOS

در iPhone:

Settings → VPN → Add VPN Configuration
Type: IKEv2
Remote ID: yourdomain.local
Authentication: Certificate

رفع خطاهای رایج

بهترین الگوی سازمانی (Playbook)

• یک Security Group برای کاربران VPN ایجاد کنید.
• ایجاد Policy برای محدود کردن دسترسی‌ها (Zero Trust).
• فعال کردن Audit Log روی NPS.
• لاگ اتصال‌ها را روی SIEM ارسال کنید.

سوالات متداول(FAQ)

۱. کدام بهتر است؟ IKEv2 یا L2TP؟
IKEv2 امن‌تر، سریع‌تر و پایدارتر است.

۲. آیا نیاز به Public Static IP داریم؟
ترجیحاً بله؛ ولی DDNS نیز قابل استفاده است.

۳. آیا می‌توان از AD برای Login استفاده کرد؟
بله، توصیه هم می‌شود.

۴) آیا می‌توان این VPN را به Azure و Cloud متصل کرد؟
بله با Site-to-Site IKEv2 Gateway.

تماس و مشاوره با لاندا

اگر می‌خواهید:

• VPN سازمانی مطمئن و بدون افت کیفیت
• مدیریت دسترسی کاربران به صورت Role-Based
• لاگ‌گیری استاندارد برای مطابقت امنیتی
• پشتیبانی موبایل + ویندوز + مک بدون دردسر

ما در لاندا یک بسته آماده استقرار داریم که شامل:

• نصب و راه‌اندازی کامل
• صدور Certificate استاندارد
• Playbook امنیتی و مستندات
• آموزش مدیریت به تیم داخلی

برای ارزیابی امنیت شبکه خود، با مشاوران لاندا تماس ✆ بگیرید.