Bom dia,

a)
Sei, talvez o Mobile VPN com SSL/TLS para o procedimento a seguir também seja adequado.

Um usuário de home office precisa de uma solução VPN para sua empresa.
É possível ter um ícone na área de trabalho para o seguinte procedimento? (após login no PC)

-conectar VPN IPSec com cliente integrado do Windows 11
-iniciar mstsc.exe para acessar o PC do escritório via nome DNS
-mapear compartilhamentos do servidor de arquivos da empresa para seu home office
-(por exemplo, a janela de login de credenciais de compartilhamento apareceria se as credenciais não fossem salvas ontem…)
-acontece o acesso à internet no PC do home office ao mesmo tempo em que a VPN está conectada à empresa

b)
Você teve problemas nos últimos anos com usuários de notebooks em viagens de negócios bloqueando
“tráfego IPSec IKEv2” no Wi-Fi do hotel?+++++++++

IPSec

Mobile VPN com IPSec é uma opção menos segura, a menos que você configure um certificado em vez de uma chave pré-compartilhada. Os usuários podem se conectar com um cliente VPN IPSec WatchGuard alimentado por NCP, e alguns clientes VPN nativos.

Recomendamos Mobile VPN com IPSec para túneis legados IPSec IKEv1, quando o IKEv2 não estiver disponível. Também recomendamos essa opção para administradores experientes de Firebox que precisam implantar múltiplos perfis de roteamento VPN.

+++++++++

SSL

Mobile VPN com SSL/TLS é uma opção segura, mas mais lenta do que outros tipos de VPN móvel. Os usuários do Windows e macOS baixam um cliente de um portal Firebox. Usuários de Android e iOS baixam um perfil do portal Firebox para uso com um cliente OpenVPN.

Recomendamos Mobile VPN com SSL quando o tráfego IPSec IKEv2 não é permitido na rede remota ou quando é necessário divisão de túneis.

+++++++++

SSL VPN é tão fácil de usar. O impacto na performance é insignificante e não afeta RDP. Funciona em qualquer lugar onde a porta 443 seja permitida, a menos que o firewall bloqueie openvpn.

Descobri que o Windows fica bem atrás em métodos de criptografia suportados; é melhor usar o cliente SSL. Use AGM 256 DH 21 na fase 1 e AGM 128 DH 19 na fase 2. Isso oferece o melhor desempenho na maioria dos fireboxes.

IPsec V1 usa as portas 50, 500 e 4500. IPsec V2 usa as portas 50 e 4500. Se puder usar IPsec V1 na maioria dos ambientes, pode usar IPsec V2 (polícia de passagem de IPsec na maioria dos firewalls).

No IPsec V1, você pode usar certificados ou PSK, também em Acesso Remoto.

IPsec V2 é mais seguro quando você usa a nova proposta de criptografia cgm na fase 2. PSK ou certificado são usados na fase 1, e a criptografia é usada na fase 2. Na minha opinião, com uma PSK forte, o IPsec é tão seguro quanto com certificados.

Sslvpn funciona totalmente bem. Só certifique-se de ter alguma forma de MFA, porque se você olhar o tráfego ativo, verá ataques de força bruta constantemente.

Na verdade, encontrei uma grande diferença entre SSLVPN e IKEv2 em um M290. 40mbps no máximo em SSLVPN e 200mbps em IKEv2 na mesma dispositivo e conexão de internet.

Usando qual criptografia? As novas cálculos elípticos são mais rápidas nos modelos recentes de firebox.

AES-GCM256 DH19 para IKEv2. Tentei AES-GCM256/128 e AES256/128 para SSLVPN e nunca consegui chegar perto do IKEv2. Gostaria de saber o que funciona para você.