如何透過 Android/iOS 的 IKEv2 VPN 連接到 Omada 路由器（獨立管理模式）？

使用者的應用情境

現在大多數手機都支援IKEv2 VPN連線，尤其是自從 Android 移除了 L2TP VPN 後。當您不在家中附近沒有電腦，但想要從家庭網路訪問一些資源時，透過手機與路由器建立 VPN 連線是一種簡單且安全的方式。

接下來，我們以 ER605 v2 為範例，向您說明如何在 Omada 路由器上配置 IKEv2 VPN。

IKEv2 VPN 和 Android/iOS 的設定

步驟1. 在路由器上設定 IKEv2 VPN  

(1) 選擇選單 VPN > IPSec > IPSec Policy，並點選新增進入 VPN 路由器上的以下頁面。設定 IPSec Policy 的基本參數。

• 將模式指定為 Client-to-LAN。
• 將 Remote Host 輸入為 0.0.0.0.
• 將 WAN 指定為 WAN。
• 將 Local Network 指定為 LAN。或者您可以自訂本機 IP 位址。
• 自訂 Pre-shared Key，這裡我們輸入 123456。
• 指定 IP Address Pool 為 10.10.10.1/24。

步驟2. 設定 IKEv2 進階設定 - Phase 1

點擊 Advanced Settings，進入以下頁面。在 Phase-1 Settings 部分，設定 IKE phase-1 參數。

• 選擇 IKE 協定版本為 IKEv2。
• 選擇 sha256-aes256-dh16/sha256-aes256-dh14/sha1-aes256-dh14/sha1-aes256-dh5 作為 proposal。
• 指定 Negotiation Mode 為 Responder Mode。
• 將 Local ID 類型指定為 IP Address。
• 將 Remote ID 類型指定為 NAME，並將 remote ID 指定為 123。

說明：

1) 由於每種手機支援不同的 proposals (協議)，我們僅列出一些常見的 proposals (協議) 組合。如果以上四種組合無法成功連接，請聯繫 TP-Link technical support.

2) 由於 Android 上的 IKEv2 無法編輯 Local ID Type (本地 ID 類型)，因此只能使用 IP 位址。因此，Omada 路由器前方不能有 NAT 設備，也就是 Omada 路由器的 WAN IP 位址必須是公共 IP 位址，以便客戶能夠成功連接。

步驟3. 設定 IKEv2 進階設定 - Phase 2

在 Phase-2 設定區域，設定 IKE Phase-2的參數。然後點選 確定。

• 指定 Encapsulation Mode 為 Tunnel Mode。
• 選擇 esp-sha256-aes256/esp-sha1-aes256 作為 proposal。

在 Android 上設定 IKEv2 VPN 設定

這裡我們以 Android 12 的手機為範例。使用以下參數設定 IKEv2 VPN。 按一下「儲存」並連線到 VPN 伺服器。

• 將 Name 指定為 Test。
• 將 VPN 類型指定為 IKEv2/IPsec PSK。
• 將 Server address 指定為 192.168.1.122。
• 將 IPSec Identifier 指定為 123。
• 將 IPsec Pre-shared Key 指定為 123456。
• 將 Proxy 指定為 None。

驗證流程

進入 VPN > IPSec > IPSec SA，上將顯示有關 VPN Tunnel 的資訊。

手機上也會顯示 VPN 連線成功

在 iOS 裝置上設定 IKEv2 VPN 設定

步驟 1. 在路由器上設定 IKEv2 VPN 參數

由於 iOS Local ID Type 僅支援為 ID，因此我們在 phase-1 設定中將 Local ID Type 為 NAME，並指定 Local ID 為 321。其他設定與上面完全相同，這裡不再示範。

步驟2. 在手機上設定 IKEv2 VPN 參數。

這裡以 iOS 15.5 作為 IKEv2 VPN 連接的範例。設定 IKEv2 VPN 參數，然後點選完成，並連接到 VPN 伺服器。

• 將 Type(類型)指定為 IKEv2。
• 將 Description(描述)指定為 Test。
• 將 Server伺服器指定為 192.168.1.122。
• 將 Remote ID (遠端識別碼)指定為 321。
• 將 Local ID (本機識別碼)指定為 123。
• 將 User Authentication 使用者驗證指定為 None(無)。
• 關閉使用 Certificate(憑證)。
• 將 Secret (密鑰) 指定為 123456。
• 將 PROXY 指定為 Off(關閉)。

步驟3.驗證過程

下圖顯示 iPhone 成功連接 VPN Server 並取得 VPN IP 位址 10.10.10.1。

若要了解更多詳細的功能和設定，請前往 Download Center 下載您的產品手冊。