Windows server下ikev2搭建

在Windows Server上搭建IKEv2 VPN的步骤如下，适用于Windows Server 2012 R2及更高版本：

一、环境准备

服务器要求：
- Windows Server 2012 R2/2016/2019/2022
- 双网卡（1个公网IP，1个内网IP）
- 管理员权限
客户端要求：
- Windows 10/11 或支持IKEv2的设备

二、安装远程访问角色

打开服务器管理器 → 添加角色和功能
选择「远程访问」→ 勾选「DirectAccess和VPN（RAS）」
完成安装后重启服务器

三、配置IKEv2 VPN

方法1：使用预共享密钥（PSK）

打开「路由和远程访问」控制台
右键服务器名 → 配置并启用路由和远程访问
选择「自定义配置」→ 勾选「VPN访问」
完成向导后，右键服务器名 → 属性
在「安全」选项卡：
- 选择「使用预共享密钥」
- 输入密钥（至少8位，需与客户端一致）

方法2：使用证书认证（推荐）

在企业CA申请服务器证书：
- 通用名称：VPN服务器FQDN或IP
- 增强密钥用法：服务器身份验证
将证书导入「本地计算机/个人」存储
在「路由和远程访问」属性中：
- 选择「使用此证书」→ 指定证书

四、配置网络策略

打开「网络策略服务器」→ 创建新策略：
- 名称：IKEv2_Policy
- 条件：Windows客户端
- 设置：
  - 访问方法：允许VPN
  - 身份验证方法：EAP-MSCHAP v2
  - 加密：强制要求

五、防火墙配置

开放端口：
- UDP 500 (ISAKMP)
- UDP 4500 (NAT-T)

创建入站规则：

New-NetFirewallRule -DisplayName "IKEv2" -Direction Inbound -Protocol UDP -LocalPort 500,4500 -Action Allow

六、客户端配置（Windows示例）

设置VPN连接：
- 服务器地址：公网IP或域名
- VPN类型：IKEv2
- 身份验证：
  - PSK：输入预共享密钥
  - 证书：选择用户证书
高级设置：
- 勾选「使用预共享密钥」或选择证书
- 指定内网DNS服务器

七、测试连接

客户端连接VPN

验证：

ipconfig /all  # 查看是否获得内网IP
route print    # 检查路由表

八、常见问题解决

连接失败：
- 检查防火墙是否开放端口
- 确认预共享密钥/证书匹配
- 验证服务器证书有效性

路由问题：

在服务器启用IP路由转发：

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IPEnableRouter -Value 1

九、安全增强建议

使用强密码和复杂PSK
定期轮换证书和密钥
启用VPN连接日志记录
配置双因素认证（需配合RADIUS）

完成以上配置后，您的Windows Server即可作为IKEv2 VPN服务器使用。建议通过Get-RemoteAccess命令验证服务状态，并定期更新服务器安全补丁。
遇到安装远程访问角色失败的问题时，请按以下步骤排查：

一、检查系统兼容性

确认系统版本：
```
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
```
- 确保为以下版本之一：
  - Windows Server 2012 R2
  - Windows Server 2016
  - Windows Server 2019
  - Windows Server 2022
验证安装介质：
- 确保系统未使用精简版或特定功能受限的版本

二、检查依赖服务状态

启动必要服务：

Start-Service -Name RemoteAccess, Netman, Winmgmt
Set-Service -Name RemoteAccess -StartupType Automatic

验证网络策略服务器：
- 打开「服务器管理器」→ 添加角色和功能 → 确保勾选「网络策略服务器」

三、检查系统更新

安装所有更新：
```
Install-WindowsUpdate -AcceptAll -AutoReboot
```
- 或通过「设置」→「更新与安全」手动安装

四、检查磁盘空间

验证系统盘空间：
```
Get-PSDrive C | Select-Object FreeGB
```
- 确保至少有 2GB 可用空间

五、查看安装日志

获取详细错误日志：
- 日志路径：C:\Windows\Logs\CBS\CBS.log
- 使用以下命令筛选错误：
```
Get-Content C:\Windows\Logs\CBS\CBS.log | Where-Object { $_ -like "*Error*" }
```

六、重新安装角色

使用PowerShell安装：

Install-WindowsFeature RemoteAccess -IncludeManagementTools

监控安装过程：
```
Get-WindowsFeature -Name RemoteAccess
```

七、处理组策略限制（域环境）

检查组策略设置：
- 打开「组策略管理」→ 定位到服务器OU
- 检查是否禁用「禁止安装网络组件」策略

八、手动修复组件

重置Windows更新组件：

net stop wuauserv
net stop bits
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
net start wuauserv
net start bits

九、最终验证

检查角色状态：
```
Get-WindowsFeature -Name RemoteAccess
```
- 确认输出显示「Installed」

如果问题仍未解决，请提供以下信息：

CBS.log中筛选出的错误片段
完整的PowerShell安装输出
服务器管理器中的具体错误提示截图

可根据这些信息进一步分析具体故障点，例如：

若提示"0x80070005"错误，可能是权限问题
若提示"CBS_E_SOURCE_MISSING"，需要修复安装介质
若提示"依赖服务未运行"，需检查相关服务状态

以下是使用PowerShell在Windows Server上搭建IKEv2 VPN的完整指南：

一、系统要求验证

# 检查系统版本（需2012R2+）
$os = Get-WmiObject -Class Win32_OperatingSystem
if ([version]$os.Version -lt [version]"6.3.9600") {
    Write-Host "错误：需要Windows Server 2012 R2或更高版本" -ForegroundColor Red
    exit
}

# 检查管理员权限
if (-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) {
    Write-Host "错误：需要管理员权限运行" -ForegroundColor Red
    exit
}

二、安装远程访问角色

# 安装必要功能
Install-WindowsFeature RemoteAccess -IncludeManagementTools -IncludeAllSubFeature

# 验证安装
if ((Get-WindowsFeature -Name RemoteAccess).Installed) {
    Write-Host "远程访问角色安装成功" -ForegroundColor Green
} else {
    Write-Host "安装失败，请检查CBS.log获取详细信息" -ForegroundColor Red
    exit
}

三、配置IKEv2 VPN（预共享密钥模式）

# 创建VPN配置
$vpnServer = Get-RemoteAccess

# 配置预共享密钥
$psk = Read-Host "请输入预共享密钥（至少8位）" -AsSecureString
$vpnServer.SharedSecret = [Runtime.InteropServices.Marshal]::PtrToStringAuto([Runtime.InteropServices.Marshal]::SecureStringToBSTR($psk))

# 设置身份验证
$vpnServer.AuthenticationProvider.Type = "EAP"
$vpnServer.RadiusServer = $null  # 禁用RADIUS（使用本地认证）

# 启用VPN
$vpnServer.Enable()

四、防火墙配置

# 创建防火墙规则
New-NetFirewallRule -DisplayName "IKEv2_UDP500" -Direction Inbound -Protocol UDP -LocalPort 500 -Action Allow
New-NetFirewallRule -DisplayName "IKEv2_UDP4500" -Direction Inbound -Protocol UDP -LocalPort 4500 -Action Allow

# 验证规则
Get-NetFirewallRule -DisplayName "IKEv2*" | Format-Table Name, Enabled, Direction, Protocol, LocalPort

五、客户端配置示例（导出PowerShell脚本）

# 生成客户端配置脚本
$clientConfig = @"
Add-VpnConnection -Name "MyIKEv2VPN" -ServerAddress "$($env:COMPUTERNAME)" -TunnelType "Ikev2" -AuthenticationMethod "Eap" -EncryptionLevel "Maximum" -SplitTunneling $true -RememberCredential $true
Set-VpnConnectionIPsecConfiguration -ConnectionName "MyIKEv2VPN" -AuthenticationTransformConstants "SHA256128" -CipherTransformConstants "AES256" -EncryptionMethod "AES256" -IntegrityCheckMethod "SHA256" -PfsGroup "None" -DHGroup "Group2" -Force
"@

$clientConfig | Out-File -FilePath "C:\VPN_Client_Config.ps1" -Encoding UTF8
Write-Host "客户端配置脚本已生成至 C:\VPN_Client_Config.ps1" -ForegroundColor Cyan

六、验证服务状态

# 检查VPN服务状态
Get-Service -Name RemoteAccess | Select-Object Name, Status, StartType

# 查看VPN接口
Get-NetAdapter -InterfaceDescription "RAS*"

# 测试端口监听
Test-NetConnection -ComputerName $env:COMPUTERNAME -Port 500,4500 -InformationLevel Detailed

七、高级配置选项（可选）

# 配置证书认证（需提前安装证书）
$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*VPNServer*" }
$vpnServer.AuthenticationProvider.Type = "Certificate"
$vpnServer.AuthenticationProvider.Certificate = $cert

# 配置静态路由
Add-VpnS2SInterface -Name "CustomRoute" -Destination "192.168.2.0/24" -RouterAddress "192.168.1.1"

# 启用日志记录
Set-RemoteAccessLogging -EnableLogging $true -LogPath "C:\VPN_Logs"

八、故障排查命令

# 查看实时连接状态
Get-RemoteAccessConnectionStatistics

# 检查事件日志
Get-WinEvent -FilterHashtable @{
    LogName = "Microsoft-Windows-RemoteAccess-Operational"
    Level   = 2,3  # 错误和警告
} | Format-List TimeCreated, Message

# 导出完整配置
Export-RemoteAccessConfiguration -Path "C:\VPN_Config_Backup.ps1"

建议按照以下顺序执行：