IKEv2/
IPsec.

Что такое IKEv2 и IPsec

• IPsec: набор протоколов для шифрования IP-трафика. Сам по себе IPsec — это framework.
• IKEv2 (Internet Key Exchange v2): протокол управления для IPsec — устанавливает шифрованные туннели, договаривается о ключах. Версия 2 — более современная.

На практике "IKEv2" обычно означает "IKEv2/IPsec" — комбинацию.

Кто его сделал

Совместная разработка Microsoft и Cisco. Стандартизирован IETF (RFC 7296). 2005 первая версия, активно развивается.

Особенности

MOBIKE — mobility extension

Главное преимущество. Туннель переживает смену сети без полного re-connect. Переключился с WiFi на 5G — IKEv2 туннель плавно продолжает работать. До 2020 это был ключевой плюс на мобиле.

Дефолт на iOS

Apple встроил IKEv2 в iOS — родная поддержка без сторонних приложений. Многие enterprise ВПН на iOS юзают IKEv2 из-за этого.

Быстрая reconnect

Если соединение прервалось, IKEv2 быстро восстанавливает. Хорошо для unreliable networks.

Сравнение

Безопасность

IKEv2/IPsec — proven, audited, безопасный. Известно несколько исторических уязвимостей в IPsec implementations (не в протоколе) — но они быстро патчились.

Концерн: Snowden-документы намекали на возможный backdoor в IPsec (потенциально NSA-influenced). Не подтверждено, но у некоторых вызывает скепсис. WireGuard и OpenVPN считаются "чище" с точки зрения отсутствия government-influence в дизайне.

Где юзается

• iOS — родной протокол для VPN configurations.
• Cisco AnyConnect — enterprise клиент.
• StrongSwan / OpenSwan / Libreswan — open-source реализации.
• Многие enterprise site-to-site setups.
• Некоторые consumer ВПН (NordVPN предлагает как опцию).

Почему не в ClownVPN

WireGuard покрывает большинство юзкейсов (включая mobility через own implementation). OpenVPN — fallback для restricted сетей. Третий протокол добавил бы поддержку без явной выгоды для нашей audience.

Смотри также

• WireGuard
• OpenVPN
• Шифрование