Настройка IKEv2-EAP на Mikrotik
HTML-код
- Опубликовано: 6 сен 2024
- В данном конфиге пользователю передаётся только адрес подключения, логин и пароль, всё остальное автоматизировано.
Ссылка на статью с реализацией данного конфига будет в закреплённом комментарии, скрипт будет там же.
Ссылка на статью: 1spla.ru/blog/ikev2-eap-mikrotik/
Скрипт:
#Указываем в кавычках публичное имя вашего роутера
:global commName "публичное-имя-вашего-роутера"
#Указываем имя peer которое вы создали в разделе IP->IPSec, вкладка peers
:global peerName "IKEv2-peer"
ip service/enable www
certificate/enable-ssl-certificate dns-name=$commName
:delay 180s;
:global certName [certificate/get [find where common-name=$commName] name]
:global R3 [certificate/get [find where common-name=R3] name]
:global X1 [certificate/get [find where common-name="ISRG Root X1"] name]
ip/ipsec/identity/set [find where peer=$peerName] certificate="$certName,$R3,$X1"
ip service/disable www
:set commName
:set peerName
:set certName
:set R3
:set X1
Привет, дорогой друг!
Все круто ) в шедулер можно просто указать script1 но я бы не использовал LE для корп. сегмента.
Считаю не правильным плодить сущности) Шедулер - шедулер, скрипт - скрипт)) По поводу LE в корп. сегменте - вопрос холиварный) Если у тебя небольшая компания на 10 человек, то покупать серты - дорого) Городить CA в локалке - ещё дороже) В любом случае, я показал простой инструмент, а как им пользоваться решает каждый сам)
А вместо LE возможно использовать встроеный выпущеный сертификат микротика? Или понадобиться устанавливать вручную сертификат у каждого клиента отдельно в этом случае?
Возможно, но нужно будет CA сертификат на каждое клиентское устройство ставить.
Приветствую! Видео недавнее, однако на сайте с сертификатами, среди промежуточных нет R3, есть только E5, E6, R10, R11 - какой следует взять вместо R3?
Приветствую, да, есть такое, совсем забыл, при записи, о ротации сертификатов у LE. На странице letsencrypt.org/certificates/ наверху всегда есть актуальная картинка сертификатов. По состоянию на сейчас актуальная цепочка: X1 -> R10/R11. Я бы брал R10.
Вероятно из-за того, что я взял сертификат R10 вместо R3, при попытке подключения я получаю ошибку "Неприемлемые учетные данные проверки подлинности IKEv2"
Выполнение скрипта так же не помогло решить проблему к сожалению. ipsec error: got fatal error: AUTHENTICATION_FAILED
Подскажите как настроить или получить "публичное-имя-вашего-роутера" для chr ? ip-cloud недоступно в бесплатной версии.
В видео показан процесс настройки при условии, что у вас куплено доменное имя и есть доступ к управлению DNS-зоной, где вы должны сделать A-запись с именем, указывающим на публичный белый IP вашего роутера.
Привет еще раз! У меня не заработало с LetsEncrypt, но заработало с моими сертификатими и только на windows, на Android к сожалению AUTH FAILED, но вопрос в другом, я делал IKEv2 и по PSK и так же сталкивался с одной и той же проблемой, я подключаюсь к к своему рутеру и получаю IP, но я не получаю Gateway и маску подсети, Вы случайно не знаете как это можно исправить? Я сделал всё как на вашем видео, только использовал свои сертификаты.
Если не завелось на андроиде, значит где-то какую-то опцию упустили. Перепроверьте всё ещё раз, т.к. у многих всё получилось и работает как надо. Шлюз на винде может не прилетать, если в свойствах VPN соединения снята галка "Использовать шлюз в удалённой сети", в противном случае, весь трафик по-умолчанию заворачивается в VPN интерфейс.
Добрый! Всё получилось по вашей инструкции. Подключаюсь без проблем с win10, win11 и ios, а вот с win7 никак не могу. На микротике: no proposal chosen, на win7: 13868 Ошибка сопоставления групповой политики
Приятно слышать!) К сожалению, windows 7 перестала поддерживаться с 14 января 2020 года. В ней нет поддержки необходимых типов шифрования. Если пробовать понижать уровень шифрования со стороны Mikrotik, то тогда перестанут подключаться ios)
При подключении с винды, пишет "неприемлемые учетные данные проверки подлинности ike" , хотя с андроида всё ок
Надо перепроверить все галки в Proposals и Profiles. Андроиды менее капризные к типам шифрования, нежели винда. Даже 1 не там поставленная галка может привести к ошибкам подключения.
Привет! огромное спасибо за видео! но я вот не могу догнать, если у меня куплет multi-domain ssl у меня есть .crt .key я могу это так же настроить, его обновлять надо раз в год. Как это сделать? буду безумно благодарен за помощь.
Да, всё делается аналогично. Просто импортятся все имеющиеся сертификаты, включая рута.
С Mac OS не работает. Даже не подключается
Рекомендую перепроверить все ли галки выставлены верно. Данный конфиг был проверен на Windows, Mac OS, iPhone и Android (StrongSwan). Если по-прежнему возникают проблемы, можете написать в наш ТГ чатик, там более детально разберёмся.
Не мог понять, почему у меня скрипт не отрабатывает.... Всё дело в кавычках! Автор, поправь, а то люди мучаются)
В комментарии поправил) Спасибо)
Шумодава чуть-чуть не хватает 😞
Да, есть такое, рядом стоит стойка, шумит. Если чуть докрутить шумодав, начну терять голос))) За 3 года пока не записывал видео, много что поменялось. К следующему видео поправлю)
Офис теперь в серверной? 😄 Хотя-бы будет тихо во время пауз
Инфраструктура выросла почти в 3 раза и появился здоровенный тестовый стенд в размере целой стойки прямо в офисе)
Не бережете Вы себя и свои уши 😃
Добрый день.
Помогите, пожалуйста, в чем может быть ошибка?
Все сделал по инструкции, но при подключении с телефона через Strongswan в логах
Jul 11 22:09:56 15[IKE] received end entity cert "CN=chr.3333.ru"
Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R10"
Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
Jul 11 22:09:56 15[CFG] using certificate "CN=chr.3333.ru"
Jul 11 22:09:56 15[CFG] no issuer certificate found for "CN=chr.3333.ru"
Jul 11 22:09:56 15[CFG] issuer is "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Counterfeit Cashew R10"
Jul 11 22:09:56 15[IKE] no trusted RSA public key found for 'CN=chr.3333.ru'
Jul 11 22:09:56 15[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
не могу понять, в чем ошибка. Пробовал устанавливать сертификаты корневого и R10 сервера на телефон, не помогает. И вообще изначально хотелось избежать возни с сертификатами.
Чтобы не было возни с сертификатами, в инструкции мы и устанавливаем х1 и r3 на роутер и пушим клиенту.
Кстати, а почему у вас R10?!) Рекомендую перепроверить. Если не поможет, то в комментариях разбирать проблему не удобно, продублируйте вопрос в чат в телеграм, пожалуйста. Там и разберёмся и другие, если что, почитают решение)
@@it-expert-spb Сертификаты х1 и r10 установлены на Mikrotik и оба Trusted. А R10 потому что у Let's Encrypt есть ротация серверов. Сейчас выдаются сертификаты именно R10 и R11.
В общем переустановил chr, настроил все с нуля и подключаться стал. Теперь надо донастроить, чтобы сам VPN заработал. Пока что-то не получается.
@@MrSezius век живи - век учись!) Никогда не обращал внимание, что ротация сертификатов LE происходит не по сроку действия. Ну, раз переустановка и настройка с нуля помогла, значит, где-то ошибка в конфиге, всё же, была. С настройкой рекомендация та же, если нужна помощь, вэлкам в чат в ТГ)
@@it-expert-spb а что за чат в ТГ? Ссылки не нашел. Клиент IP адрес получает, но не пойму, на какой интерфейс в самом Микротике повесить адрес из этой же подсети для теста и как настроить NAT. Вернее я пробовал вешать IP на lo интерфейс + пробовал стандартный NAT masquarade, но ни Микротик не пингуется, ни дальше в сеть не выходит.
@@MrSezius t.me/itexpertspbru