{{tag>other}}

==== IPSEC IKEv2 ====
здесь должно быть описание почему выбран именно этот стек протоколов, но его тут нет

=== На mikrotik поднимаем сервер ===
  /ip ipsec policy group add name=VPN-RA-GROUP
  /ip ipsec profile add enc-algorithm=aes-256,aes-192,aes-128 name=VPN-RA-PROFILE
  /ip ipsec peer add exchange-mode=ike2 name=VPN-RA-PEER passive=yes profile=VPN-RA-PROFILE
  /ip ipsec proposal add name=VPN-RA-PROPOSAL pfs-group=none
  /ip ipsec mode-config
    add address-pool=VPN-RA-POOL address-prefix-length=32 name=VPN-RA-MODE \
        split-include=192.168.4.0/22
  /ip ipsec identity
    add auth-method=digital-signature certificate=MOSIGRA01-OFFICE \
        generate-policy=port-strict mode-config=VPN-RA-MODE peer=VPN-RA-PEER \
        policy-template-group=VPN-RA-GROUP
  /ip ipsec policy
    add dst-address=192.168.200.0/24 group=VPN-RA-GROUP proposal=VPN-RA-PROPOSAL \
        src-address=0.0.0.0/0 template=yes
  /ip pool add name=VPN-RA-POOL ranges=192.168.200.11-192.168.200.254
  /ip address add address=192.168.200.1 interface=LAN network=192.168.200.1
  /ip firewall filter
    add action=accept chain=input dst-port=500,4500 protocol=udp
    add action=accept chain=input in-interface-list=WANS ipsec-policy=in,ipsec
    add action=accept chain=forward in-interface-list=WANS ipsec-policy=in,ipsec

тут отсутствует кусок про сертификат CA и серверный сертификат

=== На сервере новый пользователь ===

{{ :ipsec_ikev2_server_01.png?400 |}}

System -> Certificates -> +

Имя должно ассоциироваться либо с пользователем (Фамилия инициалы) либо с устройством (инвентраный номер?) и должно содержать инкремент (потому что будем перевыпускать сертификаты, ассоциация желательно чтобы осталась прежняя, а два одинаковых имени - нельзя!)

Второй блок (Country, State, Locality, Org, Unit) заполнять не обязательно? но я бы предложил хотя бы Organization заполнять.

Common Name: пусть будет Имя без инкремента

Важное поле Days Valid: наверное штатным сотрудникам 365 или даже 730 (хотя я знаю, у вас будет 256, 512, ...), а если известно что сотрудник не на долго (аудиторы, тьюторы и т.п.), то смотреть по ситуации.

{{ :ipsec_ikev2_server_02.png?400 |}}

Key Usage -> tls client -> OK

{{ :ipsec_ikev2_server_03.png?400 |}}

Подписываем только что созданный сертификат

{{ :ipsec_ikev2_server_04.png?400 |}}

Экспортируем, формат PKCS12, пароль не менее 8 символов (меньше 8 микротик не дает, а если вообще не вводить пароль, то микротик в сертификат не положит закрытый ключ)

{{ :ipsec_ikev2_server_05.png?400 |}}

сертификат устанавливаем клиенту (понадобится пароль с предыдущего шага)

к сертификату относиться внимательно он в месте с паролем (а если пароль лёгкий?) = доступ в нашу локальную сеть!


=== На клиенте Windows 10 ===

== устанавливаем сертификат ==
понадобятся Административные права на устройстве, сертификат и пароль от сертификата

{{ :ipsec_ikev2_client_01.png?400 |}}

двойной клик по сертификату

хранилище: Локальный компьютер

Далее, Вводим пароль Администратора Windows

{{ :ipsec_ikev2_client_02.png?400 |}}

Далее

{{ :ipsec_ikev2_client_03.png?400 |}}

вот здесь пароль сертификата, Далее

{{ :ipsec_ikev2_client_04.png?400 |}}

Далее, Готово, ОК

== создаем подключение ==

в powershell (можно от непривилегированного пользователя):

Добавить VPN-соединение:
  Add-VpnConnection -Name "MOSIGRA-OFFICE" -ServerAddress "vpn.mosigra.su" -TunnelType "Ikev2" -AuthenticationMethod "MachineCertificate" -SplitTunneling
  Add-VpnConnectionRoute -ConnectionName "MOSIGRA-OFFICE" -DestinationPrefix "192.168.4.0/22"
  Add-VpnConnectionTriggerDnsConfiguration -Name "MOSIGRA-OFFICE" -DnsSuffix "hobbyworld.local" -DnsIPAddress 192.168.5.7
  Add-VpnConnectionTriggerDnsConfiguration -Name "MOSIGRA-OFFICE" -DnsSuffix "mosigra.su" -DnsIPAddress 192.168.4.1
  Add-VpnConnectionTriggerTrustedNetwork -ConnectionName "MOSIGRA-OFFICE" -DnsSuffix "hobbyworld.local"

Удалить VPN-соединение (соединение должно быть предварительно разорвано)
  Remove-VpnConnection -Name "MOSIGRA-OFFICE" -Force

остальные настройки удалятся автоматически,

но если нужно удалить только какие-то настройки, вот команды (соединение должно быть предварительно разорвано):
  Remove-VpnConnectionRoute -ConnectionName "MOSIGRA-OFFICE" -DestinationPrefix "192.168.4.0/22" -Force
  Remove-VpnConnectionTriggerDnsConfiguration -ConnectionName "MOSIGRA-OFFICE" -DnsSuffix "hobbyworld.local" -Force
  Remove-VpnConnectionTriggerDnsConfiguration -ConnectionName "MOSIGRA-OFFICE" -DnsSuffix "mosigra.su" -Force
  Remove-VpnConnectionTriggerTrustedNetwork -ConnectionName "MOSIGRA-OFFICE" -DnsSuffix "hobbyworld.local" -Force

посмотреть всё про триггеры
  Get-VpnConnectionTrigger -ConnectionName "MOSIGRA-OFFICE"

=== Литература ===

удобные фишки для пользователей

Auto-Triggered или «незаметный» VPN https://habr.com/ru/company/microsoft/blog/216089/

при подключении Windows не пробрасывает опубликованные маршруты в туннель, а вместо этого использует КЛАССОВУЮ адресацию (архитектура сетевой адресации, которая использовалась в Интернете в период с 1981 по 1993 годы)!

https://forum.mikrotik.by/viewtopic.php?t=2118&start=10

https://serverfault.com/questions/1026041/mikrotik-ikev2-ipsec-windows-10-no-split-include-routes


настройка IPSEC IKEv2 auth by certificates

https://interface31.ru/tech_it/2020/04/nastraivaem-ikev2-vpn-server-na-routerah-mikrotik.html

https://habr.com/ru/post/504484/

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_using_IKEv2_with_RSA_authentication

https://habr.com/ru/company/ruvds/blog/498924/


расчетная пропускная скорость нашего mikrotik

https://mikrotik.com/product/RB3011UiAS-RM#fndtn-testresults