mosigra wiki

Инструменты пользователя

Инструменты сайта

Вы посетили: VLC Радио zabbix проблемы с web интерфейсом IPSEC IKEv2

Боковая панель

ipsec_ikev2

IPSEC IKEv2

здесь должно быть описание почему выбран именно этот стек протоколов, но его тут нет

На mikrotik поднимаем сервер

/ip ipsec policy group add name=VPN-RA-GROUP
/ip ipsec profile add enc-algorithm=aes-256,aes-192,aes-128 name=VPN-RA-PROFILE
/ip ipsec peer add exchange-mode=ike2 name=VPN-RA-PEER passive=yes profile=VPN-RA-PROFILE
/ip ipsec proposal add name=VPN-RA-PROPOSAL pfs-group=none
/ip ipsec mode-config
  add address-pool=VPN-RA-POOL address-prefix-length=32 name=VPN-RA-MODE \
      split-include=192.168.4.0/22
/ip ipsec identity
  add auth-method=digital-signature certificate=MOSIGRA01-OFFICE \
      generate-policy=port-strict mode-config=VPN-RA-MODE peer=VPN-RA-PEER \
      policy-template-group=VPN-RA-GROUP
/ip ipsec policy
  add dst-address=192.168.200.0/24 group=VPN-RA-GROUP proposal=VPN-RA-PROPOSAL \
      src-address=0.0.0.0/0 template=yes
/ip pool add name=VPN-RA-POOL ranges=192.168.200.11-192.168.200.254
/ip address add address=192.168.200.1 interface=LAN network=192.168.200.1
/ip firewall filter
  add action=accept chain=input dst-port=500,4500 protocol=udp
  add action=accept chain=input in-interface-list=WANS ipsec-policy=in,ipsec
  add action=accept chain=forward in-interface-list=WANS ipsec-policy=in,ipsec

тут отсутствует кусок про сертификат CA и серверный сертификат

На сервере новый пользователь

System → Certificates → +

Имя должно ассоциироваться либо с пользователем (Фамилия инициалы) либо с устройством (инвентраный номер?) и должно содержать инкремент (потому что будем перевыпускать сертификаты, ассоциация желательно чтобы осталась прежняя, а два одинаковых имени - нельзя!)

Второй блок (Country, State, Locality, Org, Unit) заполнять не обязательно? но я бы предложил хотя бы Organization заполнять.

Common Name: пусть будет Имя без инкремента

Важное поле Days Valid: наверное штатным сотрудникам 365 или даже 730 (хотя я знаю, у вас будет 256, 512, …), а если известно что сотрудник не на долго (аудиторы, тьюторы и т.п.), то смотреть по ситуации.

Key Usage → tls client → OK

Подписываем только что созданный сертификат

Экспортируем, формат PKCS12, пароль не менее 8 символов (меньше 8 микротик не дает, а если вообще не вводить пароль, то микротик в сертификат не положит закрытый ключ)

сертификат устанавливаем клиенту (понадобится пароль с предыдущего шага)

к сертификату относиться внимательно он в месте с паролем (а если пароль лёгкий?) = доступ в нашу локальную сеть!

На клиенте Windows 10

устанавливаем сертификат

понадобятся Административные права на устройстве, сертификат и пароль от сертификата

двойной клик по сертификату

хранилище: Локальный компьютер

Далее, Вводим пароль Администратора Windows

Далее

вот здесь пароль сертификата, Далее

Далее, Готово, ОК

создаем подключение

в powershell (можно от непривилегированного пользователя):

Добавить VPN-соединение: 

Add-VpnConnection -Name "MOSIGRA-OFFICE" -ServerAddress "vpn.mosigra.su" -TunnelType "Ikev2" -AuthenticationMethod "MachineCertificate" -SplitTunneling
Add-VpnConnectionRoute -ConnectionName "MOSIGRA-OFFICE" -DestinationPrefix "192.168.4.0/22"
Add-VpnConnectionTriggerDnsConfiguration -Name "MOSIGRA-OFFICE" -DnsSuffix "hobbyworld.local" -DnsIPAddress 192.168.5.7
Add-VpnConnectionTriggerDnsConfiguration -Name "MOSIGRA-OFFICE" -DnsSuffix "mosigra.su" -DnsIPAddress 192.168.4.1
Add-VpnConnectionTriggerTrustedNetwork -ConnectionName "MOSIGRA-OFFICE" -DnsSuffix "hobbyworld.local"

Удалить VPN-соединение (соединение должно быть предварительно разорвано) 

Remove-VpnConnection -Name "MOSIGRA-OFFICE" -Force

остальные настройки удалятся автоматически,

но если нужно удалить только какие-то настройки, вот команды (соединение должно быть предварительно разорвано): 

Remove-VpnConnectionRoute -ConnectionName "MOSIGRA-OFFICE" -DestinationPrefix "192.168.4.0/22" -Force
Remove-VpnConnectionTriggerDnsConfiguration -ConnectionName "MOSIGRA-OFFICE" -DnsSuffix "hobbyworld.local" -Force
Remove-VpnConnectionTriggerDnsConfiguration -ConnectionName "MOSIGRA-OFFICE" -DnsSuffix "mosigra.su" -Force
Remove-VpnConnectionTriggerTrustedNetwork -ConnectionName "MOSIGRA-OFFICE" -DnsSuffix "hobbyworld.local" -Force

посмотреть всё про триггеры 

Get-VpnConnectionTrigger -ConnectionName "MOSIGRA-OFFICE"

Литература

удобные фишки для пользователей

Auto-Triggered или «незаметный» VPN https://habr.com/ru/company/microsoft/blog/216089/

при подключении Windows не пробрасывает опубликованные маршруты в туннель, а вместо этого использует КЛАССОВУЮ адресацию (архитектура сетевой адресации, которая использовалась в Интернете в период с 1981 по 1993 годы)!

https://forum.mikrotik.by/viewtopic.php?t=2118&start=10

https://serverfault.com/questions/1026041/mikrotik-ikev2-ipsec-windows-10-no-split-include-routes

настройка IPSEC IKEv2 auth by certificates

https://interface31.ru/tech_it/2020/04/nastraivaem-ikev2-vpn-server-na-routerah-mikrotik.html

https://habr.com/ru/post/504484/

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_using_IKEv2_with_RSA_authentication

https://habr.com/ru/company/ruvds/blog/498924/

расчетная пропускная скорость нашего mikrotik

https://mikrotik.com/product/RB3011UiAS-RM#fndtn-testresults

ipsec_ikev2.txt · Последнее изменение: Валерий

Инструменты страницы

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki