Mikrotik ipsec ikev2 клиент

Содержание
  1. IKEv2 туннель между MikroTik и StrongSwan: EAP ms-chapv2 и доступ к сайтам
  2. Введение
  3. Конфигурация StrongSwan
  4. Импорт сертификатов и настройка IPSec MikroTik
  5. Настройка маршрутизации трафика и списка ресурсов
  6. Заключение
  7. Mikrotik ipsec ikev2 клиент
  8. Re: Mikrotik as IPSec/IKEv2 client
  9. Re: Mikrotik as IPSec/IKEv2 client
  10. Re: Mikrotik as IPSec/IKEv2 client
  11. Re: Mikrotik as IPSec/IKEv2 client
  12. Инструкции по настройке MikroTik
  13. Настройка MikroTik IKEv2, создание SSL для защиты VPN
  14. Содержание
  15. Чем отличается IKEv2 от IpSec
  16. Настройка VPN туннеля IKEv2 между двумя MikroTik
  17. Создание SSL сертификата для VPN сервера IKEv2
  18. Создание SSL сертификата для CA
  19. Указать возможность подписи данным сертификатом других сертификатов
  20. Подпись CA сертификата
  21. Создание сертификата SSL для IKEv2 VPN сервера
  22. Указать возможность использовать этот сертификат в качестве серверного
  23. Подпись сертификата для IKEv2 сервера центром сертификации(CA)
  24. Создание сертификата SSL для IKEv2 VPN клиента
  25. Указать возможность использовать этот сертификат в качестве клиентского
  26. Подпись сертификата для IKEv2 клиента центром сертификации(CA)
  27. Экспорт сертификата SSL для VPN клиента
  28. Место хранение SSL сертификата в MikroTik
  29. Настройка VPN IKEv2 туннеля для MikroTik сервера
  30. Создание IpSec Profile, phase-1
  31. Добавление Peer, узел-клиент
  32. Определение методов авторизации
  33. Создание IpSec Proposal, phase-2
  34. Добавление IpSec Policy
  35. Настройка VPN IKEv2 туннеля для MikroTik клиента
  36. Загрузка SSL сертификата для VPN IKEv2 клиента
  37. Импорт SSL сертификата
  38. Создание IpSec Profile, phase-1
  39. Добавление Peer, узел-сервер
  40. Определение методов авторизации для VPN клиента
  41. Создание IpSec Proposal, phase-2
  42. Добавление IpSec Policy для VPN клиента
  43. Тестирование скорости VPN туннелей IKEv2 и IpSec
  44. Bandwidth Test IKEv2
  45. Bandwidth Test IpSec
  46. Проблемы при работе VPN IKEv2

IKEv2 туннель между MikroTik и StrongSwan: EAP ms-chapv2 и доступ к сайтам

Введение

Идея статьи возникла из желания пропускать определенные сайты через VPN-туннель напрямую через маршрутизатор, так как дома большое количество устройств, а пускать весь трафик через VPN неудобно в связи с низкой пропускной способностью туннеля. Статья написана сразу после создания конфигурации. Настройка будет проходить в Winbox MikroTik.

Конфигурация StrongSwan

Здесь я рассмотрю только основные конфигурационные файлы StrongSwan, без углубления в настройку данного демона.

iptables на VPS

Импорт сертификатов и настройка IPSec MikroTik

Импорт сертификатов

Для добавления сертификатов, необходимо перенести их в память вашего MikroTik в раздел Files.

Импортируем открытый ключ корневого сертификата вашего центра сертификации на VPS на котором установлен StrongSwan.

Последовательно импортируем открытый и закрытый ключи авторизации используемые в конфигурации StrongSwan.

Настройка клиента IPsec

Импортируем закрытый ключ авторизации StrongSwan, для использования в клиенте.

Далее, последовательно настраиваем профиль VPN-клиента.

Вместо «VPS IP» указываем адрес вашего сервера, где развернут StrongSwan.

В разделе IPsec Idenity настраиваем профиль авторизации, указываем учётные данные и сертификат импортированный ранее.

После выполнения этого шага туннель между MikroTik и StrongSwan будет поднят автоматически.

Вывод в разделе Log при успешной авторизации

В разделе IP -> Addresses при успешной авторизации, появится IP адрес выданный StrongSwan.

Читайте также:  Перепрошивку роутера dir 300

Настройка маршрутизации трафика и списка ресурсов

В разделе NAT создаем правило перенаправления трафика.

В данном случае я использовал списки адресов.

local — подсеть маршрутизатора.

List1 — список сайтов.

Перенаправляем трафик на шлюз(IP адрес выданный StrongSwan)

Настройка списков

В разделе Address Lists необходимо добавить следующие списки:

local — подсеть маршрутизатора, в моем случае 192.168.1.0/24

List1 — список сайтов. Например habr.com, можно добавить сайт по fqdn, ip адрес будет определён автоматически.

Заключение

В данной статье я постарался подробно описать настройку туннеля между MicroTik и StrongSwan. Очень жду фидбека и вашей конструктивной критики.

Источник

Mikrotik ipsec ikev2 клиент

Sat Feb 09, 2019 9:26 am

Re: Mikrotik as IPSec/IKEv2 client

Tue Feb 12, 2019 5:27 am

I’m not sure anyone really knows how to do this as I’ve asked similar questions. I’ve tried using certificates but they just don’t work. The guide is not very good and I think it needs updating with a fool proof step by step instructions list — with pictures!

I’ll be watching this thread for a solution.

Re: Mikrotik as IPSec/IKEv2 client

Tue Feb 12, 2019 8:21 am

IPsec in RouterOS is not interface based. It has a separate menu under IP section. The manual for IKEv2 client with RSA signature authentication is available here and is pretty straight forward.

What authentication method are you using in strongSwan?

Re: Mikrotik as IPSec/IKEv2 client

Wed Feb 13, 2019 6:38 pm

Instruction for client doesn’t work. There’s no user/password information

1.
/certificate import file-name=ca-cert.pem_0
/certificate print
# NAME COMMON-NAME SUBJECT-ALT-NAME FINGERPRINT
0 T ca-cert.pem_0 VPN . 692.

2.
/ip ipsec peer add address=77.xx.xx.xx auth-method=rsa-signature certificate=ca-cert.pem_0 mode-config=request-only exchange-mode=ike2 generate-policy=port-strict
where 77.xx.xx.xx is my VPN server IP address
rule added

3.
/ip ipsec
remote-peers print
installed-sa print
everything is empty

4.
server side
sudo ipsec status
nothing connected

In this solution we have client certificate, VPN IP address but no information about user and password

strongSwan VPN server:
— RSA encryption
— size of the public key 4096
— algorithm SHA-384, RSA encryption
— key shortcuts
SHA-256
69 . . . . . . .
SHA-1
b7 . . . . . . .

Re: Mikrotik as IPSec/IKEv2 client

Wed Feb 13, 2019 9:56 pm

I’ve been using a Mikrotik AC^2 client connecting to a Debian server with IPSEC-secured GRE for quite some time.

Recently I switched to certificate based auth (previously, PSK and then RSA keys).

Shared some tips here, hope this may be useful:

Basically, one difficult part is creating the certs (for me at least), another is making sure the certs have the necessary stuff in their subjectAltNames, and finally debugging (troubleshooting) can be quite difficult. For this I suggest watching your server logs as Mikrotik is trying to connect.

Читайте также:  Пароли по умолчанию wifi для роутеров tp link

If necessary it’s also possible to enable IPSEC logging on the Mikrotik side.

FWIW, my current strongSwan config.

There are two certs on the server — the CA and the server’s own cert, and also a private key for the server cert.

The client (Mikrotik) has its own cert (issued by the same CA) and also the server cert. Both are set in IP / IPSec / Identity.

The idea is that the server validates the certificate sent by the client against the CA that it has. It’s also possible to validate against a specific client certificate (I’m not doing that).

I’m running RouterOS 6.44 beta, it has some IPSec fixes which help stability. Everything is running very well for me (finally) but yes it took some time.

Источник

Инструкции по настройке MikroTik

Настройка MikroTik IKEv2, создание SSL для защиты VPN

Инструкция по настройке IKEv2 между двумя роутерами MikroTik. Будут рассмотрены все этапы настройки IKEv2 как серверной так клиентской части, а также произведен сравнительный тест скорости между IKEv1 и IKEv2.

Содержание

Присутствие SSL в любой системе повышает не только доверие среди пользователей, но и уровень защищенности таких соединений. SSL доверяют банки, корпорации и это является первым признаком надежности службы. Ранее были рассмотрены такие типы VPN туннелей:

  • ;
  • ;
  • ;
  • ( не рекомендуется к использованию в корпоративных средах! );
  • .

VPN туннели стали первой необходимостью в современной ИТ инфраструктуре, их используют как сотрудники так и целые отделы, обеспечивая удаленный доступ к корпоративным ресурсам. Частым решением выступает OpenVPN: готовый и надежный opensource продукт для удаленного доступа. Отличительной чертой IKEv2 от OpenVPN является то, что IKEv2 больше ориентирован на коммуникацию между аппаратными маршрутизаторами(роутерами), а OpenVPN имеет больше программную ориентацию, т.е. требует наличие ПК, смартфона или сервера.

Чем отличается IKEv2 от IpSec

Стоит сразу отметить что IKEv2 это разновидность IpSec с применением SSL сертификатов. Данная конструкция наследует все положительные качества у протокола IpSec такие как аппаратная поддержка маршрутизаторами(роутерами) и высокий уровень защищенности соединения. К разработке приложили руку такие гиганты как Microsoft и Cisco.

IKE (Internet Key Exchange) как v1 использует pre shared key, а как v2 – SSL сертификат. Обе версии относятся к phase-1, как первый этап, на котором происходит согласование между клиентами, устанавливающими между собой VPN туннель. Большинство ошибок, которые могут встретиться при настройке IpSec как правило происходят именно на phase-1.

В конце статьи приведено тестовое сравнение IKEv2 и IpSec по скоростной характеристики через Bandwidth Test.

Настройка VPN туннеля IKEv2 между двумя MikroTik

Как видно из названия раздела, схема подключения будет состоять из двух маршрутизаторов(роутеров) MikroTik, объединённых между собой VPN туннелем типа IKEv2. Для туннелей подобного типа не принято использовать обозначения типа VPN сервер и VPN клиент, но для того, чтобы зафиксировать иерархию устройств будет определено:

Читайте также:  Wifi роутер с sip

IKEv2 VPN сервер – роутер MikroTik-1. Будет управлять валидностью сертификатов, а также заниматься аутентификацией клиентов по SSL;

IKEv2 VPN клиент – роутер MikroTik-2.

Создание SSL сертификата для VPN сервера IKEv2

Всего будет создано три разных сертификата для:

  • Центра сертификации(CA);
  • VPN cервера IKEv2;
  • VPN клиента IKEv2.

Создание SSL сертификата для CA

Настройка находится System→Certificates

Указать возможность подписи данным сертификатом других сертификатов

Подпись CA сертификата

Создание сертификата SSL для IKEv2 VPN сервера

Указать возможность использовать этот сертификат в качестве серверного

Подпись сертификата для IKEv2 сервера центром сертификации(CA)

Создание сертификата SSL для IKEv2 VPN клиента

Указать возможность использовать этот сертификат в качестве клиентского

Подпись сертификата для IKEv2 клиента центром сертификации(CA)

Экспорт сертификата SSL для VPN клиента

Место хранение SSL сертификата в MikroTik

Настройка находится Files→File List→Download

Настройка VPN IKEv2 туннеля для MikroTik сервера

Настройка части IpSec отличается от типичной конфигурации с открытым ключом только разделом Identities, который будет осуществлять обязательную проверку сертификата со стороны VPN клиента. Этот функционал не только обладает свойствами защиты соединения и трафика, но может служить в качестве инструмента по управлению разрешениями для доступа.

Создание IpSec Profile, phase-1

Настройка находится в IP→IPsec→Profile

Добавление Peer, узел-клиент

Настройка находится в IP→IPsec→Peers

Определение методов авторизации

Настройка находится в IP→IPsec→Identities

  • Match By = certificate– проверяет сертификат указанный в Remote Certificate с сертификатом, со стороны VPN клиента.

Создание IpSec Proposal, phase-2

Настройка находится в IP→IPsec→Proposals

Добавление IpSec Policy

Настройка находится в IP→IPsec→Policies


Настройка VPN IKEv2 туннеля для MikroTik клиента

В этом разделе нужно выполнить 2 задачи:

  • импортировать сертификат с VPN сервера;
  • настроить IKEv2 VPN клиент.

Загрузка SSL сертификата для VPN IKEv2 клиента

Настройка находится Files→File List→Upload

Импорт SSL сертификата

Создание IpSec Profile, phase-1

Настройка находится в IP→IPsec→Profile

Добавление Peer, узел-сервер

Настройка находится в IP→IPsec→Peers

Определение методов авторизации для VPN клиента

Настройка находится в IP→IPsec→Identities

Создание IpSec Proposal, phase-2

Настройка находится в IP→IPsec→Proposals

Добавление IpSec Policy для VPN клиента

Настройка находится в IP→IPsec→Policies

Тестирование скорости VPN туннелей IKEv2 и IpSec

В качестве тестового стенда были использованы два маршрутизатора(роутера) с аппаратной поддержкой IpSec – MikroTik Hap Ac2.

Время каждого теста 20 сек.

Bandwidth Test IKEv2

Bandwidth Test IpSec

По результатам стоит отметить, что IKEv2 опережает на несколько пунктов IpSec. Это может показаться незначительным, но аналогичные показатели IKEv2 демонстрирует на разных каналах и устройствах. Это может быть весомой причиной при выборе протокола для шифрования VPN трафика.

Проблемы при работе VPN IKEv2

Самые распространённые случаи описаны в статье “ Настройка MikroTik IpSec, проблемы при работе → “:

Есть вопросы или предложения по настройке VPN типа IKEv2 в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий

Источник

Adblock
detector