Настройка IKEv2 IPSec

Базовая функциональность RouterOS
Ответить
Daniel
Сообщения: 2
Зарегистрирован: 24 июн 2022, 16:41

Настройка IKEv2 IPSec

Сообщение Daniel »

Добрый день,

поднял VPN IKEv2 на роутере, раскидал сертификаты на 2 ПК - подключение выполняется без проблем (со стороны интерфейса WAN) и пакеты летают (подключаюсь встроенными средстави Win10), в IPsec Active peers появляются активные подключения. Но при попытке подключить телефон на андроиде - выхода в интернет нет. На вкладке IPsec Policies вижу, что для ПК выдаются согласно: /ip ipsec policy add dst-address=10.20.0.0/24 group=ikev2-policies proposal=IKEv2 src-address=0.0.0.0/0 template=yes, но для телефонов src-address=="адрес локальной сети"
На телефоне пробовал настраивать подключение встроенными средстави и с использованием ПО, но никак не могу исправить. Так же пробовал указать src-address=0.0.0.0/0 для каждого dst-address из списка Ip-IKEv2-Pool , но в этом случае все подключения обрываются спустя +-30сек, на ПК при этом происходит перезапуск сетевой карты.

А так же имеется дополнительный вопрос: возможно ли как-то определенным клиентам VPN сервера прописать доступ лишь к определенным ресурсам? Предполагаю это делается в Firewall, где необходимо указать IP клиента и ограничить его, но мне не совсем понятно каким образом происходит выдача IP адресов клиентам.

Код: Выделить всё

/ip ipsec profile
add name=IKEv2
/ip ipsec proposal
add name=IKEv2 pfs-group=none
/ip pool
add name=Ip-IKEv2-Pool ranges=10.20.0.100-10.20.0.120
/ip ipsec mode-config
add address-pool=ikev2-pool address-prefix-length=24 name=IKEv2-cfg split-include=192.168.88.0/24
/ip ipsec policy group
add name=ikev2-policies
/ip ipsec policy
add dst-address=10.20.0.0/24 group=ikev2-policies proposal=IKEv2 src-address=0.0.0.0/0 template=yes
/ip ipsec peer
add exchange-mode=ike2 name=IKEv2-peer passive=yes profile=IKEv2
/ip ipsec identity
add auth-method=digital-signature certificate=vpn.interface31.lab generate-policy=port-strict mode-config=IKEv2-cfg peer=IKEv2-peer policy-template-group=ikev2-policies
/ip firewall filter
add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp
/ip firewall filter
add action=accept chain=forward in-interface=ether1 ipsec-policy=in,ipsec
Снимок1.JPG
Снимок1.JPG (40.78 КБ) 1610 просмотров
Снимок.JPG
Снимок.JPG (39.91 КБ) 1610 просмотров
PS Если написал каку-либо глупость - прошу не ругать, я в этом не профессионал
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка IKEv2 IPSec

Сообщение Chupaka »

Добрый.

Вы простите, что я со своим самоваром, но... Не пробовали Wireshark? :) Он ведь и задумывался максимально простым как замена вот этим вот непонятным IPSec :) И адреса там вручную выдаются =)
Daniel
Сообщения: 2
Зарегистрирован: 24 июн 2022, 16:41

Re: Настройка IKEv2 IPSec

Сообщение Daniel »

Chupaka, да я только "за", вот только в гугле в основном все инструкции для поднятия VPN IKEv2 написаны с использованием IPSec ))
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка IKEv2 IPSec

Сообщение Chupaka »

Мда уш, какой ещё Wireshark... Wireguard, конечно! Зарапортовался...

Я имею в виду, уйти от IPSec с его IKE - и поднять чистый Wireguard. Я как свои роутеры пару месяцев назад перевёл на него - так стал почти фанатом :)
Ответить