Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей

Сообщение Sweik » 22 июн 2018, 11:17

Добрый день, уважаемое сообщество.

Есть настроенный Remote Access - IPSec VPN with IKEv2, использующий аутентификацию по сертификатам. Код приведен ниже.

Код: Выделить всё

# jun/22/2018 00:05:00 by RouterOS 6.41
#
# model = RouterBOARD 3011UiAS

/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=ikev2-proposal pfs-group=none

/ip pool
add name=VPN ranges=192.168.10.1-192.168.10.62

/ip ipsec mode-config
add address-pool=VPN address-prefix-length=26 name=vpn_cfg1 \
    split-include=192.168.80.0/26

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
    dh-group=modp1024 enc-algorithm=aes-256,aes-128 exchange-mode=ike2 \
    generate-policy=port-strict mode-config=vpn_cfg1 passive=yes \
    remote-certificate=vpn.client01 send-initial-contact=no
Вопрос простой - а если у меня планируется больше одного удаленного пользователя и каждому из них я хотел бы дать свой сертификат (так удобнее администрировать), что мне для каждого такого подключения будет необходимо создавать свой отдельный ip ipsec peer ?
А нельзя ли создать один общий ip ipsec peer и в качестве пераметра

Код: Выделить всё

remote-certificate=
указать группу клиентских сертификатов ?

Заранее и с уважением.
С уважением

Аватара пользователя
Chupaka
Сообщения: 1034
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей

Сообщение Chupaka » 22 июн 2018, 18:08

Увы, сертификат - это сертификат, а не группа :) Но чтобы не копировать кучу текста - можно при добавлении делать какой-нибудь

Код: Выделить всё

ip ipsec peer add remote-certificate=blablabla copy-from=XXX

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей

Сообщение Sweik » 27 июн 2018, 15:31

Добрый день.
Спасибо за ответ. Правильно ли понял, что для каждого пользователя будет необходимо создавать свой отдельный ip ipsec peer ?

С уважением
С уважением

Аватара пользователя
Chupaka
Сообщения: 1034
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей

Сообщение Chupaka » 27 июн 2018, 15:42

Увы, на практике ничего подобного не делал. По тексту думал, оно так уже проверено, с несколькими пирами, и работает :)

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей

Сообщение Sweik » 27 июн 2018, 16:07

С логической точки зрения, так оно и надо делать.
Вопрос задал, т.к. думал "а вдруг есть хитрый финт?"

С уважением
С уважением

Ответить