Страница 1 из 1
Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Добавлено: 22 июн 2018, 11:17
Sweik
Добрый день, уважаемое сообщество.
Есть настроенный Remote Access - IPSec VPN with IKEv2, использующий аутентификацию по сертификатам. Код приведен ниже.
Код: Выделить всё
# jun/22/2018 00:05:00 by RouterOS 6.41
#
# model = RouterBOARD 3011UiAS
/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=ikev2-proposal pfs-group=none
/ip pool
add name=VPN ranges=192.168.10.1-192.168.10.62
/ip ipsec mode-config
add address-pool=VPN address-prefix-length=26 name=vpn_cfg1 \
split-include=192.168.80.0/26
/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
dh-group=modp1024 enc-algorithm=aes-256,aes-128 exchange-mode=ike2 \
generate-policy=port-strict mode-config=vpn_cfg1 passive=yes \
remote-certificate=vpn.client01 send-initial-contact=no
Вопрос простой - а если у меня планируется больше одного удаленного пользователя и каждому из них я хотел бы дать свой сертификат (так удобнее администрировать), что мне для каждого такого подключения будет необходимо создавать свой отдельный
ip ipsec peer ?
А нельзя ли создать один общий
ip ipsec peer и в качестве пераметра
указать группу клиентских сертификатов ?
Заранее и с уважением.
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей
Добавлено: 22 июн 2018, 18:08
Chupaka
Увы, сертификат - это сертификат, а не группа
Но чтобы не копировать кучу текста - можно при добавлении делать какой-нибудь
Код: Выделить всё
ip ipsec peer add remote-certificate=blablabla copy-from=XXX
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей
Добавлено: 27 июн 2018, 15:31
Sweik
Добрый день.
Спасибо за ответ. Правильно ли понял, что для каждого пользователя будет необходимо создавать свой отдельный ip ipsec peer ?
С уважением
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей
Добавлено: 27 июн 2018, 15:42
Chupaka
Увы, на практике ничего подобного не делал. По тексту думал, оно так уже проверено, с несколькими пирами, и работает
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature ля нескольких пользователей
Добавлено: 27 июн 2018, 16:07
Sweik
С логической точки зрения, так оно и надо делать.
Вопрос задал, т.к. думал "а вдруг есть хитрый финт?"
С уважением
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Добавлено: 27 фев 2019, 17:16
Sweik
Добрый день.
Подниму тему, ибо сам не могу решить проблему
свежу ситуацию:
настраиваю удаленный доступ из-вне к ресурсам локальной сети. Использую IKEv2 IPSec VPN с аутентифкацией по сертификатам.
Настроил для себя любимого, все работает великолепно. Стал настраивать бизнесу и ....
Вопрос следующий - а можно ли настроить доступ для использования его несколькими (многими) пользователями? При этом, у каждого пользователя должен быть свой сертфикат.
Я столкнулся с такой проблемой - при добавлении Peers для второго (и следующих) пользователей получаю ошибку This entry is unreachable
peers.png
Если же я игнорирую эту ошибку, то Remote Access перестает быть доступным для всех:
ike error.PNG
Конфиг ниже, правила для FW я не указывал, т.к. с ними вопросов нет
Код: Выделить всё
/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=8h name=phase1_ra_win10
/ip ipsec policy group
add name=remote_access
/ip ipsec proposal
add enc-algorithms=aes-256-cbc lifetime=1h name=phase2_ra_win10 pfs-group=none
/ip pool
add name=Adv-RemoteAccess-pool ranges=192.168.20.2-192.168.20.62
ip ipsec mode-config
add address-pool=Adv-RemoteAccess-pool address-prefix-length=26 name=r_access_cfg split-include=192.168.40.0/26
/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
comment="Remote Acces - Yuri S" exchange-mode=ike2 generate-policy=\
port-strict mode-config=r_access_cfg passive=yes policy-template-group=\
remote_access profile=phase1_ra_win10 remote-certificate=yuri.sazonov \
send-initial-contact=no
/ip ipsec policy
set 0 comment="Remote Access (Road Warrior)" dst-address=192.168.20.0/26 \
group=remote_access proposal=phase2_ra_win10 src-address=0.0.0.0/0
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Добавлено: 28 фев 2019, 13:51
Chupaka
О какой версии речь? В последних были изменения возможно на эту тему.
Вроде
*) ike2 - allow to match responder peer by "my-id=fqdn" field;
или даже скорее
*) ipsec - removed limitation that allowed only single "auth-method" with the same "exchange-mode" as responder;
в 6.44
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Добавлено: 28 фев 2019, 14:34
Sweik
Работаю с 6.43.12.
Спасибо за "наводку", пошел читать release notes
P.S. "Обожаю" их английский
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Добавлено: 28 фев 2019, 14:36
Chupaka
Да вроде английский как английский =)
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Добавлено: 28 фев 2019, 14:40
Sweik
Как минимум, меню IPSec в 6.44. соответсвует документации:
https://wiki.mikrotik.com/wiki/Manual:I ... entication
вопрос ставлю на паузу, вечером обнлвлюсь и попробую еще раз
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Добавлено: 28 фев 2019, 19:43
Sweik
Получилось настроить
Прошивка 6.44. радикально отличается от предыдущих. В ней даже подкрутили split-include.
Сейчас два различных пользователя с двумя различными сертификатами успешно подключаются.
Вопрос следующий - для чего в
примере указан вот этот Identity?
Identity configuration
Identity menu allows to match specific remote peers and assign different configuration for each one of them. First, create a default identity, that will accept all peers, but will verify the peer's identity with its certificate.
Код: Выделить всё
/ip ipsec identity
add auth-method=rsa-signature certificate=server1 generate-policy=port-strict mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies
Я прпоробовал конфигурацию без него, но с двумя Identity, созданными для каждого из двух клиентов (следующие абзацы того же примера) и удаленное подключение, все равно, работает.
А кроме того, при таком подходе очень удобно блокировать пользователей (мало ли).
Спасибо
Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Добавлено: 30 мар 2021, 14:12
invint2013
Здравствуйте! Можете по подробней рассказать как у вас получилось?
У меня что то не получается сделать чтоб сертификат работал на пользователя, что нужно сднлать?