IKEv2

Базовая функциональность RouterOS
okioki
Сообщения: 5
Зарегистрирован: 19 июн 2019, 09:26

IKEv2

Сообщение okioki »

Здравствуйте.
Настроен ikev2 vpn на микротике. (auth метод: digital signatute) по презентации Н. Тарикина MUM Russia 2019. Клиент win 10. Все работает. Клиентский сертификат импортирован в систему. Но при соединении не запрашивает логин и пароль. Некоторых пользователей это напрягает. Есть ли возможность дополнительно к сертификату настроить запрос логина и пароля? Или я могу с чистой совестью отвечать, что такое не предусмотрено?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2

Сообщение Chupaka »

Приветствую.

Для истории - ссылка на презентацию: https://mum.mikrotik.com/presentations/ ... 108931.pdf (с креативом там, конечно, всё хорошо :) )

Напрягает что? Само отсутствие пароля? Так ведь пароль менее надёжный в сравнении с ключом - пароль подобрать гораздо проще :) Поэтому надо объяснить клиенту, что его сертификат - это только его сертификат, и его надо хранить, как пароль.

Можно, корнечно, поиграться с auth method: rsa signature hybrid, там и сертификат, и логин, и пароль...
okioki
Сообщения: 5
Зарегистрирован: 19 июн 2019, 09:26

Re: IKEv2

Сообщение okioki »

Здравствуйте. Напрягает, что недобросовестные отпрыски могут установить соединение с сетью предприятия.
Хорошо бы и сертификат, и логин, и пароль.
okioki
Сообщения: 5
Зарегистрирован: 19 июн 2019, 09:26

Re: IKEv2

Сообщение okioki »

https://wiki.mikrotik.com/wiki/Manual:I ... Identities
rsa-signature-hybrid - responder certificate authentication with initiator XAuth.
Only supported in IKEv1
Похоже, что IKEv2 это не поддерживает...
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2

Сообщение Chupaka »

М-м-м... Может, если пароль на сертификат установить - то его будет спрашивать при подключении? %)