поднял VPN IKEv2 на роутере, раскидал сертификаты на 2 ПК - подключение выполняется без проблем (со стороны интерфейса WAN) и пакеты летают (подключаюсь встроенными средстави Win10), в IPsec Active peers появляются активные подключения. Но при попытке подключить телефон на андроиде - выхода в интернет нет. На вкладке IPsec Policies вижу, что для ПК выдаются согласно: /ip ipsec policy add dst-address=10.20.0.0/24 group=ikev2-policies proposal=IKEv2 src-address=0.0.0.0/0 template=yes, но для телефонов src-address=="адрес локальной сети"
На телефоне пробовал настраивать подключение встроенными средстави и с использованием ПО, но никак не могу исправить. Так же пробовал указать src-address=0.0.0.0/0 для каждого dst-address из списка Ip-IKEv2-Pool , но в этом случае все подключения обрываются спустя +-30сек, на ПК при этом происходит перезапуск сетевой карты.
А так же имеется дополнительный вопрос: возможно ли как-то определенным клиентам VPN сервера прописать доступ лишь к определенным ресурсам? Предполагаю это делается в Firewall, где необходимо указать IP клиента и ограничить его, но мне не совсем понятно каким образом происходит выдача IP адресов клиентам.
Код: Выделить всё
/ip ipsec profile
add name=IKEv2
/ip ipsec proposal
add name=IKEv2 pfs-group=none
/ip pool
add name=Ip-IKEv2-Pool ranges=10.20.0.100-10.20.0.120
/ip ipsec mode-config
add address-pool=ikev2-pool address-prefix-length=24 name=IKEv2-cfg split-include=192.168.88.0/24
/ip ipsec policy group
add name=ikev2-policies
/ip ipsec policy
add dst-address=10.20.0.0/24 group=ikev2-policies proposal=IKEv2 src-address=0.0.0.0/0 template=yes
/ip ipsec peer
add exchange-mode=ike2 name=IKEv2-peer passive=yes profile=IKEv2
/ip ipsec identity
add auth-method=digital-signature certificate=vpn.interface31.lab generate-policy=port-strict mode-config=IKEv2-cfg peer=IKEv2-peer policy-template-group=ikev2-policies
/ip firewall filter
add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp
/ip firewall filter
add action=accept chain=forward in-interface=ether1 ipsec-policy=in,ipsec
Он ведь и задумывался максимально простым как замена вот этим вот непонятным IPSec