Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей

[Sweik]

Добрый день, уважаемое сообщество.

Есть настроенный Remote Access - IPSec VPN with IKEv2, использующий аутентификацию по сертификатам. Код приведен ниже.

Код: Выделить всё

# jun/22/2018 00:05:00 by RouterOS 6.41
#
# model = RouterBOARD 3011UiAS

/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=ikev2-proposal pfs-group=none

/ip pool
add name=VPN ranges=192.168.10.1-192.168.10.62

/ip ipsec mode-config
add address-pool=VPN address-prefix-length=26 name=vpn_cfg1 \
    split-include=192.168.80.0/26

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
    dh-group=modp1024 enc-algorithm=aes-256,aes-128 exchange-mode=ike2 \
    generate-policy=port-strict mode-config=vpn_cfg1 passive=yes \
    remote-certificate=vpn.client01 send-initial-contact=no

Вопрос простой - а если у меня планируется больше одного удаленного пользователя и каждому из них я хотел бы дать свой сертификат (так удобнее администрировать), что мне для каждого такого подключения будет необходимо создавать свой отдельный ip ipsec peer ?
А нельзя ли создать один общий ip ipsec peer и в качестве пераметра

Код: Выделить всё

remote-certificate=

указать группу клиентских сертификатов ?

Заранее и с уважением.

[Chupaka]

Увы, сертификат - это сертификат, а не группа Но чтобы не копировать кучу текста - можно при добавлении делать какой-нибудь

Код: Выделить всё

ip ipsec peer add remote-certificate=blablabla copy-from=XXX

[Sweik]

Добрый день.
Спасибо за ответ. Правильно ли понял, что для каждого пользователя будет необходимо создавать свой отдельный ip ipsec peer ?

С уважением

[Chupaka]

Увы, на практике ничего подобного не делал. По тексту думал, оно так уже проверено, с несколькими пирами, и работает

[Sweik]

С логической точки зрения, так оно и надо делать.
Вопрос задал, т.к. думал "а вдруг есть хитрый финт?"

С уважением

[Sweik]

Добрый день.

Подниму тему, ибо сам не могу решить проблему
свежу ситуацию:
настраиваю удаленный доступ из-вне к ресурсам локальной сети. Использую IKEv2 IPSec VPN с аутентифкацией по сертификатам.

Настроил для себя любимого, все работает великолепно. Стал настраивать бизнесу и ....

Вопрос следующий - а можно ли настроить доступ для использования его несколькими (многими) пользователями? При этом, у каждого пользователя должен быть свой сертфикат.

Я столкнулся с такой проблемой - при добавлении Peers для второго (и следующих) пользователей получаю ошибку This entry is unreachable

peers.png

Если же я игнорирую эту ошибку, то Remote Access перестает быть доступным для всех:

ike error.PNG

Конфиг ниже, правила для FW я не указывал, т.к. с ними вопросов нет

Код: Выделить всё

/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=8h name=phase1_ra_win10

/ip ipsec policy group
add name=remote_access

/ip ipsec proposal
add enc-algorithms=aes-256-cbc lifetime=1h name=phase2_ra_win10 pfs-group=none

/ip pool
add name=Adv-RemoteAccess-pool ranges=192.168.20.2-192.168.20.62

ip ipsec mode-config
add address-pool=Adv-RemoteAccess-pool address-prefix-length=26 name=r_access_cfg split-include=192.168.40.0/26


/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
    comment="Remote Acces - Yuri S" exchange-mode=ike2 generate-policy=\
    port-strict mode-config=r_access_cfg passive=yes policy-template-group=\
    remote_access profile=phase1_ra_win10 remote-certificate=yuri.sazonov \
    send-initial-contact=no
/ip ipsec policy
set 0 comment="Remote Access (Road Warrior)" dst-address=192.168.20.0/26 \
    group=remote_access proposal=phase2_ra_win10 src-address=0.0.0.0/0

[Chupaka]

О какой версии речь? В последних были изменения возможно на эту тему.

Вроде

*) ike2 - allow to match responder peer by "my-id=fqdn" field;

или даже скорее

*) ipsec - removed limitation that allowed only single "auth-method" with the same "exchange-mode" as responder;

в 6.44

[Sweik]

Работаю с 6.43.12.

Спасибо за "наводку", пошел читать release notes

P.S. "Обожаю" их английский

[Chupaka]

Да вроде английский как английский =)

[Sweik]

Как минимум, меню IPSec в 6.44. соответсвует документации:
https://wiki.mikrotik.com/wiki/Manual:I ... entication

вопрос ставлю на паузу, вечером обнлвлюсь и попробую еще раз

[Sweik]

Получилось настроить
Прошивка 6.44. радикально отличается от предыдущих. В ней даже подкрутили split-include.
Сейчас два различных пользователя с двумя различными сертификатами успешно подключаются.

Вопрос следующий - для чего в примере указан вот этот Identity?

Identity configuration

Identity menu allows to match specific remote peers and assign different configuration for each one of them. First, create a default identity, that will accept all peers, but will verify the peer's identity with its certificate.

Код: Выделить всё

/ip ipsec identity
add auth-method=rsa-signature certificate=server1 generate-policy=port-strict mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies

Я прпоробовал конфигурацию без него, но с двумя Identity, созданными для каждого из двух клиентов (следующие абзацы того же примера) и удаленное подключение, все равно, работает.
А кроме того, при таком подходе очень удобно блокировать пользователей (мало ли).

Спасибо

[invint2013]

Здравствуйте! Можете по подробней рассказать как у вас получилось?
У меня что то не получается сделать чтоб сертификат работал на пользователя, что нужно сднлать?