IKEv2

[okioki]

Здравствуйте.
Настроен ikev2 vpn на микротике. (auth метод: digital signatute) по презентации Н. Тарикина MUM Russia 2019. Клиент win 10. Все работает. Клиентский сертификат импортирован в систему. Но при соединении не запрашивает логин и пароль. Некоторых пользователей это напрягает. Есть ли возможность дополнительно к сертификату настроить запрос логина и пароля? Или я могу с чистой совестью отвечать, что такое не предусмотрено?

[Chupaka]

Приветствую.

Для истории - ссылка на презентацию: https://mum.mikrotik.com/presentations/ ... 108931.pdf (с креативом там, конечно, всё хорошо )

Напрягает что? Само отсутствие пароля? Так ведь пароль менее надёжный в сравнении с ключом - пароль подобрать гораздо проще Поэтому надо объяснить клиенту, что его сертификат - это только его сертификат, и его надо хранить, как пароль.

Можно, корнечно, поиграться с auth method: rsa signature hybrid, там и сертификат, и логин, и пароль...

[okioki]

Здравствуйте. Напрягает, что недобросовестные отпрыски могут установить соединение с сетью предприятия.
Хорошо бы и сертификат, и логин, и пароль.

[okioki]

https://wiki.mikrotik.com/wiki/Manual:I ... Identities
rsa-signature-hybrid - responder certificate authentication with initiator XAuth.
Only supported in IKEv1
Похоже, что IKEv2 это не поддерживает...

[Chupaka]

М-м-м... Может, если пароль на сертификат установить - то его будет спрашивать при подключении? %)