Настройка IKEv2-EAP на Mikrotik
Рет қаралды 2,973
Күн бұрын
@it-expert-spb 8 ай бұрын
Ссылка на статью: 1spla.ru/blog/ikev2-eap-mikrotik/ Скрипт: #Указываем в кавычках публичное имя вашего роутера :global commName "публичное-имя-вашего-роутера" #Указываем имя peer которое вы создали в разделе IP->IPSec, вкладка peers :global peerName "IKEv2-peer" ip service/enable www certificate/enable-ssl-certificate dns-name=$commName :delay 180s; :global certName [certificate/get [find where common-name=$commName] name] :global R3 [certificate/get [find where common-name=R3] name] :global X1 [certificate/get [find where common-name="ISRG Root X1"] name] ip/ipsec/identity/set [find where peer=$peerName] certificate="$certName,$R3,$X1" ip service/disable www :set commName :set peerName :set certName :set R3 :set X1
@DmitryYazva 2 ай бұрын
Спасибо за мануал! Пару поправок: публичное имя - не надо, серт от Let's Encrypt- не надо, достаточно созданного в CA самого микротика на Common Name = белый IP к которому выполняется подключение. Делал по другой инструкции подключение ни в какую не работало, в логе вылезала "radius timeout", пока по Вашей инструкции не поставил галку: /user-manager set enabled=yes.
@it-expert-spb 2 ай бұрын
Без публичного имени и LE не цеплялись топовые самсунги. Добавлял их т.к. задача требовала подключать и таких клиентов.
@ennyh2304 8 ай бұрын
Привет, дорогой друг!
@AlexPebodyGM 8 ай бұрын
Все круто ) в шедулер можно просто указать script1 но я бы не использовал LE для корп. сегмента.
@it-expert-spb 8 ай бұрын
Считаю не правильным плодить сущности) Шедулер - шедулер, скрипт - скрипт)) По поводу LE в корп. сегменте - вопрос холиварный) Если у тебя небольшая компания на 10 человек, то покупать серты - дорого) Городить CA в локалке - ещё дороже) В любом случае, я показал простой инструмент, а как им пользоваться решает каждый сам)
@alex-popov-k3o 3 ай бұрын
А вместо LE возможно использовать встроеный выпущеный сертификат микротика? Или понадобиться устанавливать вручную сертификат у каждого клиента отдельно в этом случае?
@it-expert-spb 3 ай бұрын
Возможно, но нужно будет CA сертификат на каждое клиентское устройство ставить.
@ЕгоровИван-ю7ж 3 ай бұрын
@@it-expert-spb пизд........
@DmitryYazva 2 ай бұрын
@@it-expert-spb Уж лучше так, нежели каждые три месяцы перевыпускать LE upd: Подключился с клиента без установленного сертификата CA
@RenamonMaxie 4 ай бұрын
Приветствую! Видео недавнее, однако на сайте с сертификатами, среди промежуточных нет R3, есть только E5, E6, R10, R11 - какой следует взять вместо R3?
@it-expert-spb 4 ай бұрын
Приветствую, да, есть такое, совсем забыл, при записи, о ротации сертификатов у LE. На странице letsencrypt.org/certificates/ наверху всегда есть актуальная картинка сертификатов. По состоянию на сейчас актуальная цепочка: X1 -> R10/R11. Я бы брал R10.
@RenamonMaxie 4 ай бұрын
Вероятно из-за того, что я взял сертификат R10 вместо R3, при попытке подключения я получаю ошибку "Неприемлемые учетные данные проверки подлинности IKEv2"
@RenamonMaxie 4 ай бұрын
Выполнение скрипта так же не помогло решить проблему к сожалению. ipsec error: got fatal error: AUTHENTICATION_FAILED
@ЕгоровИван-ю7ж 3 ай бұрын
@@RenamonMaxie У меня так-же что-только не пробовал ....
@wizik_channel 12 күн бұрын
@@RenamonMaxie и как решил проблему с авторизацией?
@SyedFaizanHasanJafri 17 күн бұрын
ike authentication credentials are unacceptable (windows 10-client end) nothing works, as everything was followed step by step.
@OlegAfonkins 5 ай бұрын
Привет! огромное спасибо за видео! но я вот не могу догнать, если у меня куплет multi-domain ssl у меня есть .crt .key я могу это так же настроить, его обновлять надо раз в год. Как это сделать? буду безумно благодарен за помощь.
@it-expert-spb 4 ай бұрын
Да, всё делается аналогично. Просто импортятся все имеющиеся сертификаты, включая рута.
@zhekis 4 ай бұрын
Подскажите как настроить или получить "публичное-имя-вашего-роутера" для chr ? ip-cloud недоступно в бесплатной версии.
@it-expert-spb 4 ай бұрын
В видео показан процесс настройки при условии, что у вас куплено доменное имя и есть доступ к управлению DNS-зоной, где вы должны сделать A-запись с именем, указывающим на публичный белый IP вашего роутера.
@OlegAfonkins 3 ай бұрын
Привет еще раз! У меня не заработало с LetsEncrypt, но заработало с моими сертификатими и только на windows, на Android к сожалению AUTH FAILED, но вопрос в другом, я делал IKEv2 и по PSK и так же сталкивался с одной и той же проблемой, я подключаюсь к к своему рутеру и получаю IP, но я не получаю Gateway и маску подсети, Вы случайно не знаете как это можно исправить? Я сделал всё как на вашем видео, только использовал свои сертификаты.
@it-expert-spb 3 ай бұрын
Если не завелось на андроиде, значит где-то какую-то опцию упустили. Перепроверьте всё ещё раз, т.к. у многих всё получилось и работает как надо. Шлюз на винде может не прилетать, если в свойствах VPN соединения снята галка "Использовать шлюз в удалённой сети", в противном случае, весь трафик по-умолчанию заворачивается в VPN интерфейс.
@stan_k 29 күн бұрын
как у вас это может работать в целом на android, если встроенный в android клиент не умеет ikev2-eap, а может только через psk???
@it-expert-spb 20 күн бұрын
Ну, если внимательно посмотреть видео, то на андроид ставится клиент strongswan)
@nervotrep86 2 ай бұрын
прошел все шаги, но при попытке подключения выдает ошибку Неприемлемые учетные данные проверки IKE. В микротике видно соединение в ActivePeears которое пропадает через 20 секунд. Куда копать?
@it-expert-spb 2 ай бұрын
Рекомендую зайти в наш ТГ чатик, там подобные проблемы уже разбирали. Ну и решать проблемы там оперативнее. Но я бы внимательно перепроверил все галки на типах шифрования и цепочку сертификатов. В любом случае, логами можно в чате поделиться, совместно найдём проблему.
@PabloAlexandrovich 7 ай бұрын
При подключении с винды, пишет "неприемлемые учетные данные проверки подлинности ike" , хотя с андроида всё ок
@it-expert-spb 7 ай бұрын
Надо перепроверить все галки в Proposals и Profiles. Андроиды менее капризные к типам шифрования, нежели винда. Даже 1 не там поставленная галка может привести к ошибкам подключения.
@935666 7 ай бұрын
Добрый! Всё получилось по вашей инструкции. Подключаюсь без проблем с win10, win11 и ios, а вот с win7 никак не могу. На микротике: no proposal chosen, на win7: 13868 Ошибка сопоставления групповой политики
@it-expert-spb 7 ай бұрын
Приятно слышать!) К сожалению, windows 7 перестала поддерживаться с 14 января 2020 года. В ней нет поддержки необходимых типов шифрования. Если пробовать понижать уровень шифрования со стороны Mikrotik, то тогда перестанут подключаться ios)
@ЕгоровИван-ю7ж 3 ай бұрын
это капец , столько гемора ))) Раньше с l2tp делал всё за 20 минут , сейчас надо два дня )))
@it-expert-spb 3 ай бұрын
Современные проблемы требуют современных решений!xD
@БольшиеКомпьютерныеСтолы 7 ай бұрын
С Mac OS не работает. Даже не подключается
@it-expert-spb 7 ай бұрын
Рекомендую перепроверить все ли галки выставлены верно. Данный конфиг был проверен на Windows, Mac OS, iPhone и Android (StrongSwan). Если по-прежнему возникают проблемы, можете написать в наш ТГ чатик, там более детально разберёмся.
@935666 7 ай бұрын
Не мог понять, почему у меня скрипт не отрабатывает.... Всё дело в кавычках! Автор, поправь, а то люди мучаются)
@it-expert-spb 7 ай бұрын
В комментарии поправил) Спасибо)
@ennyh2304 8 ай бұрын
Шумодава чуть-чуть не хватает 😞
@it-expert-spb 8 ай бұрын
Да, есть такое, рядом стоит стойка, шумит. Если чуть докрутить шумодав, начну терять голос))) За 3 года пока не записывал видео, много что поменялось. К следующему видео поправлю)
@ennyh2304 8 ай бұрын
Офис теперь в серверной? 😄 Хотя-бы будет тихо во время пауз
@it-expert-spb 8 ай бұрын
Инфраструктура выросла почти в 3 раза и появился здоровенный тестовый стенд в размере целой стойки прямо в офисе)
@ennyh2304 8 ай бұрын
Не бережете Вы себя и свои уши 😃
@342342ify 3 ай бұрын
У кого выдает ошибку got fatal error: AUTHENTICATION_FAILED нужно сначала импортировать в микротик сертификаты r10.pem_0 и isrgrootx1.pem_0 и потом генерировать сертификат для роутрера (/certificate/enable-ssl-certificate dns-name=****) после этого в identities выставляем сгенерированный сертификат-r10.pem_0-isrgrootx1.pem_0
@wizik_channel 12 күн бұрын
так а чем разница? из-за чего так?
@342342ify 8 күн бұрын
@wizik_channel думаю какие то зависимости есть, при генерации нового сертификата.
@MrSezius 5 ай бұрын
Добрый день. Помогите, пожалуйста, в чем может быть ошибка? Все сделал по инструкции, но при подключении с телефона через Strongswan в логах Jul 11 22:09:56 15[IKE] received end entity cert "CN=chr.3333.ru" Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R10" Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Internet Security Research Group, CN=ISRG Root X1" Jul 11 22:09:56 15[CFG] using certificate "CN=chr.3333.ru" Jul 11 22:09:56 15[CFG] no issuer certificate found for "CN=chr.3333.ru" Jul 11 22:09:56 15[CFG] issuer is "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Counterfeit Cashew R10" Jul 11 22:09:56 15[IKE] no trusted RSA public key found for 'CN=chr.3333.ru' Jul 11 22:09:56 15[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ] не могу понять, в чем ошибка. Пробовал устанавливать сертификаты корневого и R10 сервера на телефон, не помогает. И вообще изначально хотелось избежать возни с сертификатами.
@it-expert-spb 5 ай бұрын
Чтобы не было возни с сертификатами, в инструкции мы и устанавливаем х1 и r3 на роутер и пушим клиенту. Кстати, а почему у вас R10?!) Рекомендую перепроверить. Если не поможет, то в комментариях разбирать проблему не удобно, продублируйте вопрос в чат в телеграм, пожалуйста. Там и разберёмся и другие, если что, почитают решение)
@MrSezius 5 ай бұрын
@@it-expert-spb Сертификаты х1 и r10 установлены на Mikrotik и оба Trusted. А R10 потому что у Let's Encrypt есть ротация серверов. Сейчас выдаются сертификаты именно R10 и R11. В общем переустановил chr, настроил все с нуля и подключаться стал. Теперь надо донастроить, чтобы сам VPN заработал. Пока что-то не получается.
@it-expert-spb 5 ай бұрын
@@MrSezius век живи - век учись!) Никогда не обращал внимание, что ротация сертификатов LE происходит не по сроку действия. Ну, раз переустановка и настройка с нуля помогла, значит, где-то ошибка в конфиге, всё же, была. С настройкой рекомендация та же, если нужна помощь, вэлкам в чат в ТГ)
@MrSezius 5 ай бұрын
@@it-expert-spb а что за чат в ТГ? Ссылки не нашел. Клиент IP адрес получает, но не пойму, на какой интерфейс в самом Микротике повесить адрес из этой же подсети для теста и как настроить NAT. Вернее я пробовал вешать IP на lo интерфейс + пробовал стандартный NAT masquarade, но ни Микротик не пингуется, ни дальше в сеть не выходит.
@it-expert-spb 5 ай бұрын
@@MrSezius t.me/itexpertspbru
@Skif0007 Ай бұрын
че то сильно дохрена
@it-expert-spb Ай бұрын
Ну чтож поделать?! Такие времена... Безопасность требует настройки.