Оглавление
Поднимаем IKEv2 сервер на Микротик с клиентом на Android через приложение Strongswan.
RouterOS 6.49.13
Android 13
Настройка Микротик
Добавление пула адресов выдаваемых клиентам
/ip pool add name=ike2-pool ranges=172.20.1.0-172.20.1.20
Создание сертификатов
Корневой сертификат:
/certificate
add name=IKE2--CA common-name=IKE2--CA key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign trusted=yes
sign IKE2--CA
:delay 10
Сертификат сервера:
или если будем подключаться по IP, то пишем subject-alt-name=IP:ip_адрес_сервера
Если в поле “Subject Alt Name” указано FQDN, будете подключаться именно по имени, если указываете IP, то будете подключаться по IP.
Иначе не получится.
/certificate
add name=IKE2-SERVER common-name=IKE2-SERVER subject-alt-name=IP:ip_адрес_сервера key-size=2048 days-valid=3600 key-usage=tls-server
sign IKE2-SERVER ca=IKE2--CA
:delay 10
Подписываем корневым сертификатом:
Сертификат для каждого клиента
/certificate
add name=IKE2-user01 common-name=IKE2-user01 key-size=2048 days-valid=365 key-usage=tls-client
sign IKE2-user01 ca=IKE2--CA
:delay 10
Подписываем корневым
Настройка сервера IKEv2. IP- IPSEC
Последовательность настройки:
- Profiles
/ip ipsec profile
add copy-from=0 name=ike2-profile
2. Proposals
/ip ipsec proposal
add copy-from=0 name=ike2-proposal pfs-group=none
3. Groups
/ip ipsec policy group
add name=ike2
4. Policies
/ip ipsec policy
add dst-address=172.20.1.0/24 group=ike2 proposal=ike2-proposal src-address=0.0.0.0/0 template=yes
5. Peers
/ip ipsec peer
add exchange-mode=ike2 name=peerike2 passive=yes profile=ike2-profile
6. Mode Configs
В поле split-include= указываем локальные подсети к которым должен получить доступ клиент:
/ip ipsec mode-config
add address-pool=ike2-pool name=ike2-modconf split-include=192.168.20.0/24 system-dns=yes
7. Identity
/ip ipsec identity
add auth-method=digital-signature certificate=IKE2-SERVER generate-policy=port-strict mode-config=ike2-modconf peer=peerike2 policy-template-group=ike2
Не забудем открыть порты в Firewall
/ip firewall filter
add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp
Экспортируем сертификат клиента
/certificate
export-certificate IKE2-user01 type=pkcs12 export-passphrase=123456788 file-name=IKE2-user01
Генерируем файл .sswan чтобы клиенту было удобнее подключиться
“uuid”: любой, можно онлайн генератором
“name”: “IKE2_home”,
“type”: “ikev2-cert”,
“dns-servers”: 77.88.8.8,
“remote”: {
“addr”: “ip_адрес_сервера“
{
"uuid": "4b62af19-175e-49dc-8096-82128e2e1c9d",
"name": "IKE2_home",
"type": "ikev2-cert",
"dns-servers": 77.88.8.8,
"remote": {
"addr": "ip_адрес_сервера"
}
}
Сохраняем с расширением .sswan
Переносим файл и сертификат на смартфон
На смартфоне Android
Скачиваем устанавливаем приложение Strongswan
Скачиваем на смартфон два файла в любом удобном приложении-проводнике:
1 .p12 – сертификат для подключения
2 .sswan – файл конфигурации подключения
Сначала устанавливаем сертификат на смартфон.
В проводнике:
1. Нажимаем на файле сертификата .p12
2. Вводим пароль для извлечения сертификата.
3. Указываем “сертификата пользователя и приложений VPN”.
4. Указываем имя под которым сертификат будет установлен в систему.
5. Получаем сообщение, что сертификат успешно установлен.
Затем, создаем профиль ВПН подключения.
Открываем приложение Strongswan:
1. Нажимаем сверху три точки
2. Открываем “Import VPN profile”
3. Выбираем сертификат пользователя, который мы добавили на предыдущем шаге.
Сохраняем. Подключаемся.
Ссылки
https://habr.com/ru/articles/721062/
https://khlebalin.wordpress.com/2020/08/26/lab1_mikrotik_ikev2/