Mikrotik IKEv2 сервер. Android Strongswan клиент.

Поднимаем IKEv2 сервер на Микротик с клиентом на Android через приложение Strongswan.

RouterOS 6.49.13

Android 13

Настройка Микротик

Добавление пула адресов выдаваемых клиентам

/ip pool add name=ike2-pool ranges=172.20.1.0-172.20.1.20

Создание сертификатов

Корневой сертификат:

/certificate
add name=IKE2--CA common-name=IKE2--CA key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign trusted=yes

sign IKE2--CA

:delay 10

Сертификат сервера:

Если будем подключаться к микротику по имени, то пишем subject-alt-name=DNS:fqdn_имя_сервера
или если будем подключаться по IP, то пишем subject-alt-name=IP:ip_адрес_сервера
Если в поле “Subject Alt Name” указано FQDN, будете подключаться именно по имени, если указываете IP, то будете подключаться по IP.
Иначе не получится.
/certificate
add name=IKE2-SERVER common-name=IKE2-SERVER subject-alt-name=IP:ip_адрес_сервера key-size=2048 days-valid=3600 key-usage=tls-server

sign IKE2-SERVER ca=IKE2--CA

:delay 10

Подписываем корневым сертификатом:

Сертификат для каждого клиента

/certificate
add name=IKE2-user01 common-name=IKE2-user01 key-size=2048 days-valid=365 key-usage=tls-client

sign IKE2-user01 ca=IKE2--CA

:delay 10

Подписываем корневым

Настройка сервера IKEv2. IP- IPSEC

Не используйте дефолтные профили, всегда копируйте их и настраивайте на своих, чтобы была возможность откатиться на дефолт если что

Последовательность настройки:

  1. Profiles
/ip ipsec profile
add copy-from=0 name=ike2-profile

2. Proposals

/ip ipsec proposal
add copy-from=0 name=ike2-proposal pfs-group=none

3. Groups

/ip ipsec policy group
add name=ike2

4. Policies

/ip ipsec policy
add dst-address=172.20.1.0/24 group=ike2 proposal=ike2-proposal src-address=0.0.0.0/0 template=yes

5. Peers

/ip ipsec peer
add exchange-mode=ike2 name=peerike2 passive=yes profile=ike2-profile

6. Mode Configs

В поле split-include= указываем локальные подсети к которым должен получить доступ клиент:

/ip ipsec mode-config
add address-pool=ike2-pool name=ike2-modconf split-include=192.168.20.0/24 system-dns=yes

7. Identity

/ip ipsec identity
add auth-method=digital-signature certificate=IKE2-SERVER generate-policy=port-strict mode-config=ike2-modconf peer=peerike2 policy-template-group=ike2

Не забудем открыть порты в Firewall

/ip firewall filter
add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp

Экспортируем сертификат клиента

/certificate
export-certificate IKE2-user01 type=pkcs12 export-passphrase=123456788 file-name=IKE2-user01

Генерируем файл .sswan чтобы клиенту было удобнее подключиться

“uuid”: любой, можно онлайн генератором
“name”: “IKE2_home”,
“type”: “ikev2-cert”,
“dns-servers”: 77.88.8.8,
“remote”: {
“addr”: “ip_адрес_сервера

{
"uuid": "4b62af19-175e-49dc-8096-82128e2e1c9d",
"name": "IKE2_home",
"type": "ikev2-cert",
"dns-servers": 77.88.8.8,
"remote": {
"addr": "ip_адрес_сервера"
}
}

Сохраняем с расширением .sswan

Переносим файл и сертификат на смартфон

На смартфоне Android

Скачиваем устанавливаем приложение Strongswan

Скачиваем на смартфон два файла в любом удобном приложении-проводнике:
1 .p12 – сертификат для подключения
2 .sswan – файл конфигурации подключения

Сначала устанавливаем сертификат на смартфон.

В проводнике:
1. Нажимаем на файле сертификата .p12
2. Вводим пароль для извлечения сертификата.
3. Указываем “сертификата пользователя и приложений VPN”.
4. Указываем имя под которым сертификат будет установлен в систему.
5. Получаем сообщение, что сертификат успешно установлен.

Затем, создаем профиль ВПН подключения.

Открываем приложение Strongswan:
1. Нажимаем сверху три точки
2. Открываем “Import VPN profile”
3. Выбираем сертификат пользователя, который мы добавили на предыдущем шаге.

Сохраняем. Подключаемся.

Ссылки

https://habr.com/ru/articles/721062/

https://khlebalin.wordpress.com/2020/08/26/lab1_mikrotik_ikev2/

https://bozza.ru/art-351.html

Оставьте ответ

Ваш адрес email не будет опубликован.

10 ÷ = 1