Mikrotik IPSec IKEv2 с использованием rutoken и Windows 10. identity not found for peer: ADDR4

Обсуждение ПО и его настройки
Ответить
nrg
Сообщения: 5
Зарегистрирован: 11 июл 2013, 13:37

Добрый день всем.
Несколько дней бьюсь с проблемой. Настроил на MikroTik (RouterOS 6.46.4) IKEv2 сервер, сгенерировал сертификаты с помощью easy-rsa для сервера и для клиента. Установил сертификаты в Windows 10 (Pro N 1803) согласно раздела 17.2.2 "RouterOS client configuration" (https://wiki.mikrotik.com/wiki/Manual:IP/IPsec ), т.е. установил сертификаты для локального компьютера. Настроил VPN подключение IKEv2 и получил положительный результат. Т.е. клиент коннектится, получает нужный IP-адрес, нужные подсети в таблицу маршрутизации: в общем - все работает. Решил перенести сертификат пользователя на рутокен, для чего импортировал тот самый p12 на рутокен, что устанавливал в ОС. Т.к. сертификаты самоподписанные (easy-rsa) пришлось так же установить CA сертификат в операционную систему. Создал новое подключение в ОС для IKEv2 с использованием смарт-карты. При попытке подключиться ОС обращается к смарт-карте (запрашивает пин-код), но подключение завержается неудачей:

Со стороны Windows 10:
"Неприменимые учетные данные проверки подлинности IKE"
в журнале светится ошибка 13801

Со стороны Mikrotik:
19:39:26 ipsec,error identity not found for peer: ADDR4: 192.168.3.22

На сколько я понимаю ОС отправляет в качестве идентификатора локальный IP-адрес, причем только при использовании настройки IKEv2 со смарт-картой.

Кому удалось настроить IKEv2 сервер на Mikrotik с использованием смарт-карты на Windows 10. Что я делаю не так? Благодарен за любую помощь.

настройки mikrotik в части ipsec:

exp
/ip ipsec mode-config
add address-pool=ike2-pool address-prefix-length=32 name=ike2-conf
add address=192.168.60.33 address-prefix-length=32 name=test split-include=192.168.19.0/24,192.168.21.0/24,172.16.1.0/24 system-dns=no
add address=192.168.55.2 address-prefix-length=32 name=name2 split-include=192.168.55.1/32 system-dns=no
/ip ipsec policy group
add name=ike2-policies
add name=ike-s2s
/ip ipsec profile
add name=ike2
add name=ike2-s2s
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peers passive=yes profile=ike2
/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,3des name=ike2 pfs-group=none
add name=ike-s2s pfs-group=modp4096
/ip ipsec identity
add auth-method=digital-signature certificate=server.crt_0 generate-policy=port-strict match-by=certificate mode-config=name2 peer=ike2-peers policy-template-group=ike-s2s remote-certificate=name2.crt_0
add auth-method=digital-signature certificate=server.crt_0 generate-policy=port-strict match-by=certificate mode-config=test peer=ike2-peers policy-template-group=ike2-policies remote-certificate=test.crt_0
add auth-method=digital-signature certificate=server.crt_0 generate-policy=port-strict mode-config=ike2-conf peer=ike2-peers policy-template-group=ike2-policies
/ip ipsec policy
add dst-address=192.168.60.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes
add dst-address=192.168.55.2/32 group=ike-s2s proposal=ike-s2s src-address=192.168.55.1/32 template=yes


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Похоже таких извращенцев нет)))


rtfm
Сообщения: 54
Зарегистрирован: 24 апр 2020, 14:02

Возможно все дело в самой WIN. В механизме работы с рутокеном.


danilov.vladimir
Сообщения: 3
Зарегистрирован: 01 мар 2019, 19:34

Задумка интересная, но вы уверены что сертификат со смарт-карты(токена) ставится в хранилище сертификатов компьютера, а не пользователя?
И с 10 был момент, что нужно прописывать в системе какой сертификат для подключения использовать, в противном случае, если поставить какой-то сертификат после того, как вы импортировали серт для VPN - нужно заново ставить серт для VPN (Win10 применяет последний установленный)


lezhenkin
Сообщения: 11
Зарегистрирован: 03 окт 2018, 16:02

У меня попытки запустить всё это без токенов. При указании в свойствах VPN-подключения на вкладке Безопасность использования сертификатов компьютера и попытке подключится к серверу VPN венда сообщает о том, что IKE не удалось найти действительный сертификат компьютера.

Сертификаты CA, VPN-сервера и клиента были сгенерированы и подписаны на самом микротике. Что может быть не так с сертификатами? Они установлены в локальное хранилище, а не в хранилище пользователя.


lezhenkin
Сообщения: 11
Зарегистрирован: 03 окт 2018, 16:02

Методом проб и ошибок удалось выяснить, что в Windows работает сертификат, который сгенерирован на Микротике с параметром key-size=secp384r1. С таким сертификатом венда подключается, и даже появляется активный пир, которому присваивается адрес (в моем случае это адрес 192.168.168.96). Но не генерируется политика. Логи утверждают, что не найден подходящий шаблон.

У меня в /ip ipsec policy есть такой шаблон

Код: Выделить всё

add dst-address=192.168.168.96/27 group=ikev2-mobile-clients proposal=ikev2-windows-devices src-address=0.0.0.0/0 template=yes
А в логах есть такое

Код: Выделить всё

20:48:26 ipsec,info,account peer authorized: ikev2-windows-devices 181.9.180.81[4500]-95.174.119.193[1026] spi:1867eb89eaa3792b:cf65af01ba39ded9
20:48:26 ipsec processing payloads: NOTIFY
20:48:26 ipsec   notify: MOBIKE_SUPPORTED
20:48:26 ipsec peer wants tunnel mode
20:48:26 ipsec processing payload: CONFIG
20:48:26 ipsec   attribute: internal IPv4 address
20:48:26 ipsec   attribute: internal IPv4 DNS
20:48:26 ipsec   attribute: internal IPv4 NBNS
20:48:26 ipsec   attribute: MS internal IPv4 server
20:48:26 ipsec processing payload: SA
20:48:26 ipsec IKE Protocol: ESP
20:48:26 ipsec  proposal #1
20:48:26 ipsec   enc: aes256-cbc
20:48:26 ipsec processing payload: TS_I
20:48:26 ipsec 0.0.0.0/0
20:48:26 ipsec [::/0]
20:48:26 ipsec processing payload: TS_R
20:48:26 ipsec 0.0.0.0/0
20:48:26 ipsec [::/0]
20:48:26 ipsec TSi in tunnel mode replaced with config address: 192.168.168.96
20:48:26 ipsec candidate selectors: 0.0.0.0/0 <=> 192.168.168.96
20:48:26 ipsec candidate selectors: [::/0] <=> [::/0]
20:48:26 ipsec searching for policy for selector: 0.0.0.0/0 <=> 192.168.168.96
20:48:26 ipsec generating policy
20:48:26 ipsec,error no proposal chosen
20:48:26 ipsec removing generated policy
Что ж не так? Почему не генерируется политика? Подскажите, пожалуйста.


Ответить