Настройка IKEv2 server для подключения мобильных устройств

Обсуждение ПО и его настройки
Ответить
Lezenford
Сообщения: 4
Зарегистрирован: 26 мар 2021, 21:12

Столкнулся со следующей ситуацией.
Есть IKEv2 сервер для подключения мобильных устройств, развернут в докере вот по этому образу: https://github.com/Lezenford/docker-ikev2-vpn-server тут классическая настройка, ничего сверхординарного в конфигурации нет.
В свое время выбирался именно IKEv2 из тех соображений, что этот протокол не так чувствителен к разрывам соединения из-за смены сети (очень актуально для сотовых телефонов). Т.е. при переключении на сотовую связь, wi-fi и т.д. коннект не прерывается.

Поднял себе сервер на микротике, тоже IPSec IKEv2, отлично работает, связывает несколько разных роутеров. Решил, что держать отдельный сервер для сотового не вариант и можно переложить это тоже на микротик. Телефон подключается, все отлично, но при смене сети (включение\выключение wi-fi) впн отваливается и его нужно снова инициировать, хотя точно такое же соединение на этом же устройстве, но с коннектом на сервер из образа не прерывается и работает стабильно.
Вопрос, что нужно особого указать в конфигах на микротике, чтобы он поддерживал соединение? И возможно ли это вообще, или какая то особенность протокола не поддерживается? Авторизация устройств идет по pre shader key. конфиг ниже:

Код: Выделить всё

[astral@MikroTik] /ip ipsec> proposal print 
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=8h pfs-group=none 

 1    name="IKEv2" auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=none 
[astral@MikroTik] /ip ipsec> settings print 
  xauth-use-radius: no
        accounting: yes
    interim-update: 0s
[astral@MikroTik] /ip ipsec> policy print 
Flags: T - template, B - backup, X - disabled, D - dynamic, I - invalid, A - active, * - default 
 #      PEER                                                                                                              TUNNEL SRC-ADDRESS                                                                                                                                            DST-ADDRESS                                                                                                                                            PROTOCOL   ACTION  LEVEL    PH2-COUNT
 0 T  *                                                                                                                          ::/0                                                                                                                                                   ::/0                                                                                                                                                   all       
 1 T                                                                                                                             0.0.0.0/0                                                                                                                                              10.100.0.0/24                                                                                                                                          all       
 2   DA  IKEv2-peer                                                                                                        yes    10.100.0.0/24                                                                                                                                          10.100.0.2/32                                                                                                                                          all        encrypt unique           1
 3   DA  IKEv2-peer                                                                                                        yes    10.100.0.0/24                                                                                                                                          10.100.0.4/32                                                                                                                                          all        encrypt unique           1
 4   DA  IKEv2-peer                                                                                                        yes    10.100.0.0/24                                                                                                                                          10.100.0.3/32                                                                                                                                          all        encrypt unique           1
 5 T                                                                                                                             0.0.0.0/0                                                                                                                                              10.100.10.0/24                                                                                                                                         all       
[astral@MikroTik] /ip ipsec> identity print 
Flags: D - dynamic, X - disabled 

 3    peer=IKEv2-peer auth-method=pre-shared-key mode-config=IKEv2-Mobile secret=* generate-policy=port-strict policy-template-group=ikev2-policies 

[astral@MikroTik] /ip ipsec> profile print 
Flags: * - default 
 0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 

 1   name="IKEv2" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128 dh-group=modp2048,modp1536,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 
[astral@MikroTik] /ip ipsec> mode-config print 
Flags: * - default, R - responder 
 0 *  name="request-only" responder=no use-responder-dns=exclusively 

 5  R name="IKEv2-Mobile" system-dns=yes address=10.100.10.2 address-prefix-length=24 split-dns=10.100.10.1 
[astral@MikroTik] /ip ipsec> peer print 
Flags: X - disabled, D - dynamic, R - responder 
 0   R name="IKEv2-peer" passive=yes profile=IKEv2 exchange-mode=ike2 send-initial-contact=yes 
[astral@MikroTik] /ip ipsec> 


Ответить