Есть IKEv2 сервер для подключения мобильных устройств, развернут в докере вот по этому образу: https://github.com/Lezenford/docker-ikev2-vpn-server тут классическая настройка, ничего сверхординарного в конфигурации нет.
В свое время выбирался именно IKEv2 из тех соображений, что этот протокол не так чувствителен к разрывам соединения из-за смены сети (очень актуально для сотовых телефонов). Т.е. при переключении на сотовую связь, wi-fi и т.д. коннект не прерывается.
Поднял себе сервер на микротике, тоже IPSec IKEv2, отлично работает, связывает несколько разных роутеров. Решил, что держать отдельный сервер для сотового не вариант и можно переложить это тоже на микротик. Телефон подключается, все отлично, но при смене сети (включение\выключение wi-fi) впн отваливается и его нужно снова инициировать, хотя точно такое же соединение на этом же устройстве, но с коннектом на сервер из образа не прерывается и работает стабильно.
Вопрос, что нужно особого указать в конфигах на микротике, чтобы он поддерживал соединение? И возможно ли это вообще, или какая то особенность протокола не поддерживается? Авторизация устройств идет по pre shader key. конфиг ниже:
Код: Выделить всё
[astral@MikroTik] /ip ipsec> proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=8h pfs-group=none
1 name="IKEv2" auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=none
[astral@MikroTik] /ip ipsec> settings print
xauth-use-radius: no
accounting: yes
interim-update: 0s
[astral@MikroTik] /ip ipsec> policy print
Flags: T - template, B - backup, X - disabled, D - dynamic, I - invalid, A - active, * - default
# PEER TUNNEL SRC-ADDRESS DST-ADDRESS PROTOCOL ACTION LEVEL PH2-COUNT
0 T * ::/0 ::/0 all
1 T 0.0.0.0/0 10.100.0.0/24 all
2 DA IKEv2-peer yes 10.100.0.0/24 10.100.0.2/32 all encrypt unique 1
3 DA IKEv2-peer yes 10.100.0.0/24 10.100.0.4/32 all encrypt unique 1
4 DA IKEv2-peer yes 10.100.0.0/24 10.100.0.3/32 all encrypt unique 1
5 T 0.0.0.0/0 10.100.10.0/24 all
[astral@MikroTik] /ip ipsec> identity print
Flags: D - dynamic, X - disabled
3 peer=IKEv2-peer auth-method=pre-shared-key mode-config=IKEv2-Mobile secret=* generate-policy=port-strict policy-template-group=ikev2-policies
[astral@MikroTik] /ip ipsec> profile print
Flags: * - default
0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
1 name="IKEv2" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128 dh-group=modp2048,modp1536,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
[astral@MikroTik] /ip ipsec> mode-config print
Flags: * - default, R - responder
0 * name="request-only" responder=no use-responder-dns=exclusively
5 R name="IKEv2-Mobile" system-dns=yes address=10.100.10.2 address-prefix-length=24 split-dns=10.100.10.1
[astral@MikroTik] /ip ipsec> peer print
Flags: X - disabled, D - dynamic, R - responder
0 R name="IKEv2-peer" passive=yes profile=IKEv2 exchange-mode=ike2 send-initial-contact=yes
[astral@MikroTik] /ip ipsec>