Mikrotik как IKEv2 клиент

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
alexmihajlov
Сообщения: 1
Зарегистрирован: 29 ноя 2022, 17:35

Добрый день. Подскажите пожалуйста такой момент.
Есть IKEv2 сервер на OpenBSD, на котором запущено iked, сгенерен CA-сертификат, авторизация EAP MSCHAP (логин-пароль), и к которому подключаются мобильные клиенты с apple (нативно), либо андройд-клиенты через приложение StrongSwan, десктопы тоже нормально работают, добавляя к себе в /etc/ssl/ сертификат. В обоих случаях клиенты импортируют себе открытую часть CA, и у всех все работает. Нужно подключить туда же микротик, руководствуюсь например вот этой документацией https://habr.com/ru/post/539426/. Импортирую открытую часть сертификата в настройки микротика, он добавляется с индексом "Т" ("А" почему-то отсутсвует), настраиваю соединение и вижу в логах:

Код: Выделить всё

self signed certificate(18) at depth:0 cert:...
can't verify peer's certificate from store
И я как не пытался добавлять сертификат - ничего не выходит, он в любом случае плюет ошибку, что самоподписный сертификат, я его проверять не буду. Как быть в таком случае? Всем спасибо за внимание.


Ответить