Remote Access IPSec VPN with IKEv2 для нескольких пользователей

[Sweik]

Добрый день.

Использу Mikrotik RB3011UiaS и RouterOS 6.43.12.

Настроил Remote Access IPSec VPN with IKEv2 с аутентификацией по сетификату. Код привожу ниже, правила FW не включал, т.к. дело не них.

Код: Выделить всё

/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=8h name=phase1_ra_win10
/ip ipsec policy group
add name=remote_access
/ip ipsec proposal
add enc-algorithms=aes-256-cbc lifetime=1h name=phase2_ra_win10 pfs-group=none
/ip pool
add name=Adv-RemoteAccess-pool ranges=192.168.20.2-192.168.20.62
ip ipsec mode-config
add address-pool=Adv-RemoteAccess-pool address-prefix-length=26 name=r_access_cfg split-include=192.168.40.0/26
/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
    comment="Remote Acces - Yuri S" exchange-mode=ike2 generate-policy=\
    port-strict mode-config=r_access_cfg passive=yes policy-template-group=\
    remote_access profile=phase1_ra_win10 remote-certificate=yuri.s \
    send-initial-contact=no
/ip ipsec policy
set 0 comment="Remote Access (Road Warrior)" dst-address=192.168.20.0/26 \
    group=remote_access proposal=phase2_ra_win10 src-address=0.0.0.0/0

в тестовой среде, имя только одного пользователя, все работало великолепно.
Но при попытке добавить второго (и последующих) пользователей получаю ошибку на этапе конфигурации Peers


Если же я игнорирую эту ошибку, то Remote Access перестает быть доступным для всех:




Скажите, можно ли настроить удаленный доступ таким образом, чтобы у каждого пользователя был свой сертификат ? Или Микротик так не работает?
Гугл и База Знаний не помогли...

[kt72ru]

Гугл и База Знаний не помогли...

в Wiki
https://wiki.mikrotik.com/wiki/Manual:I ... entication
все прекрасно расписано.

В вашем случае /ip ipsec policy лишнее

[Sweik]

Добрый день.
К сожалению, по указанной Вами ссылке документация описана для какой-то старой версии RouterOS.
Например, в моей 6.43.12 нет меню Identity, его объединили с IPSec Peer, убрав, как минимум, параметр match-by
В разделе /ip ipsec mode-config больше нет add address, остался лишь address-pool
Поэтому, многое приходится додумывать, ища верное решение.

Policy тоже указываются в примере:

Код: Выделить всё

/ip ipsec policy group
add name=ike2-policies
/ip ipsec policy
add dst-address=192.168.77.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes

Продолжаю искать решение.

С уважением

[kt72ru]

В вашем случае /ip ipsec policy лишнее

полиси создастся автоматически, согласно generate-policy=port-strict
https://jcutrer.com/howto/networking/mi ... n-mikrotik

[Sweik]

Действительно, политика может сгенерироваться автоматически, если в IPSec --> Peers --> Policy Template Group выставить default. Но при этом:
- автоматически сгенерированная политика один в один схожа с моей, созданной вручную
- подключение возможно не каждый раз (это для меня не понятно).

Но главное, не в этом. Даже при использовании автоматической Policy я не могу настроить работу Remote Access для нескольких пользователей, а это было главной задачей.

С уважением

[Sweik]

Так, статья из Wiki, описывает конфигурацию на новой прошивке 6.44, а не наоборот, как я думал.
Ставлю свой вопрос на паузу - вечером обновлю прошивку и пройдусь по документации еще раз.

[Sweik]

Получилось настроить :)
Прошивка 6.44. радикально отличается от предыдущих. В ней даже подкрутили split-include.
Сейчас два различных пользователя с двумя различными сертификатами успешно подключаются. Policy, все же нужна - без нее клиент не подключается. А при настроенной политике при подключении клиента самогенерируется еще одна, такая же.


Вопрос следующий - для чего в примере указан вот этот Identity?

Identity configuration

Identity menu allows to match specific remote peers and assign different configuration for each one of them. First, create a default identity, that will accept all peers, but will verify the peer's identity with its certificate.

Код: Выделить всё

/ip ipsec identity
add auth-method=rsa-signature certificate=server1 generate-policy=port-strict mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies

Я прпоробовал конфигурацию без него, но с двумя Identity, созданными для каждого из двух клиентов (следующие абзацы того же примера) и удаленное подключение, все равно, работает.
А кроме того, при таком подходе очень удобно блокировать пользователей (мало ли).

Спасибо