Привет!
Вопрос вкратце, чтобы не читать мои размышления
1) IKEv2+IPSEC+EAP-RADIUS Вообще без сертификатов - возможно?
2) Кто-то делал? Есть пример конфига?
3) Нужны маршруты.
Может я не умею искать, но никак не могу найти ни одного описания по настройке Mikrotik в качестве IKEv2+IPSEC сервера, с авторизацией по паролю.
Именно по паролю.
Не авторизация по сертификатам, которая описывается во всех статьях, которые я нашел.
В данный момент у меня реализован VPN сервер на микротике на основе L2TP+IPSEC, но мне нужно организовать маршрутизацию юзеров VPN к определенным подсетям рабочей локалки, в том числе из других городов, не создавая на стороне клиента дефолтный маршрут через VPN сервер, чтобы в интернет юзеры ходили через свой роутер, а не через VPN сервер, и не выдавая юзерам никаких BAT-файлов с ручным прописыванием маршрутов.
Изучив разные типы VPN выбор пал на IKEv2+IPSEC из-за:
1) Поддержка нескольких одновременных подключений VPN за одним NAT'ом
2) Нативная поддержка встроенными клиентами всеми устройствами, и операционными системами, без надобности установки стороннего ПО.
3) Возможность доставки маршрутов до пользователя.
Авторизация по паролю, и категорический отказ от авторизации по сертификатам:
1) Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов. Он должен ввести свой логин и пароль от корпоративной учетной записи Windows, и все. (ну плюс пароль IPSEC). В данный момент пользователи у меня так авторизуются через RADIUS+AD
.
2) Установка соединения должна быть простой, понятной для обычных юзеров настолько, что при подключении к VPN очередного устройства юзер смог бы сам повторить подключение, не вникая в подробности, куда ставить сертификат, и зачем он вообще нужен.
Единственные мануалы и описания, что я нашел в данной связке, это сервер на основе PFSense, но его использовать как я думаю в моей ситуации не очень этично, так как во-первых в парке серверов у нас нет ни одной линукс-машины, кроме астериска, и не планируется. Конечно я пытаюсь на основе настроек PFSense что-то соорудить похожее на Mikrotik, но это не так просто. Да и микротик, который смотрит в интернет, и раздаёт L2TP поддерживает аппаратное шифрование для VPN, и вообще он загружен на 0%, в пике рабочего дня на 1%.
Вообще, даже на официальном сайте гайд по настройке сервера написан именно с сертификатом.
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Tra... Неужели мне одному интересна авторизация по паролю?)
Думаю, это все же возможно, так как в вики по вышеприведенной ссылке есть раздел
Simple mutual PSK XAuth configuration, который я так понимаю мне как раз и нужен.
Буду признателен всем отзывам, советам, а может кто-то поделится опытом в настройке такой же конфигурации.
Простой
Сложный
