flapflapjack
@flapflapjack
на треть я прав

Как настроить Ike2+ipsec на Mikrotik с авторизацией по PSK?

Привет!

Вопрос вкратце, чтобы не читать мои размышления

1) IKEv2+IPSEC+EAP-RADIUS Вообще без сертификатов - возможно?
2) Кто-то делал? Есть пример конфига?
3) Нужны маршруты.


Может я не умею искать, но никак не могу найти ни одного описания по настройке Mikrotik в качестве IKEv2+IPSEC сервера, с авторизацией по паролю.
Именно по паролю.
Не авторизация по сертификатам, которая описывается во всех статьях, которые я нашел.

В данный момент у меня реализован VPN сервер на микротике на основе L2TP+IPSEC, но мне нужно организовать маршрутизацию юзеров VPN к определенным подсетям рабочей локалки, в том числе из других городов, не создавая на стороне клиента дефолтный маршрут через VPN сервер, чтобы в интернет юзеры ходили через свой роутер, а не через VPN сервер, и не выдавая юзерам никаких BAT-файлов с ручным прописыванием маршрутов.

Изучив разные типы VPN выбор пал на IKEv2+IPSEC из-за:
1) Поддержка нескольких одновременных подключений VPN за одним NAT'ом
2) Нативная поддержка встроенными клиентами всеми устройствами, и операционными системами, без надобности установки стороннего ПО.
3) Возможность доставки маршрутов до пользователя.

Авторизация по паролю, и категорический отказ от авторизации по сертификатам:
1) Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов. Он должен ввести свой логин и пароль от корпоративной учетной записи Windows, и все. (ну плюс пароль IPSEC). В данный момент пользователи у меня так авторизуются через RADIUS+AD
.
2) Установка соединения должна быть простой, понятной для обычных юзеров настолько, что при подключении к VPN очередного устройства юзер смог бы сам повторить подключение, не вникая в подробности, куда ставить сертификат, и зачем он вообще нужен.

Единственные мануалы и описания, что я нашел в данной связке, это сервер на основе PFSense, но его использовать как я думаю в моей ситуации не очень этично, так как во-первых в парке серверов у нас нет ни одной линукс-машины, кроме астериска, и не планируется. Конечно я пытаюсь на основе настроек PFSense что-то соорудить похожее на Mikrotik, но это не так просто. Да и микротик, который смотрит в интернет, и раздаёт L2TP поддерживает аппаратное шифрование для VPN, и вообще он загружен на 0%, в пике рабочего дня на 1%.

Вообще, даже на официальном сайте гайд по настройке сервера написан именно с сертификатом. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Tra... Неужели мне одному интересна авторизация по паролю?)

Думаю, это все же возможно, так как в вики по вышеприведенной ссылке есть раздел
Simple mutual PSK XAuth configuration, который я так понимаю мне как раз и нужен.

Буду признателен всем отзывам, советам, а может кто-то поделится опытом в настройке такой же конфигурации.
  • Вопрос задан
  • 203 просмотра
Пригласить эксперта
Ответы на вопрос 4
SunRiser
@SunRiser
Насколько знаю ikev2 не умеет по psk. Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

Подробнее: https://habr.com/ru/company/ruvds/blog/498924/
Ответ написан
Комментировать
@AlexVWill
Неужели мне одному интересна авторизация по паролю?)

Вероятнее в его да, так как если делать все по уму, а не очередной "VPN для обхода блокировки", то файл сертификата необходим, хотя бы для того, чтобы аутентифицировать сервер, а лучше конечно и файл сертификата сервера и пользователя, что бы стороны однозначно друг-друга опознали.
Где-то я видел мануал по настройке StrongSwan без файлов, буду за компом - погляжу. Для микрота возможно такой возможности вообще не предусмотрено.
Ответ написан
@Drno
Эммм... опенвпн без проблем решает данную задачу... и маршруты можно пушить... если уж нет возможности поднять впн на маршрутизаторе в офисе, а не на клиентах
Я правда незнаю как он с AD дружит
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
Если я чешу в затылке - не беда!
Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2
Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы