Как настроить Ike2+ipsec на Mikrotik с авторизацией по PSK?

Question

[Талян]

Привет!

Вопрос вкратце, чтобы не читать мои размышления

1) IKEv2+IPSEC+EAP-RADIUS Вообще без сертификатов - возможно?
2) Кто-то делал? Есть пример конфига?
3) Нужны маршруты.

Может я не умею искать, но никак не могу найти ни одного описания по настройке Mikrotik в качестве IKEv2+IPSEC сервера, с авторизацией по паролю.
Именно по паролю.
Не авторизация по сертификатам, которая описывается во всех статьях, которые я нашел.

В данный момент у меня реализован VPN сервер на микротике на основе L2TP+IPSEC, но мне нужно организовать маршрутизацию юзеров VPN к определенным подсетям рабочей локалки, в том числе из других городов, не создавая на стороне клиента дефолтный маршрут через VPN сервер, чтобы в интернет юзеры ходили через свой роутер, а не через VPN сервер, и не выдавая юзерам никаких BAT-файлов с ручным прописыванием маршрутов.

Изучив разные типы VPN выбор пал на IKEv2+IPSEC из-за:
1) Поддержка нескольких одновременных подключений VPN за одним NAT'ом
2) Нативная поддержка встроенными клиентами всеми устройствами, и операционными системами, без надобности установки стороннего ПО.
3) Возможность доставки маршрутов до пользователя.

Авторизация по паролю, и категорический отказ от авторизации по сертификатам:
1) Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов. Он должен ввести свой логин и пароль от корпоративной учетной записи Windows, и все. (ну плюс пароль IPSEC). В данный момент пользователи у меня так авторизуются через RADIUS+AD
.
2) Установка соединения должна быть простой, понятной для обычных юзеров настолько, что при подключении к VPN очередного устройства юзер смог бы сам повторить подключение, не вникая в подробности, куда ставить сертификат, и зачем он вообще нужен.

Единственные мануалы и описания, что я нашел в данной связке, это сервер на основе PFSense, но его использовать как я думаю в моей ситуации не очень этично, так как во-первых в парке серверов у нас нет ни одной линукс-машины, кроме астериска, и не планируется. Конечно я пытаюсь на основе настроек PFSense что-то соорудить похожее на Mikrotik, но это не так просто. Да и микротик, который смотрит в интернет, и раздаёт L2TP поддерживает аппаратное шифрование для VPN, и вообще он загружен на 0%, в пике рабочего дня на 1%.

Вообще, даже на официальном сайте гайд по настройке сервера написан именно с сертификатом. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Tra... Неужели мне одному интересна авторизация по паролю?)

Думаю, это все же возможно, так как в вики по вышеприведенной ссылке есть раздел
Simple mutual PSK XAuth configuration, который я так понимаю мне как раз и нужен.

Буду признателен всем отзывам, советам, а может кто-то поделится опытом в настройке такой же конфигурации.

Comments

[nApoBo3]

в l2tp вы можете использовать "костыль" с классовой маршрутизацией.

Answer 1

[SunRiser]

Насколько знаю ikev2 не умеет по psk. Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

Подробнее: https://habr.com/ru/company/ruvds/blog/498924/

Answer 2

[AlexVWill]

Неужели мне одному интересна авторизация по паролю?)

Вероятнее в его да, так как если делать все по уму, а не очередной "VPN для обхода блокировки", то файл сертификата необходим, хотя бы для того, чтобы аутентифицировать сервер, а лучше конечно и файл сертификата сервера и пользователя, что бы стороны однозначно друг-друга опознали.
Где-то я видел мануал по настройке StrongSwan без файлов, буду за компом - погляжу. Для микрота возможно такой возможности вообще не предусмотрено.

Comments

[Талян]

Спасибо.

Обход блокировки тут не при чём.

Это просто организация доступа в рабочую сеть без сертификатной паранойи, но и хотя бы не в открытом виде, с автоматическим добавлением маршрутов на стороне клиента, с минимальными телодвижениями при создании подключения самого клиента. Именно поэтому мне не нужны сертификаты.

В данный момент я остановился на том, что делаю все как в этом гайде, но вместо способа авторизации сертификатом я выбираю pre-shared-key, но почему-то микротик получает запросы от клиента на пот 500, но не отвечает на них.

Порты все проброшены верно, так как на том же микротике L2TP+IPSEC прекрасно работают.

Перед подключением IKEv2 клиента на всякий случай пробовал выключить L2TP сервер, но не помогло. Пока что читаю оф. сайт микротика дальше.

[AlexVWill]

В данный момент я остановился на том, что делаю все как в этом гайде,

Для авторизации без сертификата по уму надо бы использовать MSCHAP v.2. Попробуй Auth,Method - eap, EAP method - MSCHAP v.2

[Талян]

AlexVWill, спасибо!

В настройках IPSec identity при выборе EAP в качестве Auth. Method появляется возможность указать EAP метод MS-CHAP v.2, но оказывается EAP на свежих прошивках работает со стороны сервера только в режиме EAP-Radius, что прекрасно, так как у меня как раз на радиусе для этого создан профиль с MS-CHAP v.2 для микротика.

Но микротик все равно пока что не отвечает на запросы клиента. Попробую наверное дамп вайршарком посмотреть, что там происходит.

Answer 3

[Drno]

Эммм... опенвпн без проблем решает данную задачу... и маршруты можно пушить... если уж нет возможности поднять впн на маршрутизаторе в офисе, а не на клиентах
Я правда незнаю как он с AD дружит

Comments

[Талян]

rкак хочет пусть дружит..
Я исключаю сторонние ПО

[Drno]

Талян, почему? если всё это можно развернуть 1 bat файлом...

[poisons]

Drno, ovpn в 2021 году. И ладно бы это легаси какое было, типа сделали 10 лет назад и переделывать влом.
ipsec есть нативно везде. Тут только у тс проблема, сертификаты ему не по нраву.
Ну сейчас разберётся и сделает с сертами, для пользователя сложности особо не добавляется.

[Drno]

poisons, вот у меня такие ситуации что много где всякие моб провайдеры, местные адсл и прочая мутная муть.
Не везде поднимается ipsec... блочат. И так же pptp или l2tp. рычагов на провайдеров - нет, тк это инеты клиентов по стране. (Всякие ТЦ,шоурумы, точки продажи кофе/хлеба и прочий мелкий бизнес.
Зато ovpn пролезает везде. Правда на точка ubuntu почти везде)

Answer 4

[CityCat4]

Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2

Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)

Comments

[Талян]

Админ за юзера может и на развлекательных сайтиках будет сидеть? )

В общем вопрос был именно про авторизацию по PSK.

Безопасность - не безопасность -
Не было про это ничего в вопросе)

Чувствую, что придется PFsense ставить(

[CityCat4]

Админ за юзера может и на развлекательных сайтиках будет сидеть? )

Конечно же :) Как двое из ларца, одинаковых с яйца лица :)