Задать вопрос
flapflapjack
@flapflapjack
на треть я прав

Как настроить Ike2+ipsec на Mikrotik с авторизацией по PSK?

Привет!

Вопрос вкратце, чтобы не читать мои размышления

1) IKEv2+IPSEC+EAP-RADIUS Вообще без сертификатов - возможно?
2) Кто-то делал? Есть пример конфига?
3) Нужны маршруты.


Может я не умею искать, но никак не могу найти ни одного описания по настройке Mikrotik в качестве IKEv2+IPSEC сервера, с авторизацией по паролю.
Именно по паролю.
Не авторизация по сертификатам, которая описывается во всех статьях, которые я нашел.

В данный момент у меня реализован VPN сервер на микротике на основе L2TP+IPSEC, но мне нужно организовать маршрутизацию юзеров VPN к определенным подсетям рабочей локалки, в том числе из других городов, не создавая на стороне клиента дефолтный маршрут через VPN сервер, чтобы в интернет юзеры ходили через свой роутер, а не через VPN сервер, и не выдавая юзерам никаких BAT-файлов с ручным прописыванием маршрутов.

Изучив разные типы VPN выбор пал на IKEv2+IPSEC из-за:
1) Поддержка нескольких одновременных подключений VPN за одним NAT'ом
2) Нативная поддержка встроенными клиентами всеми устройствами, и операционными системами, без надобности установки стороннего ПО.
3) Возможность доставки маршрутов до пользователя.

Авторизация по паролю, и категорический отказ от авторизации по сертификатам:
1) Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов. Он должен ввести свой логин и пароль от корпоративной учетной записи Windows, и все. (ну плюс пароль IPSEC). В данный момент пользователи у меня так авторизуются через RADIUS+AD
.
2) Установка соединения должна быть простой, понятной для обычных юзеров настолько, что при подключении к VPN очередного устройства юзер смог бы сам повторить подключение, не вникая в подробности, куда ставить сертификат, и зачем он вообще нужен.

Единственные мануалы и описания, что я нашел в данной связке, это сервер на основе PFSense, но его использовать как я думаю в моей ситуации не очень этично, так как во-первых в парке серверов у нас нет ни одной линукс-машины, кроме астериска, и не планируется. Конечно я пытаюсь на основе настроек PFSense что-то соорудить похожее на Mikrotik, но это не так просто. Да и микротик, который смотрит в интернет, и раздаёт L2TP поддерживает аппаратное шифрование для VPN, и вообще он загружен на 0%, в пике рабочего дня на 1%.

Вообще, даже на официальном сайте гайд по настройке сервера написан именно с сертификатом. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Tra... Неужели мне одному интересна авторизация по паролю?)

Думаю, это все же возможно, так как в вики по вышеприведенной ссылке есть раздел
Simple mutual PSK XAuth configuration, который я так понимаю мне как раз и нужен.

Буду признателен всем отзывам, советам, а может кто-то поделится опытом в настройке такой же конфигурации.
  • Вопрос задан
  • 9648 просмотров
Подписаться 3 Сложный 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
SunRiser
@SunRiser
Насколько знаю ikev2 не умеет по psk. Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

Подробнее: https://habr.com/ru/company/ruvds/blog/498924/
Ответ написан
Комментировать
@Drno
Эммм... опенвпн без проблем решает данную задачу... и маршруты можно пушить... если уж нет возможности поднять впн на маршрутизаторе в офисе, а не на клиентах
Я правда незнаю как он с AD дружит
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
Жил да был черный кот за углом...
Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2
Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы