Как на MikroTik-е обрабатывать трафик от определенных клиентов IKEv2?

Question

[RaTuoH]

Подскажите, как в MikroTik-е обрабатывать трафик для IKEv2 соединений?
С VPN на основе PPTP/L2TP-IPSec/OVPN все ясно - там в ppp/profiles клиенту присваивается IP-адрес и уже на основании его настраиваются правила в Firewall-е.

Есть какая-либо вменяемая возможность назначить сертификату клиента для соединения IKEv2 конкретный IP-адрес или как-то настраивать правила Firewall-а на основании клиентских сертификатов? Или, на данный момент, единственный способ выделить клиента для правил Firewall-а - это городить для каждого клиента связку для присвоения IP: ip/ipsec/identity + ip/ipsec/mode-config + ip/ipsec/profiles + ip/ipsec/peer

Answer 1

[AlexVWill]

там в ppp/profiles клиенту присваивается IP-адрес

Где там кому присваивается IP, зачем? Не надо там ничего писать... Клиенту ничего не присваивается, клиенту VPN IP внутри туннеля выдается VPN сервером. Клиенту в Mikrotik IP (статичный или динамичный) выдает DHCP.

назначить сертификату клиента для соединения IKEv2 конкретный IP-адрес

Тут я вообще не понял, как сертификату можно дать IP? IP выдается сетевому интерфейсу клиента.

настраивать правила Firewall-а на основании клиентских сертификатов

Клиентские сертификаты нужны только для авторизации, в процессе маршрутизации они никак не участвуют.
Что конкретно надо?
Вопрос вообще непонятен.

Comments

[RaTuoH]

Есть 2 клиента IKEv2, каждый со своим сертификатом.
Требуется:
1. Дать клиенту 1 доступ к IP 1.1.1.1, но запретить доступ к 2.2.2.2;
2. Дать клиенту 2 доступ к IP 2.2.2.2, но запретить доступ к 1.1.1.1.

[AlexVWill]

RaTuoH, понятно...
Надо поднять 2 туннеля (должен быть статус established) в IP-IPSec

spoiler

Далее маркируем пакеты в зависимости от кого и куда идут пакеты (или куда их не надо передавать), какой маркой (для соответствующего туннеля IPSec). Как это сделать для определенных IP я тут недавно только писал и ссылки давал.
https://qna.habr.com/q/1262900

[RaTuoH]

Если в ip/ipsec/mode-config address-pool указан диапазон адресов - как понять у какого клиента какой IP, где настраивается соответствие?

Как это сделать для определенных IP

- с этим, как раз проблем нет, но нужно ведь знать какой IP-адрес у конкретного клиента? Я и хочу понять, как я могу привязать клиента к IP-адресу

[AlexVWill]

указан диапазон портов

Стоп, тут еще и порты откуда то появились... Управление открытыми и закрытыми портами идет через NAT, при чем тут ip/ipsec/mode-config address-pool? там работы над портами вообще нет...

Я и хочу понять, как я могу привязать клиента к IP-адресу

Конкретного клиента привязать к конкретному IP можно через IP - DHCP server, выбрав нужное соединение и нажав на кнопку make Static, после этого клиенту с указанным в соединении MAC адресом будет дан постоянный внутренний статичный IP.
Если надо как то промаркировать пакеты, то создай в ip/ipsec/mode-config в соответствующем разделе Connection Mark и маркируй нужные пакеты от определенного IP и направляй их по выбранному маршруту по инструкции, которую я дал.

[RaTuoH]

AlexVWill, Не портов, а адресов разумеется

[RaTuoH]

Клиент подключается используя сертификат, он появляется в ip/ipsec/active-peers с Dynamic address из пула адресов, указанного в ip/ipsec/mode-config address-pool. Вопрос в том, как сопоставить клиенту определенный iP-адрес из указанного выше пула. Причем тут DHCP server и МАС-адрес устройства если клиент может подключаться из любой точки планеты, с любого устройства, из-за произвольного NAT-а?

[RaTuoH]

AlexVWill, Не могу найти ничего похожего на маркировку соединений в разделе ip/ipsec/mode-config

spoiler

[AlexVWill]

RaTuoH,
Короче, ты так вопрос сформулировал, что я только что догнал, что ты говоришь про VPN сервер на микротике, а я решил, что у тебя 2 отдельных VPN сервера где то снаружи на Linux, и ты хочешь сделать микрот маршрутизатором к какому то из них в зависимости от подключения определенного клиента )))
Похоже, так как ты хочешь микротик не умеет, он не умеет давать определенный IP и маршрутизировать куда то пакеты, все, что пришло снаружи попадает в бридж напрямую. Могу ошибаться.

[RaTuoH]

AlexVWill, ясно, спасибо. Умеет, но только через создание для каждого клиента: ip/ipsec/identity + ip/ipsec/mode-config + ip/ipsec/profiles + ip/ipsec/peer - что не очень удобно

[AlexVWill]

но только через создание для каждого клиента: ip/ipsec/identity + ip/ipsec/mode-config + ip/ipsec/profiles + ip/ipsec/peer

но это жопа же, если клиентов два - это ладно, а если их десяток-другой то можно вскрыться...

[RaTuoH]

AlexVWill, ну да, их чуть больше 500... вот и искал какой-то более простой способ(как это работает с l2tp-соединениями). Ну что-же - придется автоматизировать

[AlexVWill]

RaTuoH, тут можно только посоветовать переходить на нормальный полноценный VPN сервер на Linux, микротик это всетаки не для этого, он конечно может что-то, но в некоторых вещах по сравнению с полноценным сервером сильно ограничен.

[RaTuoH]

AlexVWill, это конечно уже оффтоп. Но лучше бы в современном Android просто не отключали l2tp/ipsec - от этого и весь цирк, про танцы с засовыванием сертификатов клиентов в iOS я лучше промолчу. Сервер VPN на Linux, возможно, решит часть проблем, но рулить трафиком удобнее на специализированных железках - переносить несколько тысяч правил файрвола - затея на любителя

[Zerg89]

RaTuoH, а зачем файрвол то переносить сделай прямым пробросом портов 50 500 4500 (all udp) на vpn server и там рули тем что только для vpn, максимум пару правил файрвола и failtoban для ipsec добавить на сервере придётся и на микротике добавить исключение перед маскарадом для этих портов чтобы до сервера долетел ip клиента

[Zerg89]

RaTuoH, зачем для каждого
Идея вот какая:
сертификаты для каждой точки выхода в ipsec identity с разными mode config(match by certificate и generate policy port override)
В mode config разные dhcp_pool
И по подсетям рули как тебе надо в маршрутизации

[RaTuoH]

Zerg89, проблема в том, что вышеописанные правила файрвола - почти целиком для организации доступа VPN-клиентов, т.е. их в любом случае нужно будет переносить туда, куда подключаются клиенты.
Для каждого, т.к. 90% клиентов - это устройства с 1 IP(смартфоны, планшеты, ноутбуки). Была надежда, что есть простое решение, как у l2tp-vpn - с привязкой identity к IP, но - не прокатило )