На микротике использую такой конфиг
/ip ipsec mode-config
add address-pool=ikev2-laptops address-prefix-length=32 name=ikev2-vpn-laptops \
split-dns=мойдомен.com split-include=192.168.200.0/23,10.0.0.0/8 static-dns=\
192.168.200.8,10.74.180.111 system-dns=no
/ip ipsec policy group
add name=IKEv2-vpn-laptops
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\
aes-256,aes-128,3des
add dh-group=modp4096,modp3072,modp2048 dpd-interval=2m dpd-maximum-failures=5 \
enc-algorithm=aes-256,aes-192 hash-algorithm=sha256 name=IKEv2
/ip ipsec peer
add exchange-mode=ike2 name=IKEv2-peer passive=yes profile=IKEv2
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1,md5 enc-algorithms=\
aes-256-cbc,aes-128-cbc,3des
add auth-algorithms=sha256 enc-algorithms=\
aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm \
name=IKEv2 pfs-group=modp2048
/ip ipsec identity
add auth-method=eap-radius certificate=\
"*.мойдомен.ru,GlobalSign GCC R3 DV TLS CA 2020" generate-policy=port-strict \
mode-config=ikev2-vpn-laptops peer=IKEv2-peer policy-template-group=\
IKEv2-vpn-laptops
add auth-method=eap-radius certificate=vpn.мойдомен.ru,CA comment=\
"IKEv2 eap radius" disabled=yes generate-policy=port-strict mode-config=\
ikev2-vpn-laptops peer=IKEv2-peer policy-template-group=IKEv2-vpn-laptops
/ip ipsec policy
add comment="ikev2 certs" disabled=yes group=*4 proposal=IKEv2 template=yes
add comment="IKEv2 EAP" dst-address=0.0.0.0/0 group=IKEv2-vpn-laptops proposal=\
IKEv2 src-address=0.0.0.0/0 template=yes
Подключаюсь с iphone - работает. С винды сначала получал ошибку 13868, пришлось добавить в реестр
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256
дальше началась ошибка сопоставления политики. NPS сервер говорит всё ок. Микротик выдаёт адрес, но пишет no proposal chosen.