Как настроить vpn ikev2 сервер на Mikrotik?

Question

[Ingvarr]

помогите настроить vpn ikev2 сервер на Mikrotik
приведите примеры

Answer 1

[Дмитрий]

RTFM

Comments

[Ingvarr]

не решает задачу

[Дмитрий]

ariets1982, уважаемый, потрудитесь указать где конкретно у вас возникаю проблемы.
Ваше

помогите настроить vpn ikev2 сервер на Mikrotik

ни о чём конкретном не говорит.
Примеры есть в документации которую я привёл выше.

Answer 2

[CityCat4]

Сложность в настройке IKE вообще или конкретно не знаете где включить IKEv2?

Comments

[Ingvarr]

именно настройка полностью, русских манов не нашел.

[CityCat4]

ariets1982, искать "русские маны" - тупиковый путь. IPSec - не самая простая для понимания вещь, ее копипастом чужих конфигов не сделать.
Режим - туннельный или транспортный? С той стороны кто - микротик, strongswan, винда?

[Ingvarr]

CityCat4, На данном этапе ничего ни где не видно, так как настройка стоит на нулевом уровне.
Хочу для начала поднять данный VPN на Mikrotik и подключится туда стандартным VPN клиентом blackberry 10

[CityCat4]

ariets1982, А Вы уверены, что это получится? Не знаю как blackberry, но андроидовский стандартный клиент со...шел с дистанции сразу, заработал только strongswan из маркета. И то до конца не допилил - с маршрутизацией какие-то проблемы оказались...

[Ingvarr]

CityCat4, да про клиент стандартный на андройд наслышен. У bb10 клиент vpn довольно не плох, во всяком случае без проблем работает с забугорными серверами по протоколу ikev2.

[CityCat4]

ariets1982, микротик в этом плане особенный. У меня влет получилось например strongswan для андроида сцепить со strongswan на линухе даже по IKEv1, а вот для микротика ждал пока появится IKEv2 и то пока неполноценно.
Поскольку один клиент - значит режим точка-многоточка.
Все относительно winbox-а, в консоли искать лениво
- Создать пул адресов (IP->Pool, создать новый, это будут адреса, выдаваемые микротиком устройству)
- Создать mode config (IP->IPSec->Mode configs, указать имя пула, в поле split include указать подсетку, куда ходить, если это корпоративный VPN)
- Создать пира (IP->IPSec->Peer, указать соответствующие настройки, там их много, отчего я и говорил, что не настраивается в два клика. Поскольку какие Ваш клиент протоколы шифрования и прочее использует - непонятно, выбрать варианты пошире, включить лог и посмотреть, что он предлагает. IKEv2 включается в Exchange mode, что конечно же неправильно, но вот оно так. Лог - в System->Logging)
Попробовать подключиться, убедиться что нихрена не работает, читать лог, разбираться, перейти к началу предложения :)
Еще то удовольствие будет :)

[Ingvarr]

CityCat4, Спасибо, буду пробовать, а сейчас пойду покурю и достану шаманский бубен ))

[CityCat4]

ariets1982, Оооо, он точно пригодится :) Как-то я спаривал два микротика по IPSec в туннельном режиме. И не цепляются хоть ты тресни, хотя с линухом (strongswan) цеплялись на ура. Долго гуглил, читал то и се...случайно зацепил некое сообщение на форуме, где чел жаловалмя на поддержку хэша SHA256, что она только-только появилась. И тут меня осенило - а сменю-ка я хэш на SHA1! Бинго! Вот ведь как бывает...

[Ingvarr]

CityCat4, дело в том что mikrotik в трех разных городах туннельно подключается на ура, во всяком случае. у меня такое соединение висело стабильно меж Ямалом, Донбассом и Ростовской областью на Ipsec, для личных целей. А целью было что бы все за маршрутизатором получали защищенный доступ к ftp с доками на Ямале, доступ был только локально. Выводить наружу было нельзя.
Давно не занимался подобным, последний раз еще в 14ом году.
Ну спасибо во всяком случаю за ответы, буду копать.

[CityCat4]

ariets1982, едриииить. И какой пинг до Ямала был, если не секрет? На прежнем месте работы мы с Якутском держали VPN, так там 300мс пинг - как здрасьте :)

[Ingvarr]

Да пинг не маленький, но учитывая что только фтп гоняли размером максимум в 25Мб, этого вполне хватало. Пинг в среднем гдо то 300 и был, бывало и выше конечно, хоть оптика и была уже на Ямале в то время, но все равно и по сей день на Ямале наличии оптики сильно не спасает ситуацию.

Answer 3

[Антон]

https://jcutrer.com/howto/networking/mikrotik/ios-...

Comments

[Ingvarr]

Большое спасибо конечно, но то что нужно было проделать, я уже проделал. Статья IKEv2 — Mikrotik + Blackberry !?
Только ради этого мне нужен был Ikev2.

Answer 4

[Tiotimolin]

https://it-admins.ru/it-%D0%B7%D0%B0%D0%BC%D0%B5%D...

Comments

[Ingvarr]

Уже давно решено, мои же другим постом