ariets1982, искать "русские маны" - тупиковый путь. IPSec - не самая простая для понимания вещь, ее копипастом чужих конфигов не сделать.
Режим - туннельный или транспортный? С той стороны кто - микротик, strongswan, винда?
CityCat4, На данном этапе ничего ни где не видно, так как настройка стоит на нулевом уровне.
Хочу для начала поднять данный VPN на Mikrotik и подключится туда стандартным VPN клиентом blackberry 10
ariets1982, А Вы уверены, что это получится? Не знаю как blackberry, но андроидовский стандартный клиент со...шел с дистанции сразу, заработал только strongswan из маркета. И то до конца не допилил - с маршрутизацией какие-то проблемы оказались...
CityCat4, да про клиент стандартный на андройд наслышен. У bb10 клиент vpn довольно не плох, во всяком случае без проблем работает с забугорными серверами по протоколу ikev2.
ariets1982, микротик в этом плане особенный. У меня влет получилось например strongswan для андроида сцепить со strongswan на линухе даже по IKEv1, а вот для микротика ждал пока появится IKEv2 и то пока неполноценно.
Поскольку один клиент - значит режим точка-многоточка.
Все относительно winbox-а, в консоли искать лениво
- Создать пул адресов (IP->Pool, создать новый, это будут адреса, выдаваемые микротиком устройству)
- Создать mode config (IP->IPSec->Mode configs, указать имя пула, в поле split include указать подсетку, куда ходить, если это корпоративный VPN)
- Создать пира (IP->IPSec->Peer, указать соответствующие настройки, там их много, отчего я и говорил, что не настраивается в два клика. Поскольку какие Ваш клиент протоколы шифрования и прочее использует - непонятно, выбрать варианты пошире, включить лог и посмотреть, что он предлагает. IKEv2 включается в Exchange mode, что конечно же неправильно, но вот оно так. Лог - в System->Logging)
Попробовать подключиться, убедиться что нихрена не работает, читать лог, разбираться, перейти к началу предложения :)
Еще то удовольствие будет :)
ariets1982, Оооо, он точно пригодится :) Как-то я спаривал два микротика по IPSec в туннельном режиме. И не цепляются хоть ты тресни, хотя с линухом (strongswan) цеплялись на ура. Долго гуглил, читал то и се...случайно зацепил некое сообщение на форуме, где чел жаловалмя на поддержку хэша SHA256, что она только-только появилась. И тут меня осенило - а сменю-ка я хэш на SHA1! Бинго! Вот ведь как бывает...
CityCat4, дело в том что mikrotik в трех разных городах туннельно подключается на ура, во всяком случае. у меня такое соединение висело стабильно меж Ямалом, Донбассом и Ростовской областью на Ipsec, для личных целей. А целью было что бы все за маршрутизатором получали защищенный доступ к ftp с доками на Ямале, доступ был только локально. Выводить наружу было нельзя.
Давно не занимался подобным, последний раз еще в 14ом году.
Ну спасибо во всяком случаю за ответы, буду копать.
ariets1982, едриииить. И какой пинг до Ямала был, если не секрет? На прежнем месте работы мы с Якутском держали VPN, так там 300мс пинг - как здрасьте :)
Да пинг не маленький, но учитывая что только фтп гоняли размером максимум в 25Мб, этого вполне хватало. Пинг в среднем гдо то 300 и был, бывало и выше конечно, хоть оптика и была уже на Ямале в то время, но все равно и по сей день на Ямале наличии оптики сильно не спасает ситуацию.
Большое спасибо конечно, но то что нужно было проделать, я уже проделал. Статья IKEv2 — Mikrotik + Blackberry !?
Только ради этого мне нужен был Ikev2.
