Как настроить Cisco IPSec на Mikrotik?

Question

[alex_dredd]

Есть задача: настроить на Mikrotik'е VPN сервер, к которому будут подключаться извне работники компании и иметь доступ к терминальному и почтовому серверам. Делать они это будут с виндовых машин, а также iOS устройств.

Из вариантов: PPTP, L2TP+IPSec, OpenVPN выбрали второй по следующим причинам:
1. PPTP уязвим из-за протокола авторизации MSChap.v2
2. OpenVPN не имеет нативных клиентов ни под одну ось, в которых это VPN соединение будет использоваться.

Настроили L2TP Сервер с IPSec. Клиенты подключаются. Все хорошо. Но есть одно НО: в настройках IPhone мы указываем все настройки для соединения с сервером в разделе L2TP. А для этого раздела нет параметров "Connect on demand". То есть если заблокировать телефон на 5 минут, то VPN соединение отключается. И после разблокировки телефона необходимо идти в настройки и принудительно включать VPN. К тому же, естественно, когда телефон заблокирован - не приходит почта, так как получение должно идти через VPN канал.

Начали копать в сторону решения этой проблемы. Обнаружили, что параметры "Connect on demand" можно задавать с помощью конфигурационных файлов для iOS. Но работают они только при использовании так называемого Cisco IPSec.

Гугление внятного результата не дало. Постоянно находится инфа о построении туннелей между Микротиком и циской, где микротик выступает клиентом.

Собственно вопрос: у кого-то получалось настроить такое соединение на Микротике? Если да, то как?

PS Версии софта: RouterOS 6.11 (tile), iOS 7.1

Answer 1

[Сергей]

Боюсь что бубен тут не поможет. =) Эта "фича" в айфонах появилась из-за наездов патентных троллей. И кроме оборудования циски тут ловить нечем.

Ты мне лучше расскажи где ты RouterOS 6.11. А то я тут не могу найти где беты лежат.

Comments

[alex_dredd]

на форуме микротика добрые люди дали :)
www.mikrotik.com/download/share/routeros-tile-6.11.npk
Только проверь, чтоб архитектура тебе подходила.

[Сергей]

Респект

Answer 2

[nimbo]

стоп!
1) под win точно есть нативный OpenVPN, потому что сам себе такое делал))
2) под iOS можно уточнить, сам не пользовал, т.к. пропользовался iPad'ом месяц и сдал обратно ибо фу;
3) секьюрность и всепролазность OpenVPN малость выше, да и устойчивость ко всяким EDGE-подключениям выше, нежели у того же l2tp + есть параметр keep-alive как раз чтоб не рвать связь.

Comments

[Сергей]

у автора проблема с Connect on demand на яблочных девайсах. это хрен обойдешь на данный момент

[Сергей]

Можно, но только установкой стороннего софта

[alex_dredd]

@bk0011m а немного точнее можно? что вы имеете в виду?

[alex_dredd]

Connect on demand доступен и для OpenVPN под iOS. Но, пока что, хотелось бы осилить Cisco IPSec. Если с ним ничего не получится - будем смотреть в сторону OpenVPN.

[alex_dredd]

@nimbo а под какой виндой? Я имел в виду "Нативный клиент" как клиент, изначально идущий в поставке в ОСью

[nimbo]

@alex_dredd а, ну так у винды есть l2tp(v2)\pptp\sstp и всё. есессно ставить софт отдельно надо. на самом деле openvpn достаточно прост и секьюрен. но если не хочется - не заставляю.
касаемо iOS - я кроме как ставить сторонний софт и jailbreak делать на железке даже и не знаю что предложить. хотя... пользуйтесь android-смартфонами;)
почта кстати не Lotus случаем? просто можете же наружу порт дать для мобильных устройств с TLS есессно.

Answer 3

[Amurchikus]

В принципе с настройками туннеля между cisco и mikrotik проблем не вижу, так как такие же статьи есть на самой же habrahabra либо на официальном сайте. Также можно перейти по этой ссылки so4net.com/index.php/ru/blog/114-ipsec-cisco-microtik
очень яркий пример настройки ipsec туннеля между cisco маршрутизатором и mikrotik.