IKEv2 split-include?

Question

[bruges]

Mikrotik, являющийся шлюзом для локалки 192.168.0.0/24, с настроенным и работающим IKEv2 по сертификатам для подключающихся извне сотрудников. Всё работает.

Конфигурация IPSEC

/ip ipsec mode-config
add address-pool=ike2-pool address-prefix-length=32 name=ike2-conf split-dns=192.168.0.1 split-include=192.168.0.0/24 system-dns=no

/ip ipsec policy group
add name=ike2-policies

/ip ipsec profile
add dh-group=ecp521,modp2048,modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 name=ike2

/ip ipsec peer
add exchange-mode=ike2 name=ike2 passive=yes profile=ike2

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des add enc-algorithms=aes-256-cbc name=ike2 pfs-group=none

/ip ipsec identity
add auth-method=digital-signature certificate=vpn.server generate-policy=port-strict mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies

/ip ipsec policy
add dst-address=192.168.77.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes

Появилась необходимость добавить внутрь тоннеля подсеть видеонаблюдения 192.168.40.0/29 находящуюся в отдельном VLAN.

Сделал split-include=192.168.0.0/24,192.168.40.0/29 - клиенты не видят 192.168.40.0/29

Меняем местами split-include=192.168.40.0/29,192.168.0.0/24 - клиенты видят 192.168.40.0/29, но не видят 0.0/24. Получается на клиенте не работает split-include. Здесь тот же вопрос по сути, но без решения.

Answer 1

[brar]

На практике не встречал, но вспомнил, что было в мануале что-то на этот счет. Вот:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Kno...

И ранее в мануале есть такое, как вариант избежать этой проблемы:
"While it is possible to adjust IPsec policy template to only allow road warrior clients to generate policies to network configured by split-include parameter, this can cause compatibility issues with different vendor implementations (see known limitations). Instead of adjusting the policy template, allow access to secured network in IP/Firewall/Filter and drop everything else.

/ip firewall filter
add action=drop chain=forward src-address=192.168.77.0/24 dst-address=!10.5.8.0/24

Comments

[bruges]

Да я видел все эти маны, но не повлияло. Прошу прощения за недостаток инфы, глупо с моей стороны было забыть указать, что проблема наблюдается только на клиентах Android и некоторых iOS. Уже прочитал, что это не фиксится пока-что никак.

[Keffer]

bruges, Потому что с сетями и роутами на мобильных ОС все не просто плохо а очень плохо. И все еще хуже с передачей маршрутов по впнам разным

[darkbumerang]

Keffer, видимо до сих пор так же. Сегодня задавал вопрос про отсутствие пинга через ikev2 на одном андройде и полноценную работу через этот же сервер у семи других андройд устройств. Как, почему и главное - за что... :))