innomaker 26 янв 2021 в 23:30

IKEv2 туннель между MikroTik и StrongSwan: EAP ms-chapv2 и доступ к сайтам

3 мин

41K

Настройка Linux*Информационная безопасность*Сетевые технологии*Сетевое оборудование

Из песочницы

+13

Комментарии 21

Stesh 27 янв 2021 в 01:16

Хорошо бы кроме картинок winbox, дублировать настройки в консольном варианте. Как минимум, это будет читабельней.

toper 27 янв 2021 в 02:56

Мне кажется было бы неплохо добавить процесс генерации сертификатов для стронгсвана.

НЛО прилетело и опубликовало эту надпись здесь

ZakharovAV 27 янв 2021 в 04:19

И небольшой оффтоп: сам strongswan считает настройку через ipsec.conf устаревшей, и рекомендует переходить на swanctl.
Убедиться в этом можно на сайте в разделе примеров.

НЛО прилетело и опубликовало эту надпись здесь

innomaker 4 июн 2021 в 10:36

К сожалению, в микротике резольв при добавлении в лист работает только один раз, и потом ip не обновляется. Я пока ищу способ решения этой проблемы

Blck-1 27 янв 2021 в 09:27

Зачем импортировать ключ сервера в микротик? Он, по идее, никогда не должен покидать сервер. Да и рутовый сертификат импортировать не обязателено кмк

НЛО прилетело и опубликовало эту надпись здесь

gvozd1989 27 янв 2021 в 10:34

А как это через «контент адреса»?

НЛО прилетело и опубликовало эту надпись здесь

difiso 27 янв 2021 в 10:24

Вот был 2.5 лет назад пост про микротик и bgp от товарища Furriest (https://habr.com/ru/post/413049/).

Ищу и не могу понять, как мне из списка, полученного по BGP загнать траффик в ikev2. Вот если есть отдельный интерфейс, то все он, но тут он не создаётся.

Может подскажет кто, более знающий? Вариант генерить списки адресов рассматриваем как запасной.

Furriest 27 янв 2021 в 10:33

Можно костылить псевдоинтерфейсы (например дополнительные bridge), весь трафик через которые политикой заворачивать в ikev2. Можно сделать отдельный VRF, из которого в ikev2 будет смотреть дефолт, а полученный по bgp список использовать как раутлик. Мало ли как еще можно извратиться :)

Но, честно говоря, для такой конфигурации гораздо проще не генерить, а просто регулярно дергать с antifilter списки адресов в формате микротика — antifilter.download/list/allyouneed.rsc

dakuan 27 янв 2021 в 13:47

открытый ключ корневого сертификата

Сертификат — это и есть открытый ключ + дополнительная информация.

REPLAY_5 28 янв 2021 в 17:02

Почему не сделать поще, например микротик<==>микротик, и какой нибудь l2tp ipsec

Stesh 28 янв 2021 в 19:46

например микротик<==>микротик

Проще микротики связать с собой как раз по ikev2. Но не всем удобно разворачивать chr (и монопольно занимать ip и vds) ради одного-двух тоннелей.

remendado 4 июн 2021 в 10:38

Попробовал. У меня не работает. Туннель поднимается, но Микротик не получает адрес от StrongSwan. И как этот адрес может появиться на ether1, когда там уже адрес есть?

Интересуют также и связанные с IPsec настройки файрвола на Микротике.

НЛО прилетело и опубликовало эту надпись здесь

StraNNicK 6 июл 2021 в 13:47

У меня та же проблема — соединение устанавливается, но IP от StrongSwan не получен.
Не разобрались в чём проблема?

nesmit 12 мар 2022 в 15:26

не хватает одного скриншота с Policy

добавляем полиси, меняем поля: group на созданный нами, галку темплейт и пропозал.
реконнект и вуаля, ip есть.

StraNNicK 12 мар 2022 в 16:03

Спасибо, попробую.

earmark 4 июн 2021 в 10:39

MikroTik — конструктор для мазохистов! то что стоит нормальных денег может работать только как свич… чтоб построить нормальную конфигурацию, у них стоит уже других денег!
а домохозяйки, по прежнему пытаются на железяку за 30$ напихать сервис на штуку…

жду от модератора отклонения…

Зарегистрируйтесь на Хабре, чтобы оставить комментарий