IKEv2 туннель между MikroTik и StrongSwan: EAP ms-chapv2 и доступ к сайтам

[Stesh]

Хорошо бы кроме картинок winbox, дублировать настройки в консольном варианте. Как минимум, это будет читабельней.

[toper]

Мне кажется было бы неплохо добавить процесс генерации сертификатов для стронгсвана.

[ZakharovAV]

И небольшой оффтоп: сам strongswan считает настройку через ipsec.conf устаревшей, и рекомендует переходить на swanctl.
Убедиться в этом можно на сайте в разделе примеров.

[innomaker]

К сожалению, в микротике резольв при добавлении в лист работает только один раз, и потом ip не обновляется. Я пока ищу способ решения этой проблемы

[Blck-1]

Зачем импортировать ключ сервера в микротик? Он, по идее, никогда не должен покидать сервер. Да и рутовый сертификат импортировать не обязателено кмк

[gvozd1989]

А как это через «контент адреса»?

[difiso]

Вот был 2.5 лет назад пост про микротик и bgp от товарища Furriest (https://habr.com/ru/post/413049/).

Ищу и не могу понять, как мне из списка, полученного по BGP загнать траффик в ikev2. Вот если есть отдельный интерфейс, то все он, но тут он не создаётся.

Может подскажет кто, более знающий? Вариант генерить списки адресов рассматриваем как запасной.

[Furriest]

Можно костылить псевдоинтерфейсы (например дополнительные bridge), весь трафик через которые политикой заворачивать в ikev2. Можно сделать отдельный VRF, из которого в ikev2 будет смотреть дефолт, а полученный по bgp список использовать как раутлик. Мало ли как еще можно извратиться :)

Но, честно говоря, для такой конфигурации гораздо проще не генерить, а просто регулярно дергать с antifilter списки адресов в формате микротика — antifilter.download/list/allyouneed.rsc

[dakuan]

открытый ключ корневого сертификата

Сертификат — это и есть открытый ключ + дополнительная информация.

[REPLAY_5]

Почему не сделать поще, например микротик<==>микротик, и какой нибудь l2tp ipsec

[Stesh]

например микротик<==>микротик

Проще микротики связать с собой как раз по ikev2. Но не всем удобно разворачивать chr (и монопольно занимать ip и vds) ради одного-двух тоннелей.

[remendado]

Попробовал. У меня не работает. Туннель поднимается, но Микротик не получает адрес от StrongSwan. И как этот адрес может появиться на ether1, когда там уже адрес есть?

Интересуют также и связанные с IPsec настройки файрвола на Микротике.

[StraNNicK]

У меня та же проблема — соединение устанавливается, но IP от StrongSwan не получен.
Не разобрались в чём проблема?

[nesmit]

не хватает одного скриншота с Policy

добавляем полиси, меняем поля: group на созданный нами, галку темплейт и пропозал.
реконнект и вуаля, ip есть.

[StraNNicK]

Спасибо, попробую.

[earmark]

MikroTik — конструктор для мазохистов! то что стоит нормальных денег может работать только как свич… чтоб построить нормальную конфигурацию, у них стоит уже других денег!
а домохозяйки, по прежнему пытаются на железяку за 30$ напихать сервис на штуку…

жду от модератора отклонения…