Использование Ipsec IKEv2 для подключения клиентских ОС
Вставка
- Опубліковано 27 вер 2024
- Использование Ipsec IKEv2 для подключения клиентских ОС, Roman Kozlov (mikrotik-training.ru, Russia). Презентация о подключении удаленных клиентов к корпоративной сети. Использование опции split network. Особенности настройки Windows, MacOS, Ios, Android. .
Лайк за скрипт и за хак реестра. Настройку лучше проводить по презентации Никиты Тарыкина. Правило на приём esp трафика не нужно, так как это форвард, на приём нужно только UDP 500 и 4500. По итогу подключение IKE2 часто режут антивирусы, нужно иметь в виду, например в Eset NOD добавлять в исключение проверки трафика публичный IP VPN шлюза. В Windows 7 маршруты из split network не прилетают, в 8-ке и 10-ке прилетают. Если один раз повозиться с настройкой, то потом неплохо и гибко работает, например с помощью разных mode config в связке с Identities можно отправлять разным клиентам разные маршруты на выбор.
где я могу найти скрипт?
@@fredstone9040 тута: mum.mikrotik.com/presentations/RU19K/presentation_6870_1554991099.pdf
@@viktorlyovochkin1812 Ссылка на презентацию мертва :( можно в другое место? просто сравнить :) вчера настроил и маршруты на семерку залетели вроде
@@thestinger24rus Презентацию я не сохранял, но если нужен просто скрипт, то вот:
powershell Add-VpnConnection -Name "operator" -ServerAddress "8.8.8.8" -TunnelType Pptp -EncryptionLevel Optional -RememberCredential -AuthenticationMethod MSChapv2 -SplitTunneling -PassThru
powershell Add-VpnConnectionRoute -ConnectionName operator -DestinationPrefix 8.8.8.8/32
Вместо 8.8.8.8 в первом скрипте IP адрес вашего VPN шлюза, во втором - адрес, до которого вам нужен маршрут.
@@thestinger24rus День добрый. Как добиться, чтобы маршруты прилетали на семёрку?
Ты тоже классный
прав оператора сети давно не достаточно, маршруты в Форточке сейчас можно только под локальным админом добавлять, консоль от имени Администратора.
По мне, так лучше ssl vpn для клиентов нет ничего, к сожалению SSTP не работает много где, по этому нашёл для себя и клиентов Openconnect сервер.
Ipsec IKEv2 для MAC OS а слайды и настройки для IOS :( и для настройки мак клиентов использовать Windows Server? Проще взять CISCO
Подымаете на виртуалке pfsense и на Mikrotik, пробрасываете порты до pfsense. Ну и не забыть роуты прописать или пронатить. И используйте openvpn на pfsense, где есть push routes и поддержка udp.
круто, лаик
Так и не понял, без PKI соединение с Mikrotik по протоколу IKEv2 с клиента Windows\MacOS\Android возможно или нет? БЕЗ сертификата НА КЛИЕНТЕ. Только по общему ключу.
да
Win10 20H2 Не согласится на политику, предложенную сервером, в том числе по шаблону, если src.add* != 0.0.0.0/0, и заявит про неизвестную ошибку... (*src.adr со стороны микротика). Win7 (правда без обновлений) так себя не ведёт: соглашается на политику с src.add* != 0.0.0.0/0, а если предложенная политика с src.add* = 0.0.0.0/0 и через split include указана подсеть, то согласовывает политику с src.add* = split include.
на 13 и выше версии андроид убрали l2tp +pptp --кто у них решил етого сделат -крейзи -Сейчас сиди угадай настройку IKEv2(((
Бодрят нас что бы мы искали новые способы настройки. Без этого жили бы с л2тп и проблем не знали)
/*\ символ?
Короче как всегда ипсекс...
5+