返回列表 發帖

[VPN] Mikrotik IKEv2 Client的設定方法

本帖最後由 gfx86674 於 2019-4-13 00:02 編輯

1.首先將來自server端匯出的client憑證(附檔名為.p12)拉入client端資料夾,
然後用命令進行匯入:
/certificate import file-name=cert_export_RouterOS_client.p12 passphrase=1234567890
匯入後會存入兩憑證xxx.p12_0與xxx.p12_1


2.新增ikev2撥號:
/ip ipsec profile


/ip ipsec proposal


/ip ipsec group


/ip ipsec policy



/ip ipsec peer


/ip ipsec identity


3.若ikev2成功撥號,/ip ipsec policy會顯示連線成功的資訊。

圖上192.168.119.238即ikev2 client所取得的連線ip。

4.若要讓用電腦端透過router進行vpn代理,必須設定偽裝。
如要將192.168.88.100透過router進行vpn代理,需在/ip firewall nat新增:



192.168.119.238即步驟3所取得的撥號ip。
並將此規則拉置nat最上方進行置頂,這樣就大功告成了
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

其实这个方法 做点到点不算最优解,相对来说海挺麻烦的.最重要的是,不可控错误很多.
正常情况下我会选择OVPN+OSPF

TOP

gfx86674,
嘗試用ROS IKEV2 client 連 Unix IKEV2server.
參考 以下連結: https://github.com/hwdsl2/setup- ... 2-howto.md#routeros
同你的幾乎一樣,只有mode-config 有不一樣。
問題是用了他的 setup, 不能 翻牆, 想加上你的 route 到 ipsec 的assigned IP 也有問題。ipsec mode-config 自動 assigned IP firewall NAT.

是不是 ros IKEv2 不能放在另一個router 後(NAT) ,而要用bridge mode?

TOP

按照楼主的方法去设置,客户端电脑连接到这个ROS后,只能上国内网,上不了国外网。

TOP

回復 3# yiucsw


    您遇到的问题 解决了吗?现在可以正常使用了吗??

TOP

回復 1# gfx86674


    楼主,是否可以更新一下教程,针对最新的ROS 7.5系统中的 IKEv2 Client的設定方法。

TOP

回復 3# yiucsw


     我设置ikev2 client 时也遇到与您相同的问题, client连接后可以上国内网,国外网却上不了。
     您的遇到的连接问题现在搞好了吗??

TOP

回復 6# Skypeus
的確要更新,因為比您想像中的更簡單。
教學只要做到步驟3就好,接下來看下面的:

client與server端的/ip ipsec policy截圖:
以下這張是server的,但重點只在client端,server端完全不用設:


找到client端在/ip ipsec policy的ikev2連線,展開後按下copy...
再修改複製的內容,把src-address=192.168.x.x/32的改成區網網段,如:192.168.88.0/24

dst-address則是要翻牆的網段,如填192.168.90.0/24,就是只和對端做site to site內網傳輸;
若改填1.0.0.0/8,則是1.0.0.0/8的網段皆能透過server端翻牆。
若有更多的網段需對端翻吧,不只1.0.0.0/8的話那就多複製幾組,並變更每一組dst-address端吧

但注意dst-address不能填0.0.0.0/0,
另外ipsec policy不支援address list,若像是國家網段的要加到ipsec policy,
並不是說不行,但因為有幾百幾千組網段需加入ipsec policy,若不靠腳本新增,先崩潰的肯定是你自己

TOP

返回列表