Настройка IKEv2 MikroTik с авторизацией по сертификату
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Преимущество данного метода заключается в том, что использование учётной записи заменяется применением SSL-сертификата. Такой подход значительно безопаснее и исключает возможность компрометации через подбор пароля. Конфигурация становится более сложной, и для подключения пользователя необходимо предварительно передать ему сертификат. Несмотря на усложнение настроек, протокол IKEv2 компенсирует это за счёт высокой скорости работы VPN-туннеля, который соответствует современным требованиям безопасности.
Настройка IKEv2 с авторизацией по SSL-сертификату во многом схожа с конфигурацией SSL VPN на оборудовании Fortigate, где сервер способен передавать клиенту динамические маршруты. В результате пользователь получает доступ к локальной сети MikroTik, а его интернет-трафик продолжает обрабатываться через клиентский роутер. Такая возможность удобна для системных администраторов и сетевых инженеров, так как позволяет заранее задать маршрутизацию VPN-подключения на стороне MikroTik.
Сертификат CA может быть выпущен следующими способами:
- на IP-адрес роутера MikroTik — в случае его изменения потребуется обновление всей цепочки сертификатов;
- через Cloud DDNS — сертификаты будут связаны с серийным номером устройства MikroTik;
- на публичный DNS — наиболее гибкий вариант, упрощающий перенастройку.
Создание SSL-сертификата для IKEv2 в MikroTik
CA (Certification Authority, центр сертификации) — это организация или подразделение, которому доверяют, а его открытый ключ является общедоступным. Основная задача центра сертификации заключается в подтверждении подлинности криптографических ключей посредством выдачи сертификатов электронной подписи.
Будут созданы три сертификата:
- CA — используется для подписания клиентских и серверного сертификатов;
- сертификат для VPN-сервера IKEv2;
- индивидуальный сертификат для клиента.
Небольшое пояснение по DNS и IP-адресам: выпущенный сертификат необходимо привязать либо к IP-адресу роутера MikroTik, либо к определённому DNS-имени. Каждый вариант имеет свои преимущества и недостатки, которые следует оценить перед запуском VPN-сервера.
Активация Cloud DDNS
Настройка находится IP→Cloud
Создание SSL-сертификата для CA
Настройка выполняется в разделе System → Certificates
Задание параметров Key Usage для CA
Подпись CA
Создание сертификата для VPN-сервера
Необходимо внимательно указывать параметры Common Name и Subject Alt. Name, так как ошибки в этих значениях потребуют перевыпуска сертификата, его экспорта, импорта и дополнительных действий по копированию.
Определение параметров Key Usage для сертификата сервера VPN
Подпись сертификата для VPN-сервера
Создание SSL-сертификата для пользователя
Подпись SSL-сертификата для пользователя
После выполнения всех шагов должно быть создано три сертификата: для CA, для VPN-сервера и для пользователя (support).
Список сертификатов IKEv2
Настройка IKEv2 на MikroTik с авторизацией по SSL-сертификату
После создания сертификатов можно переходить к настройке IKEv2 на роутере MikroTik. Эта конфигурация имеет ряд схожих параметров с другими VPN, использующими IKEv2 или IKEv1.
Первым шагом необходимо определить IP-адреса, которые будут назначаться VPN-клиентам. Для этого рекомендуется выделить отдельную подсеть, независимую от рабочего диапазона IP-адресов. Такой подход упрощает диагностику при возникновении проблем, обеспечивает корректную маршрутизацию и предоставляет дополнительные возможности для применения ограничений (Firewall, NAT, QoS).
Создание IP Pool для VPN-клиентов
Настройка находится IP→Pool
Конфигурация IPsec Profile для IKEv2
Данная конфигурация относится к phase-1 IPsec и может быть расширена дополнительными алгоритмами и группами шифрования, выбор которых зависит от используемых клиентских устройств.
Настройка выполняется в разделе IP → IPsec → Profile
Настройка выполняется в разделе IP → IPsec → Profile
Конфигурация IPsec Proposal для IKEv2
Данная настройка относится к phase-2 IPsec и может быть дополнена дополнительными алгоритмами и группами шифрования, выбор которых зависит от подключаемых клиентов.
Настройка выполняется в разделе IP → IPsec → Proposals.
Настройка выполняется в разделе IP → IPsec → Proposals.
Конфигурация IPsec Mode Config для IKEv2
Настройка находится IP→IPsec→Mode Configs
Split Include задаёт список подсетей и узлов, которые разрешены для VPN-клиента и передаются ему в виде динамических маршрутов. В данном примере клиент получает маршрут в подсеть 192.168.88.0/24.
Static DNS используется, если необходимо передать VPN-клиенту DNS-сервер, например Active Directory.
Static DNS используется, если необходимо передать VPN-клиенту DNS-сервер, например Active Directory.
Конфигурация IPsec Group для IKEv2
Настройка находится IP→IPsec→Groups
Конфигурация IPsec Peer для IKEv2
Параметр Address=0.0.0.0/0 указывает, что VPN-сервер принимает подключения от любых IKEv2-клиентов, независимо от их IP-адреса.
Настройка выполняется в разделе IP → IPsec → Peers.
Настройка выполняется в разделе IP → IPsec → Peers.
Конфигурация IPsec Policy для IKEv2
Настройка выполняется в разделе IP → IPsec → Policies.
Конфигурация IPsec Identity для IKEv2
Certificate — сертификат VPN-сервера
Remote Certificate — сертификат пользователя, по которому проверяется право подключения VPN-клиента к серверу
Remote ID Type — тип идентификатора, ожидаемый от VPN-клиента, позволяет задать в Remote ID полное имя клиента
Match By — объект для сравнения: Remote Certificate или Remote ID
Настройка выполняется в разделе IP → IPsec → Identities
Remote Certificate — сертификат пользователя, по которому проверяется право подключения VPN-клиента к серверу
Remote ID Type — тип идентификатора, ожидаемый от VPN-клиента, позволяет задать в Remote ID полное имя клиента
Match By — объект для сравнения: Remote Certificate или Remote ID
Настройка выполняется в разделе IP → IPsec → Identities
/ip ipsec policy group
add name=IKEv2-Server
/ip ipsec profile
add name=IKEv2-Server
/ip ipsec peer
add exchange-mode=ike2 name=IKEv2-Server passive=yes profile=IKEv2-Server
/ip ipsec proposal
add name=IKEv2-Server
/ip pool
add name=Ip-IKEv2-Pool ranges=174.16.0.100-174.16.0.254
/ip ipsec mode-config
add address-pool=Ip-IKEv2-Pool name=IKEv2-Server split-include=\
192.168.88.0/24 system-dns=no
/ip cloud
set ddns-enabled=yes ddns-update-interval=1h
/ip ipsec identity
add auth-method=digital-signature certificate=aXXXXXXXXXX9.sn.mynetname.net \
generate-policy=port-strict match-by=certificate mode-config=IKEv2-Server \
peer=IKEv2-Server policy-template-group=IKEv2-Server remote-certificate=\
[email protected] remote-id=\
user-fqdn:[email protected]
/ip ipsec policy
add dst-address=0.0.0.0/0 group=IKEv2-Server proposal=IKEv2-Server \
src-address=0.0.0.0/0 template=yesКонфигурация Firewall для IKEv2 в MikroTik
Ниже представлен базовый Firewall для роутера MikroTik, дополненный разрешающим правилом для IKEv2-подключений.
К настройке Firewall требуется подходить крайне внимательно. Отсутствие запретительных правил снижает уровень безопасности и сводит на нет преимущества использования SSL. Некорректная конфигурация значительно повышает риск компрометации устройства MikroTik.
Разрешение входящих подключений IKEv2
Настройка находится IP→Firewall→Filter Rules
/ip firewall filter
add action=accept chain=input dst-port=500,4500 in-interface-list=WAN \
protocol=udpОбщий вид Firewall
Экспорт сертификатов для IKEv2-подключений
Экспортируются два сертификата: для CA (без закрытого ключа) и для пользователя (с закрытым ключом).
Экспорт пользовательского сертификата
Настройка выполняется в разделе System → Certificates.
Важно! Ключ указать закрытый
Для пользовательского сертификата необходимо указать тип PKCS12
Экспорт сертификата для CA
Сертификат для CA должен иметь тип PEM.
Копирование сертификата для IKEv2
Настройка находится File→File List
Импорт сертификата в Windows 11
Импорт сертификатов для IKEv2 в разных системах выполняется схожим образом. Важно учитывать:
- сертификат CA необходимо импортировать в раздел Доверенные центры сертификации;
- пользовательский сертификат с закрытым ключом следует поместить в раздел Личный локального компьютера.
Особенность Windows заключается в установке сертификата на учётную запись компьютера, а не конкретного пользователя. Поэтому при входе под другой учётной записью на том же устройстве сертификат остаётся доступным.
Для импорта или редактирования списка сертификатов можно использовать системную консоль mmc.exe. В ней необходимо добавить оснастку Сертификаты → учётной записи компьютера.
Импорт сертификата CA (открытый ключ)
Импорт пользовательского сертификата (с закрытым ключом)
Ввод закрытого ключа
Выбор хранилища для сертификата
Настройка IKEv2 в Windows 11
На данном этапе создаётся VPN-подключение типа IKEv2 с авторизацией по SSL. На клиентском устройстве Windows сертификат уже импортирован, а сервер IKEv2 активен и готов к установке соединения.
Открыть раздел Параметры сети и Интернета
Перейти в раздел Настройки VPN
Добавить новое подключение типа IKEv2
Заполнить параметры нового подключения IKEv2
Изменить параметр расположения SSL
Подключиться к VPN IKEv2
Настройка IKEv2 с авторизацией через Active Directory
Для конфигурации используется предварительно подготовленный стенд:
- настроенный RADIUS-сервер на базе Windows Server;
- роутер MikroTik, успешно проходящий авторизацию на RADIUS-сервере;
- VPN-соединение IKEv2 с авторизацией через сертификат.
Обновление параметров RADIUS-сервера
Активация службы IPsec для авторизации через RADIUS
Настройка находится RADIUS
Обновление настроек IPsec Mode Config
Настройка выполняется в разделе IP → IPsec → Mode Configs
Обновление настроек IPsec Identity
Настройка выполняется в разделе IP→IPsec→Identities
Обновление параметров VPN-клиента Windows 11
Проверка работы VPN IKEv2
После установления подключения IKEv2 и отображения статуса «Подключено» в Windows 11 рекомендуется выполнить дополнительную проверку.
Просмотр маршрутов на IKEv2 VPN-клиенте
Проверка доступности узлов удалённой сети
Проверка статуса VPN-клиента на сервере IKEv2
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.