Zobrazit příspěvky
1
Sítě / Mikrotik IKEv2/IPSec RSA + RADIUS
« kdy: 22. 06. 2023, 14:59:58 »
Ahoj,
chci rozjet na Mikrotiku IKEv2 VPN server s ověřováním klientů pomocí certifikátů (v telefonu nazváno jako IKEv2/IPSec RSA) a ty certifikáty neověřovat přímo v mikrotiku, ale až ve FreeRADIUS serveru. Pro Wifi už mám rozjetý EAP-TLS a FreeRADIUS mi v OpenLDAPu dohledá uživatele, zkontroluje uživatelský certifikát atd.. to funguje dobře.
Problém s VPN mám v tom, že připojování skončí následující chybou a na RADIUS server nebyl odeslán žádný request, ani v logu mikrotiku není o radiusu zmínka. Když ale na klientovi změním typ z IPSec RSA na IPSec MSCHAPv2, tak po zadání jména a hesla se mikrotik toho RADIUS serveru zeptá.. Tak nevím, jestli se snažím o něco, co není podporováno, nebo to mám blbě.
Nastavení IPSec Identity:
K tomu mám v /radius:
Nevíte, co s tím? Ještě doplním, že pokud vytvořím v mikrotiku identitu takto:
S tím, že ten certifikát je tedy uložen v /certificate v mikrotiku, tak ta IPSec RSA funguje. Ale já ty certifikáty nechci do toho mikrotiku nahrávat a vytvářet identity pro každého uživatele, když už je mám v ldapu.
chci rozjet na Mikrotiku IKEv2 VPN server s ověřováním klientů pomocí certifikátů (v telefonu nazváno jako IKEv2/IPSec RSA) a ty certifikáty neověřovat přímo v mikrotiku, ale až ve FreeRADIUS serveru. Pro Wifi už mám rozjetý EAP-TLS a FreeRADIUS mi v OpenLDAPu dohledá uživatele, zkontroluje uživatelský certifikát atd.. to funguje dobře.
Problém s VPN mám v tom, že připojování skončí následující chybou a na RADIUS server nebyl odeslán žádný request, ani v logu mikrotiku není o radiusu zmínka. Když ale na klientovi změním typ z IPSec RSA na IPSec MSCHAPv2, tak po zadání jména a hesla se mikrotik toho RADIUS serveru zeptá.. Tak nevím, jestli se snažím o něco, co není podporováno, nebo to mám blbě.
Kód: [Vybrat]
identity not found for server:vpn.awalker.cz peer: RFC822: celebrant@vpn.awalker.cz
Nastavení IPSec Identity:
Kód: [Vybrat]
/ip ipsec identity
add auth-method=eap-radius certificate=vpn.awalker.cz generate-policy=port-strict mode-config="modeconfig vpn.awalker.cz" my-id=fqdn:vpn.awalker.cz \
peer="peer 86.49.156.19" policy-template-group="group vpn.awalker.cz
K tomu mám v /radius:
Kód: [Vybrat]
/radius
add address=192.168.3.6 authentication-port=18120 service=wireless,ipsec
Nevíte, co s tím? Ještě doplním, že pokud vytvořím v mikrotiku identitu takto:
Kód: [Vybrat]
/ip ipsec identity
add auth-method=digital-signature certificate=vpn.awalker.cz generate-policy=port-strict match-by=certificate mode-config="modeconfig vpn.awalker.cz" \
peer="peer 86.49.156.19" policy-template-group="group vpn.awalker.cz" remote-certificate=celebrant@vpn.awalker.cz remote-id=\
fqdn:celebrant@vpn.awalker.cz
S tím, že ten certifikát je tedy uložen v /certificate v mikrotiku, tak ta IPSec RSA funguje. Ale já ty certifikáty nechci do toho mikrotiku nahrávat a vytvářet identity pro každého uživatele, když už je mám v ldapu.
