Nastavení LPTE/IPsec na aktuálním Router OS

[vkre]

Dobrý den,

vím, že na netu je mnoho návodů,, ale Router OS se mění, takže tyto návody nejsou úplně jasné. Mohl by zde dat někdo podrobný návod na nastavení L2TP/IPSEC serveru na Mikrotik vycházející z aktuální verze Router OS?

Případně i IKEV2 serveru?

Cílem je funkčnost s android a ios klienty.

Děkuji.

[Reklama]

[samalama]

neviem, co je na tomto how-to zastarale https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

[vkre]

Tak jsem si to nastavil, vše funguje k mé zkušenosti.

Akorát v sekci IP - Ipsec - Peer mi svítí hláška "unsafe configuration, suggestion to use certificates"

Můj dotaz: Používám autentizační metodu před sdílený klíč. Je to dnes bezpečnostní problém?

[MikyM]

Tak jsem si to nastavil, vše funguje k mé zkušenosti.

Akorát v sekci IP - Ipsec - Peer mi svítí hláška "unsafe configuration, suggestion to use certificates"

Můj dotaz: Používám autentizační metodu před sdílený klíč. Je to dnes bezpečnostní problém?

Ahoj,
je to problém ale zatím není dostatečně zneužitelný pro širokou masu lidí, kteří si chtějí jen "hrát" pří posezení v restauraci/kavárně, kde mají free WiFi.
S dostupností "ready to use" nástrojů se to ale rychle změní...

Doporučení je PSK nenasazovat.

Pokud Tě to zajímá podrobněji pak tady je pár linků:

https://web-in-security.blogspot.com/2018/08/practical-dictionary-attack-on-ipsec-ike.html

Am I safe if I use PSKs with IKEv2?
No, interestingly the standard also mentions that IKEv2 does not prevent against off-line dictionary attacks.

https://www.nds.ruhr-uni-bochum.de/media/nds/veroeffentlichungen/2018/08/13/sec18-felsch.pdf

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Warning: PSK authentication was known to be vulnerable against Offline attacks in "aggressive" mode, however recent discoveries indicate that offline attack is possible also in case of "main" and "ike2" exchange modes. General recommendation is to avoid using PSK authentication method.