Mikrotik IKEv2/IPSec RSA + RADIUS

Mikrotik IKEv2/IPSec RSA + RADIUS
« kdy: 22. 06. 2023, 14:59:58 »
Ahoj,
chci rozjet na Mikrotiku IKEv2 VPN server s ověřováním klientů pomocí certifikátů (v telefonu nazváno jako IKEv2/IPSec RSA) a ty certifikáty neověřovat přímo v mikrotiku, ale až ve FreeRADIUS serveru. Pro Wifi už mám rozjetý EAP-TLS a FreeRADIUS mi v OpenLDAPu dohledá uživatele, zkontroluje uživatelský certifikát atd.. to funguje dobře.

Problém s VPN mám v tom, že připojování skončí následující chybou a na RADIUS server nebyl odeslán žádný request, ani v logu mikrotiku není o radiusu zmínka. Když ale na klientovi změním typ z IPSec RSA na IPSec MSCHAPv2, tak po zadání jména a hesla se mikrotik toho RADIUS serveru zeptá.. Tak nevím, jestli se snažím o něco, co není podporováno, nebo to mám blbě.

Kód: [Vybrat]
identity not found for server:vpn.awalker.cz peer: RFC822: celebrant@vpn.awalker.cz



Nastavení IPSec Identity:
Kód: [Vybrat]
/ip ipsec identity
add auth-method=eap-radius certificate=vpn.awalker.cz generate-policy=port-strict mode-config="modeconfig vpn.awalker.cz" my-id=fqdn:vpn.awalker.cz \
    peer="peer 86.49.156.19" policy-template-group="group vpn.awalker.cz

K tomu mám v /radius:
Kód: [Vybrat]
/radius
add address=192.168.3.6 authentication-port=18120 service=wireless,ipsec

Nevíte, co s tím? Ještě doplním, že pokud vytvořím v mikrotiku identitu takto:

Kód: [Vybrat]
/ip ipsec identity
add auth-method=digital-signature certificate=vpn.awalker.cz generate-policy=port-strict match-by=certificate mode-config="modeconfig vpn.awalker.cz" \
    peer="peer 86.49.156.19" policy-template-group="group vpn.awalker.cz" remote-certificate=celebrant@vpn.awalker.cz remote-id=\
    fqdn:celebrant@vpn.awalker.cz

S tím, že ten certifikát je tedy uložen v /certificate v mikrotiku, tak ta IPSec RSA funguje. Ale já ty certifikáty nechci do toho mikrotiku nahrávat a vytvářet identity pro každého uživatele, když už je mám v ldapu.


Re:Mikrotik IKEv2/IPSec RSA + RADIUS
« Odpověď #1 kdy: 23. 06. 2023, 10:26:37 »
VPN cez radius na mikrotiku sice nemam rozbehanu, ale problem moze byt aj v tom, ze mikrotik potrebuje tiez komunikovat s radiusom cez certifikat. Kedze treba dorzat retazenie. Z toho, co som vypozoroval ohladne komunikacie cez certifikaty, na mikrotiku musis mat certifikat, full chain a privatny kluc, aby to slo. Ak mas iba certifikat a full chain, ale bez kluca alebo len cerfitikat, tak sa komunikacia s radiusom nenadviaze.

Nieco o tom najdes aj v tejto diskusi: https://forum.mikrotik.com/viewtopic.php?t=131469

Re:Mikrotik IKEv2/IPSec RSA + RADIUS
« Odpověď #2 kdy: 29. 06. 2023, 16:10:24 »
Původně jsem s RADIUS serverem komunikoval nešifrovaně. Předělal jsem to na RadSec, povídá si to tedy přes TLS a když si zapnu použití radiusu v mikrotiku třeba pro "login", tak ve FreeRADIUSu tu komunikaci přes TLS port, při přihlašování do MK, vidím. Stejně tak, když si na VPN klientovi přepnu typ na IPSec MSCHAPv2. Sice to nakonec selže, protože MSCHAPv2 v konfiguraci radiusu nechci a nepodporuji, ale povídá si to.

Takže šifrované to už je, ale stejně nevidím ani v Torch vůbec spojení na ten Radius server, když se připojuje VPN klient. Takže musí být něco špatně ještě před tím radiusem..

Koukal jsem na to vlákno, co si posílal, a dává mi to naději, že to má jít nastavit. Když to uživateli minfrin jelo, jakmile nainstaloval komplet certifikát i s klíčem. Což já ale mám. Zkouším to s CA vygenerovaným v mikrotiku a certifikáty jsou generované opět tím mikrotikem a podepsané CA v něm. Leda by byl problém v "Key usage", nevím, jestli tam něco nechybí. Zkusím to pět let staré vlákno na mikrotik fóru oživit..