IKEv2 проблема с сертфикатами (can't verify peer's certificate from store)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
BadgerKing
Сообщения: 2
Зарегистрирован: 17 май 2024, 10:30

Всех приветствую, у меня следующая проблема: Настраивая IKEv2 на микротике, столкнулся с проблемой, где при подключении в логах пишется ошибка <can't verify peer's certificate from store> и клиент не подключается. Где я мог ошибится?
Вот скрипт настройки сертификатов и ipsec:

/certificate add name="CA" common-name="CA" key-size=4096 days-valid=7300 key-usage=key-cert-sign,crl-sign
/certificate sign "CA"

/certificate add name="Home server" common-name="Home server" subject-alt-name="DNS:<dns полученный с ip cloud>.sn.mynetname.net" key-size=4096 days-valid=3650 key-usage=tls-server
/certificate sign "Home server" ca="CA"


/certificate add name="Home client1" common-name="Home client1" key-size=4096 days-valid=3650 key-usage=tls-client
/certificate sign "Home client1" ca="CA"
/certificate export-certificate "Home client1" file-name="Home client1" type=pkcs12 export-passphrase=1234567890

/ip pool add name=vpn ranges=10.22.22.10-10.22.22.30

/ip firewall filter add action=accept chain=input comment="Allow IPSEC/IKE2 connections" dst-port=500,4500 protocol=udp

/ip firewall filter add action=accept chain=forward comment="Accept in ipsec policy" ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=forward comment="Accept out ipsec policy" ipsec-policy=out,ipsec

/ip firewall address-list add address=10.22.22.10-10.22.22.30 comment=VPN list=allowed_to_router



/ip ipsec mode-config
add address-pool=vpn name=vpn
/ip ipsec policy group
add name=vpn
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 name=vpn \
proposal-check=strict
/ip ipsec peer
add exchange-mode=ike2 name=vpn passive=yes profile=vpn send-initial-contact=no
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add enc-algorithms=aes-256-cbc name=vpn pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate="Home server" comment=\
"Home client1" generate-policy=port-strict match-by=certificate \
mode-config=vpn peer=vpn policy-template-group=vpn remote-certificate=\
"Home client1" remote-id=ignore
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 group=vpn proposal=vpn src-address=0.0.0.0/0 \
template=yes


BadgerKing
Сообщения: 2
Зарегистрирован: 17 май 2024, 10:30

Решил проблему, оставлю комментарий, если вдруг у кого-то будет подобное.
Дело в том что сертификаты были настроены правильно, но после того, как я купил такой же модели Микротик, сертификаты заработали. Походу проблема была в железе


WRYNN
Сообщения: 1
Зарегистрирован: 01 ноя 2024, 14:58

Попал сюда из поисковика - было первой ссылкой. У меня тоже разные модели Микротиков, на которых я столкнулся с такой проблемой и хочу рассказать для таких же как я, как у меня всё разрешилось.
Мне удалось решить проблему, это оказалось довольно глупо. Я сгенерировал сертификаты и в тот же день пробовал настроить IPSEC, но получил такую же ошибку о невозможности удостоверить сертификат. Ларчик открылся очень просто - на одном из роутеров по какой-то неведомой мне причине сильно отстало системное время - почти на сутки. Стоило мне изменить дату и время на корректные, как авторизация сразу же прошла успешно.


Ответить