Mikrotik IPSec IKEv2 с использованием rutoken и Windows 10. identity not found for peer: ADDR4
Добавлено: 14 апр 2020, 19:00
Добрый день всем.
Несколько дней бьюсь с проблемой. Настроил на MikroTik (RouterOS 6.46.4) IKEv2 сервер, сгенерировал сертификаты с помощью easy-rsa для сервера и для клиента. Установил сертификаты в Windows 10 (Pro N 1803) согласно раздела 17.2.2 "RouterOS client configuration" (https://wiki.mikrotik.com/wiki/Manual:IP/IPsec ), т.е. установил сертификаты для локального компьютера. Настроил VPN подключение IKEv2 и получил положительный результат. Т.е. клиент коннектится, получает нужный IP-адрес, нужные подсети в таблицу маршрутизации: в общем - все работает. Решил перенести сертификат пользователя на рутокен, для чего импортировал тот самый p12 на рутокен, что устанавливал в ОС. Т.к. сертификаты самоподписанные (easy-rsa) пришлось так же установить CA сертификат в операционную систему. Создал новое подключение в ОС для IKEv2 с использованием смарт-карты. При попытке подключиться ОС обращается к смарт-карте (запрашивает пин-код), но подключение завержается неудачей:
Со стороны Windows 10:
"Неприменимые учетные данные проверки подлинности IKE"
в журнале светится ошибка 13801
Со стороны Mikrotik:
19:39:26 ipsec,error identity not found for peer: ADDR4: 192.168.3.22
На сколько я понимаю ОС отправляет в качестве идентификатора локальный IP-адрес, причем только при использовании настройки IKEv2 со смарт-картой.
Кому удалось настроить IKEv2 сервер на Mikrotik с использованием смарт-карты на Windows 10. Что я делаю не так? Благодарен за любую помощь.
настройки mikrotik в части ipsec:
exp
/ip ipsec mode-config
add address-pool=ike2-pool address-prefix-length=32 name=ike2-conf
add address=192.168.60.33 address-prefix-length=32 name=test split-include=192.168.19.0/24,192.168.21.0/24,172.16.1.0/24 system-dns=no
add address=192.168.55.2 address-prefix-length=32 name=name2 split-include=192.168.55.1/32 system-dns=no
/ip ipsec policy group
add name=ike2-policies
add name=ike-s2s
/ip ipsec profile
add name=ike2
add name=ike2-s2s
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peers passive=yes profile=ike2
/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,3des name=ike2 pfs-group=none
add name=ike-s2s pfs-group=modp4096
/ip ipsec identity
add auth-method=digital-signature certificate=server.crt_0 generate-policy=port-strict match-by=certificate mode-config=name2 peer=ike2-peers policy-template-group=ike-s2s remote-certificate=name2.crt_0
add auth-method=digital-signature certificate=server.crt_0 generate-policy=port-strict match-by=certificate mode-config=test peer=ike2-peers policy-template-group=ike2-policies remote-certificate=test.crt_0
add auth-method=digital-signature certificate=server.crt_0 generate-policy=port-strict mode-config=ike2-conf peer=ike2-peers policy-template-group=ike2-policies
/ip ipsec policy
add dst-address=192.168.60.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes
add dst-address=192.168.55.2/32 group=ike-s2s proposal=ike-s2s src-address=192.168.55.1/32 template=yes
Несколько дней бьюсь с проблемой. Настроил на MikroTik (RouterOS 6.46.4) IKEv2 сервер, сгенерировал сертификаты с помощью easy-rsa для сервера и для клиента. Установил сертификаты в Windows 10 (Pro N 1803) согласно раздела 17.2.2 "RouterOS client configuration" (https://wiki.mikrotik.com/wiki/Manual:IP/IPsec ), т.е. установил сертификаты для локального компьютера. Настроил VPN подключение IKEv2 и получил положительный результат. Т.е. клиент коннектится, получает нужный IP-адрес, нужные подсети в таблицу маршрутизации: в общем - все работает. Решил перенести сертификат пользователя на рутокен, для чего импортировал тот самый p12 на рутокен, что устанавливал в ОС. Т.к. сертификаты самоподписанные (easy-rsa) пришлось так же установить CA сертификат в операционную систему. Создал новое подключение в ОС для IKEv2 с использованием смарт-карты. При попытке подключиться ОС обращается к смарт-карте (запрашивает пин-код), но подключение завержается неудачей:
Со стороны Windows 10:
"Неприменимые учетные данные проверки подлинности IKE"
в журнале светится ошибка 13801
Со стороны Mikrotik:
19:39:26 ipsec,error identity not found for peer: ADDR4: 192.168.3.22
На сколько я понимаю ОС отправляет в качестве идентификатора локальный IP-адрес, причем только при использовании настройки IKEv2 со смарт-картой.
Кому удалось настроить IKEv2 сервер на Mikrotik с использованием смарт-карты на Windows 10. Что я делаю не так? Благодарен за любую помощь.
настройки mikrotik в части ipsec:
exp
/ip ipsec mode-config
add address-pool=ike2-pool address-prefix-length=32 name=ike2-conf
add address=192.168.60.33 address-prefix-length=32 name=test split-include=192.168.19.0/24,192.168.21.0/24,172.16.1.0/24 system-dns=no
add address=192.168.55.2 address-prefix-length=32 name=name2 split-include=192.168.55.1/32 system-dns=no
/ip ipsec policy group
add name=ike2-policies
add name=ike-s2s
/ip ipsec profile
add name=ike2
add name=ike2-s2s
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peers passive=yes profile=ike2
/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,3des name=ike2 pfs-group=none
add name=ike-s2s pfs-group=modp4096
/ip ipsec identity
add auth-method=digital-signature certificate=server.crt_0 generate-policy=port-strict match-by=certificate mode-config=name2 peer=ike2-peers policy-template-group=ike-s2s remote-certificate=name2.crt_0
add auth-method=digital-signature certificate=server.crt_0 generate-policy=port-strict match-by=certificate mode-config=test peer=ike2-peers policy-template-group=ike2-policies remote-certificate=test.crt_0
add auth-method=digital-signature certificate=server.crt_0 generate-policy=port-strict mode-config=ike2-conf peer=ike2-peers policy-template-group=ike2-policies
/ip ipsec policy
add dst-address=192.168.60.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes
add dst-address=192.168.55.2/32 group=ike-s2s proposal=ike-s2s src-address=192.168.55.1/32 template=yes