Использование ipsecikev2 для ОС...Использование ipsecikev2 для...
TRANSCRIPT
![Page 1: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/1.jpg)
Использование Ipsec IKEv2 для подключения клиентских ОС.
MUM Kaliningrad 2019mikrotik-training.ru
![Page 2: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/2.jpg)
Козлов Роман Сергеевич IntegraSky 2018
ОБОМНЕ• КозловРоманСергеевич
• СертифицированныйтренерпоMikroTik
• ТехническийдиректорIntegaSky
• Провожубесплатныеобучающиевебинары поMikroTik
• Более200выполненныхпроектовMikroTik
• Проводиммини-тренинги – mikrotik.team
• Являюсьсоведущим linkmeup_sysadmins
Каналнаyoutubehttps://goo.gl/DSL6VG
Записьнавебинарыhttp://mikrotik-training.ru/webinar/
Каналвтелеграмhttps://t.me/miktrain
Использование Ipsec IKEv2 для подключения клиентских ОС.
![Page 3: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/3.jpg)
Содержание
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
• Какотправитьмаршрутыпользователю
• Схема подключения клиентов
• Варианты подключения клиентов
• Настройки IPSEC xauth
• Настройки IPSEC Ikev2
• Настройки IPSEC IkeV2 eap
![Page 4: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/4.jpg)
• PPTP/L2TP/SSTP – proxy-arp, default gateway, cmak, static route, rip, классовая маршрутизация
• OpenVPN – push route/add route
• IpSec – split network
Как отправить маршруты пользователю
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 5: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/5.jpg)
L2tp/PPTP/SSTP proxy arp
Плюсы• Не нужны административные привилегии для запуска VPN на пользовательской рабочей станции
• Клиент сразу в сети компании
• Простота для начинающих администраторов
Минусы• Только одна сеть для доступа
• Лишние манипуляции с arp
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 6: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/6.jpg)
L2tp/PPTP/SSTP default gateway
Плюсы• Легкая установка• Полный контроль пользовательского трафика
• Мультиплатформенный
Минусы• Двойное потребление трафика на
VPN концентраторе
• Дополнительные задержки при работе с внешними каналами
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 7: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/7.jpg)
L2tp/PPTP/SSTP CmakПлюсы• легкая установка для пользователя
Минусы• Требуются административные привилегии на запуск с добавлением маршрутов или оператора настройки сети
• Нужен Windows server для сборки пакета cmak
• Не нравится вспоминать Макаревича
• В голове часто играет песня »Новый поворот»
• Не подходит для отличных от Windows OS
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 8: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/8.jpg)
L2tp/PPTP/SSTP/OpenVPN/Ipsec static routeПлюсы
• Не нужны административные привилегии для запуска VPN на пользовательской рабочей станции, если изначально прописать постоянные маршруты
• Прозрачно для администратора – что прописал - то и работает
• Работает на различных операционных системах, кроме мобильных
Минусы
• На клиенте необходимо руками прописывать маршруты
• Если используете bat скрипты – их необходимо запускать из под администратора
• Иногда маршруты удаляются
• Не масштабируется
• Нет полноценной поддержки в мобильных операционных системах
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 9: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/9.jpg)
L2tp/PPTP/SSTP ripПлюсы• Не нужны административные привилегии для запуска
VPN на пользовательской рабочей станции• Можно распространять большое количество маршрутов• Изменение маршрутизации на VPN-клиентах на лету• Можно фильтровать маршруты для конкретных клиентов
Минусы• На клиенте необходимо установить роль слушатель RIP• На VPN концентраторе так же требуется поднять rip• Возможно на клиента отправить не нужные маршруты• Не подходит для отличных от Windows OS• Плохо пахнет
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 10: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/10.jpg)
L2tp/PPTP/SSTP/Ovpn/IPseC классовая маршрутизация/VLSM
Плюсы
• Ничего прописывать не нужно на пользовательских ОS
• Не требуются административные привилегии для запуска VPN
Минусы
• Требуется дополнительное планирование адресного пространства в организации
• Нет возможности прокинуть дополнительные маршруты
• Сложно работать с сетями 192.168.x.0/24
• Мобильные устройства под вопросом
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 11: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/11.jpg)
OpenVPNПлюсы
• Мультиплатформенность
• Отличная проходимость
• Сильное шифрование
• Можно распространять в виде преднастроенного клиента или конфигурационных файлов
Минусы
• Запуск из под администратора
• Установка дополнительного ПО
• В mikrotik отсутствует PushRoutes
• В mikrotik отсутствует UDP
• В mikrotik работает на одном ядре
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 12: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/12.jpg)
IpSec split networkПлюсы• Мультиплатформенность• Не требуются административные привилегии на OS
• Поддерживает аппаратное шифрование на RouterOS
• Быстрый
Минусы• Сложно настраивать
• Отсутствует интерфейс в routerOS
• Нет прямой связи с маршрутизацией
• Есть недоработки в пользовательских ОС
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 13: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/13.jpg)
Схема подключения клиентов• Internet Protocol Security (IPsec)- это
наборпротоколов длязащитыобменапакетамичерезнезащищенныесетиIP/IPv6,такиекакИнтернет.
• Ipsec можно использовать как способ подключения клиентских устройств в сеть предприятия
• По сути это туннельный ipsec на пользователя
• Политики генерируются на основе Template
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 14: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/14.jpg)
Ipsec tunnel mode
• Пакет который мы планируем передать попадает под условия ipsec policy и после этого происходит добавление нового IP заголовка.
• В этом режиме IPSEC выступает в режиме переносчика трафика. • Не будут работать протоколы маршрутизации. • Оригинальный заголовок IP теперь также зашифрован.
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 15: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/15.jpg)
Варианты подключения ipsec для разных операционных систем
IPSEC
Windows MacOS/IOS Android
IKEv2EapIKEv2RSA IKEv2EapIKEv2RSA
XAuth (CiscoVPN)
XAuth (CiscoVPN)EAP
XAuth (CiscoVPN)
XAuth (CiscoVPN)EAP
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 16: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/16.jpg)
IPSec Policy Proposals (phase 1)
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 17: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/17.jpg)
IP pool
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 18: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/18.jpg)
IPSec Mode Configs
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 19: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/19.jpg)
IPSec PeerДо6.44 После6.44
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 20: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/20.jpg)
IPSec Users – до 6.44
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 21: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/21.jpg)
После6.44
Режим авторизации pre shared key Xauth (Cisco VPN – в macOS/IOS)
• С версии 6.44 настройка пользователей перенесена в раздел
• /ip ipsec identity
• Для preshared key xauth –необходим режим работы ipsecpeers main
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 22: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/22.jpg)
IPSec PoliciesИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 23: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/23.jpg)
IP firewall filterИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 24: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/24.jpg)
IP firewall filterИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 25: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/25.jpg)
IP firewall filterИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 26: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/26.jpg)
НастройкаIpsec X-auth наIOSИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 27: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/27.jpg)
• Режимы обмена IKEv1 устарели – используется упрощенный обмен, всего 4 сообщения • RFC4555, IKEv2 Mobility and Multihoming Protocol (MOBIKE) -механизм обновления IP-адреса у клиента без полной перегенерации SA
• PSK и RSA-Sig аутентификация Асимметричная аутентификация • Lifetime не нужны
• NAT-T: Поддерживается по умолчанию • RFC3706 DPD: Поддерживается по умолчанию - Dead Peer Detection (более быстрое обнаружение мертвых клиентов)
• RoadWarrior: поддерживается EAP и config payload(CP) • Сопротивление DOS улучшено
• Для режима RSA-signature требуются сертификаты• Встроенная поддержка в Windows*• Встроенная поддержка в IOS**
IKEv2 RFC7296
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 28: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/28.jpg)
IpSec IKeV2 создание CA сертификата
28
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 29: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/29.jpg)
IPSec IKEv2 создание сертификата сервера
Common name –желательно dns имя сервера
Sybject Alt. Name – dns имя сервера
Key usgate – tls server
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 30: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/30.jpg)
IPSec IKEv2Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 31: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/31.jpg)
IPSec IKEv2 создание сертификата клиента
Key Usgate – tls user
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 32: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/32.jpg)
IPSec IKEv2 настройка на WindwosИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 33: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/33.jpg)
• Требуется импортировать сертификаты пользователя в формате p12 в контейнер компьютера – при выгрузке из mikrotik указать пароль
• /certificate
• export-certificate ca
• export-certificate rw-client1 export-passphrase=1234567890
• Также требуется загрузить публичный ключ CA в контейнер компьютера
IPSec IKEv2
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 34: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/34.jpg)
• @setlocal enableextensions
• @cd /d "%~dp0"
• certutil -addstore -f "ROOT" CA.crt
• certutil -p PassWord123 -importpfx cert.p12
• powershell Add-VpnConnection -Name "vpn" -ServerAddress "vpn1.integrasky.ru" -TunnelType ikev2 -EncryptionLevel Required -AuthenticationMethod MachineCertificate -SplitTunneling -PassThru
• Отключиченное расширеннуюпроверкусертификатов,добавьтепараметртипаDWORDподименем"DisableIKENameEkuCheck"вследующийпутьреестраVPN-клиента.
• reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters" /v DisableIKENameEkuCheck /t REG_DWORD /d 1
• copy vpn.lnk "C:\Users\Default\Desktop\"
BAT для настройки в Windows
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 35: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/35.jpg)
DHCP INFORM запрос от клиентаprerouting:in:ether1,proto UDP,10.253.2.10:68->255.255.255.255:67,len 328output: out:ether1,proto UDP,1.1.1.1:67->10.253.2.10:68,len 328
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 36: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/36.jpg)
Маршруты у клиентаИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 37: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/37.jpg)
Маршруты у клиента macOSИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 38: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/38.jpg)
IPSec IKEv2Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 39: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/39.jpg)
• Но это не работает
• В логах ipsec вы увидите
• No eap configured
• Сейчас по умолчанию устройства от Apple требуют EAP авторизацию(RADIUS)
• Вариант обхода – apple configurator 2 – работает только на MacOS
• Или ручное создание .mobileconfig
IPSec IKEv2
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 40: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/40.jpg)
IPSec IKEv2
• Указываемidentityсервера(FQDN) иклиента(commonname)
• Добавляемсертификатывконфигурацию
• Указываемвнастройкахсертификатыклиента
• ТакжезаполняемполяServercertificateCommonname–имясертификата сервера
![Page 41: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/41.jpg)
IPSec IKEv2 + EAP
• Mikrotik User-Manager не поддерживает EAP method
• Используем Windows Server NPS
• FreeRadius
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 42: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/42.jpg)
IPSec IKEv2 + EAP
Метод- eap radius
Указываемсертификатсервера
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 43: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/43.jpg)
Windows Server NPSИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 44: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/44.jpg)
Windows Server NPSРеализуем проактивную систему IPS/IDS защиты на Mikrotik + Suricata
Курсы по Mikrotik с гарантией результата
![Page 45: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/45.jpg)
Windows Server NPSИспользование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 46: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/46.jpg)
Windows Client
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 47: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/47.jpg)
• Но это не работает
• Вариант обхода – apple configurator 2 –работает только на MacOS
• Или ручное создание .mobileconfig
IPSec IKEv2 IOS/MacOS
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 48: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/48.jpg)
MacOS/IOS
• Добавляем сертификат в конфигурацию
• Указываем identity сервера(FQDN)и клиента(common name)
• Так же заполняем поля Server certificate Common name – имя сертификата сервера
Использование Ipsec IKEv2 для подключения клиентских ОС.
Курсы по Mikrotik с гарантией результата
![Page 49: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/49.jpg)
Презентацияhttp://bit.ly/2HTuXn9
![Page 50: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/50.jpg)
![Page 51: Использование IpsecIKEv2 для ОС...Использование IpsecIKEv2 для подключения клиентских ОС. MUMKaliningrad 2019 mikrotik-training.ru](https://reader030.vdocuments.mx/reader030/viewer/2022040415/5f293e713d472616fd30e5fa/html5/thumbnails/51.jpg)
СПАСИБОЗА ВНИМАНИЕ
http://bit.ly/2HTuXn9
Приходите на наши курсы поMikrotik и Asterisk