jeremy9678 wrote:新增第個二WAN ,一個WAN對應一種功能.
所以gfx大如果l2tp...(恕刪)
(官網)https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Ikev2_Server_Setup
先說一下我的設定,設定上我也是一知半解還在學,不是正規設定,但夠我出差使用我就很開心了,
正確設定方法,可以請教本版上其他大大。
然後我沒試過在Android,僅用在IOS上是OK,win PC應該也可以用但我在對岸公司網路很特殊沒辦法試。
由於我完全不會寫ROS程式語言,如果有錯請各位自己手動修改一下,我個人建議手動做每一步,原因是我自己有發現在建立證書並按下apply還是ok後,key-usage會跑掉。同時我手動勾選trusted,及修改days valid成10年。一樣是我不會寫正式的語言
.....----------------------------------------------------------------------
中華電信固定IP: 114.32.AA.BB
Local Network: 192.168.88.1
PPP Profile: local address: 192.168.101.1
Remote Address: Pool-vpn
pool-vpn: 192.168.101.2-192.168.101.250
----------------------------------------------------------------------
第一步 建立證書:
/certificate
add common-name=ca name=IKEV2_CA
sign IKEV2_CA ca-crl-host=114.32.AA.BB
add common-name=114.32.AA.BB subject-alt-name=IP:114.32.AA.BB key-usage=tls-server name=IKEV2_Server
sign IKEV2_Server ca=IKEV2_CA
add common-name=IKEV2_Client1 key-usage=tls-client name=IKEV2_Client1
sign IKEV2_Client1 ca=IKEV2_CA
第二步 匯出證書
匯出到電腦(CA上面按export,在/files裡就會看到了Client1 crt& Client1 key),匯出時都會要求設密碼,設個12345678
這兩個檔案等一下會用到,接著請到下面去下載這個檔案安裝 (我是64bit OS,所以請自己選32 or 64)
SSLVPN Win64 OpenSSL v1.1.0e
http://slproweb.com/products/Win32OpenSSL.html
裝完後把剛剛兩個檔案(Client1.crt &Client1.key)以及IKEV2_CA.crt放到C:\OpenSSL-Win64\bin\ca裡面
接著按一下鍵盤左下角的windows鍵,輸入CMD,在CMD.exe上右鍵選"以系統管理員身份執行",輸入cd C:\OpenSSL-Win64\bin (如果32bit自己找一下位置),接著再輸入openssl pkcs12 -export -out cl1.pfx -inkey ca/cert_export_IKEV2_client1.key -in ca/cert_export_IKEV2_client1.crt -certfile ca/cert_export_IKEV2_CA.crt
它會請你輸入密碼,就是剛剛的12345678,包含匯出用的總共三次,我都用一樣的。
做完之後就會在C:\OpenSSL-Win64\bin資料夾裡看到一個叫cl1.pfx的檔案,這個檔案就是我卡很久的步驟(研究了一個多月
)第三步 設定ROS
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=cfg2 system-dns=yes
/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=IKEV2_Server dh-group=modp2048 enc-algorithm=aes-256 exchange-mode=ike2 generate-policy=port-strict hash-algorithm=sha256 mode-config=cfg2 passive=yes
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
(以下要加sha1 給電腦用)
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=none
/ip pool
add name=pool-vpn ranges=192.168.101.2-192.168.101.250
(如果是跟露天某ros賣家買的機器,在firewall裡有預設一些條件,這些會導致連不上,我還在研究背後原因,自己斟酌disable掉)
第四步(ios設定)
將剛剛第二步的cl1.pfx及Ca.crt寄給自己手機能用的信箱 (例如內建的郵件),將兩個檔案都點一下安裝,除了ios本身密碼,如果有問密碼就是剛剛前面設定的12345678,
ios設定
1. 類型l IKEv2
2. 描述: 隨便你寫
3. 伺服器: 114.32.AA.BB
4. 遠端識別碼: 114.32.AA.BB
5. 本機識別碼: 空白(不用寫)
同一個頁面裡的認證
使用者認證選"無"
使用憑證|啟用
憑證: Client1
伺服器&遠端識別碼都是固定ip,認證者認證選"無",再選憑證
以上就可以上網啦~如果有錯或不足的地方再請各位大大補充
ps: 跟L2TP over IPsec可以同時用喔
缺點:
1. 我沒設定針對某user帳號抓流量,在PPP界面看不到,反正我自己用而已
2. 太多人知道就會被對岸牆了>"< 尤其我在的重慶嚴打科學上網了
20170512更新
WIN7如果出現809連線錯誤,網路上改機碼的方法都無效,原因是win無法支援sha256, dh group2048.
(感謝網友terrance.siu之前的提醒)
所以我會建立新的
group: IKEV2-PC
peers: copy上面的把policy template group改成IKEV2-PC, hash: sha1, DH group:modp1024
proposals:建立IKEV2-PC, sha1, 3des/aes128,192,256 cbc
policy: copy上面的,group改成IKEV2-PC, proposal改成IKEV2-PC
內文搜尋
從 APP 打開
X