Спасибо за мануал! Пару поправок: публичное имя - не надо, серт от Let's Encrypt- не надо, достаточно созданного в CA самого микротика на Common Name = белый IP к которому выполняется подключение. Делал по другой инструкции подключение ни в какую не работало, в логе вылезала "radius timeout", пока по Вашей инструкции не поставил галку: /user-manager set enabled=yes.
Видео отличное! Спасибо! У меня ipsec падает, и рандомно загружает одно ядро на 100% до перезагрузки роутера. Хотя, пару раз сначала подключился успешно. Видимо, Default испортил, и придется восстанавливать.
Тут нужно смотреть что за модель роутера, есть ли Hardware Offload для IPSec. Если есть, я бы рекомендовал обновить прошивку, либо задаунгрейдить её, не люблю RoS 7 за то, что в ней пока нет ветки Long-term, а в стейбле встречаются баги. У меня вся инфраструктура на микротах с RoS 6 именно по этой причине, но там нет многих полезных фич. Так и живём)
А вместо LE возможно использовать встроеный выпущеный сертификат микротика? Или понадобиться устанавливать вручную сертификат у каждого клиента отдельно в этом случае?
прошел все шаги, но при попытке подключения выдает ошибку Неприемлемые учетные данные проверки IKE. В микротике видно соединение в ActivePeears которое пропадает через 20 секунд. Куда копать?
Рекомендую зайти в наш ТГ чатик, там подобные проблемы уже разбирали. Ну и решать проблемы там оперативнее. Но я бы внимательно перепроверил все галки на типах шифрования и цепочку сертификатов. В любом случае, логами можно в чате поделиться, совместно найдём проблему.
Приветствую! Видео недавнее, однако на сайте с сертификатами, среди промежуточных нет R3, есть только E5, E6, R10, R11 - какой следует взять вместо R3?
Приветствую, да, есть такое, совсем забыл, при записи, о ротации сертификатов у LE. На странице letsencrypt.org/certificates/ наверху всегда есть актуальная картинка сертификатов. По состоянию на сейчас актуальная цепочка: X1 -> R10/R11. Я бы брал R10.
Вероятно из-за того, что я взял сертификат R10 вместо R3, при попытке подключения я получаю ошибку "Неприемлемые учетные данные проверки подлинности IKEv2"
Считаю не правильным плодить сущности) Шедулер - шедулер, скрипт - скрипт)) По поводу LE в корп. сегменте - вопрос холиварный) Если у тебя небольшая компания на 10 человек, то покупать серты - дорого) Городить CA в локалке - ещё дороже) В любом случае, я показал простой инструмент, а как им пользоваться решает каждый сам)
В видео показан процесс настройки при условии, что у вас куплено доменное имя и есть доступ к управлению DNS-зоной, где вы должны сделать A-запись с именем, указывающим на публичный белый IP вашего роутера.
Добрый день. Помогите, пожалуйста, в чем может быть ошибка? Все сделал по инструкции, но при подключении с телефона через Strongswan в логах Jul 11 22:09:56 15[IKE] received end entity cert "CN=chr.3333.ru" Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R10" Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Internet Security Research Group, CN=ISRG Root X1" Jul 11 22:09:56 15[CFG] using certificate "CN=chr.3333.ru" Jul 11 22:09:56 15[CFG] no issuer certificate found for "CN=chr.3333.ru" Jul 11 22:09:56 15[CFG] issuer is "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Counterfeit Cashew R10" Jul 11 22:09:56 15[IKE] no trusted RSA public key found for 'CN=chr.3333.ru' Jul 11 22:09:56 15[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ] не могу понять, в чем ошибка. Пробовал устанавливать сертификаты корневого и R10 сервера на телефон, не помогает. И вообще изначально хотелось избежать возни с сертификатами.
Чтобы не было возни с сертификатами, в инструкции мы и устанавливаем х1 и r3 на роутер и пушим клиенту. Кстати, а почему у вас R10?!) Рекомендую перепроверить. Если не поможет, то в комментариях разбирать проблему не удобно, продублируйте вопрос в чат в телеграм, пожалуйста. Там и разберёмся и другие, если что, почитают решение)
@@it-expert-spb Сертификаты х1 и r10 установлены на Mikrotik и оба Trusted. А R10 потому что у Let's Encrypt есть ротация серверов. Сейчас выдаются сертификаты именно R10 и R11. В общем переустановил chr, настроил все с нуля и подключаться стал. Теперь надо донастроить, чтобы сам VPN заработал. Пока что-то не получается.
@@MrSezius век живи - век учись!) Никогда не обращал внимание, что ротация сертификатов LE происходит не по сроку действия. Ну, раз переустановка и настройка с нуля помогла, значит, где-то ошибка в конфиге, всё же, была. С настройкой рекомендация та же, если нужна помощь, вэлкам в чат в ТГ)
@@it-expert-spb а что за чат в ТГ? Ссылки не нашел. Клиент IP адрес получает, но не пойму, на какой интерфейс в самом Микротике повесить адрес из этой же подсети для теста и как настроить NAT. Вернее я пробовал вешать IP на lo интерфейс + пробовал стандартный NAT masquarade, но ни Микротик не пингуется, ни дальше в сеть не выходит.
Привет! огромное спасибо за видео! но я вот не могу догнать, если у меня куплет multi-domain ssl у меня есть .crt .key я могу это так же настроить, его обновлять надо раз в год. Как это сделать? буду безумно благодарен за помощь.
Привет еще раз! У меня не заработало с LetsEncrypt, но заработало с моими сертификатими и только на windows, на Android к сожалению AUTH FAILED, но вопрос в другом, я делал IKEv2 и по PSK и так же сталкивался с одной и той же проблемой, я подключаюсь к к своему рутеру и получаю IP, но я не получаю Gateway и маску подсети, Вы случайно не знаете как это можно исправить? Я сделал всё как на вашем видео, только использовал свои сертификаты.
Если не завелось на андроиде, значит где-то какую-то опцию упустили. Перепроверьте всё ещё раз, т.к. у многих всё получилось и работает как надо. Шлюз на винде может не прилетать, если в свойствах VPN соединения снята галка "Использовать шлюз в удалённой сети", в противном случае, весь трафик по-умолчанию заворачивается в VPN интерфейс.
Надо перепроверить все галки в Proposals и Profiles. Андроиды менее капризные к типам шифрования, нежели винда. Даже 1 не там поставленная галка может привести к ошибкам подключения.
Добрый! Всё получилось по вашей инструкции. Подключаюсь без проблем с win10, win11 и ios, а вот с win7 никак не могу. На микротике: no proposal chosen, на win7: 13868 Ошибка сопоставления групповой политики
Приятно слышать!) К сожалению, windows 7 перестала поддерживаться с 14 января 2020 года. В ней нет поддержки необходимых типов шифрования. Если пробовать понижать уровень шифрования со стороны Mikrotik, то тогда перестанут подключаться ios)
Рекомендую перепроверить все ли галки выставлены верно. Данный конфиг был проверен на Windows, Mac OS, iPhone и Android (StrongSwan). Если по-прежнему возникают проблемы, можете написать в наш ТГ чатик, там более детально разберёмся.
Да, есть такое, рядом стоит стойка, шумит. Если чуть докрутить шумодав, начну терять голос))) За 3 года пока не записывал видео, много что поменялось. К следующему видео поправлю)
У кого выдает ошибку got fatal error: AUTHENTICATION_FAILED нужно сначала импортировать в микротик сертификаты r10.pem_0 и isrgrootx1.pem_0 и потом генерировать сертификат для роутрера (/certificate/enable-ssl-certificate dns-name=****) после этого в identities выставляем сгенерированный сертификат-r10.pem_0-isrgrootx1.pem_0
Ссылка на статью: 1spla.ru/blog/ikev2-eap-mikrotik/
Скрипт:
#Указываем в кавычках публичное имя вашего роутера
:global commName "публичное-имя-вашего-роутера"
#Указываем имя peer которое вы создали в разделе IP->IPSec, вкладка peers
:global peerName "IKEv2-peer"
ip service/enable www
certificate/enable-ssl-certificate dns-name=$commName
:delay 180s;
:global certName [certificate/get [find where common-name=$commName] name]
:global R3 [certificate/get [find where common-name=R3] name]
:global X1 [certificate/get [find where common-name="ISRG Root X1"] name]
ip/ipsec/identity/set [find where peer=$peerName] certificate="$certName,$R3,$X1"
ip service/disable www
:set commName
:set peerName
:set certName
:set R3
:set X1
Привет, дорогой друг!
Спасибо за мануал!
Пару поправок: публичное имя - не надо, серт от Let's Encrypt- не надо, достаточно созданного в CA самого микротика на Common Name = белый IP к которому выполняется подключение.
Делал по другой инструкции подключение ни в какую не работало, в логе вылезала "radius timeout", пока по Вашей инструкции не поставил галку: /user-manager set enabled=yes.
Без публичного имени и LE не цеплялись топовые самсунги. Добавлял их т.к. задача требовала подключать и таких клиентов.
Видео отличное!
Спасибо!
У меня ipsec падает, и рандомно загружает одно ядро на 100% до перезагрузки роутера. Хотя, пару раз сначала подключился успешно. Видимо, Default испортил, и придется восстанавливать.
Тут нужно смотреть что за модель роутера, есть ли Hardware Offload для IPSec. Если есть, я бы рекомендовал обновить прошивку, либо задаунгрейдить её, не люблю RoS 7 за то, что в ней пока нет ветки Long-term, а в стейбле встречаются баги. У меня вся инфраструктура на микротах с RoS 6 именно по этой причине, но там нет многих полезных фич. Так и живём)
@@it-expert-spb Оказалось, что identiies в Safe mode заполнял. Оно и слетело через пол дня. Т.е. некорректная настройка зависла роутер.
А вместо LE возможно использовать встроеный выпущеный сертификат микротика? Или понадобиться устанавливать вручную сертификат у каждого клиента отдельно в этом случае?
Возможно, но нужно будет CA сертификат на каждое клиентское устройство ставить.
@@it-expert-spb пизд........
@@it-expert-spb Уж лучше так, нежели каждые три месяцы перевыпускать LE
upd: Подключился с клиента без установленного сертификата CA
прошел все шаги, но при попытке подключения выдает ошибку Неприемлемые учетные данные проверки IKE. В микротике видно соединение в ActivePeears которое пропадает через 20 секунд. Куда копать?
Рекомендую зайти в наш ТГ чатик, там подобные проблемы уже разбирали. Ну и решать проблемы там оперативнее. Но я бы внимательно перепроверил все галки на типах шифрования и цепочку сертификатов. В любом случае, логами можно в чате поделиться, совместно найдём проблему.
Приветствую! Видео недавнее, однако на сайте с сертификатами, среди промежуточных нет R3, есть только E5, E6, R10, R11 - какой следует взять вместо R3?
Приветствую, да, есть такое, совсем забыл, при записи, о ротации сертификатов у LE. На странице letsencrypt.org/certificates/ наверху всегда есть актуальная картинка сертификатов. По состоянию на сейчас актуальная цепочка: X1 -> R10/R11. Я бы брал R10.
Вероятно из-за того, что я взял сертификат R10 вместо R3, при попытке подключения я получаю ошибку "Неприемлемые учетные данные проверки подлинности IKEv2"
Выполнение скрипта так же не помогло решить проблему к сожалению. ipsec error: got fatal error: AUTHENTICATION_FAILED
@@RenamonMaxie У меня так-же что-только не пробовал ....
@@RenamonMaxie и как решил проблему с авторизацией?
как у вас это может работать в целом на android, если встроенный в android клиент не умеет ikev2-eap, а может только через psk???
Ну, если внимательно посмотреть видео, то на андроид ставится клиент strongswan)
ike authentication credentials are unacceptable (windows 10-client end) nothing works, as everything was followed step by step.
Все круто ) в шедулер можно просто указать script1 но я бы не использовал LE для корп. сегмента.
Считаю не правильным плодить сущности) Шедулер - шедулер, скрипт - скрипт)) По поводу LE в корп. сегменте - вопрос холиварный) Если у тебя небольшая компания на 10 человек, то покупать серты - дорого) Городить CA в локалке - ещё дороже) В любом случае, я показал простой инструмент, а как им пользоваться решает каждый сам)
Подскажите как настроить или получить "публичное-имя-вашего-роутера" для chr ? ip-cloud недоступно в бесплатной версии.
В видео показан процесс настройки при условии, что у вас куплено доменное имя и есть доступ к управлению DNS-зоной, где вы должны сделать A-запись с именем, указывающим на публичный белый IP вашего роутера.
Добрый день.
Помогите, пожалуйста, в чем может быть ошибка?
Все сделал по инструкции, но при подключении с телефона через Strongswan в логах
Jul 11 22:09:56 15[IKE] received end entity cert "CN=chr.3333.ru"
Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R10"
Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
Jul 11 22:09:56 15[CFG] using certificate "CN=chr.3333.ru"
Jul 11 22:09:56 15[CFG] no issuer certificate found for "CN=chr.3333.ru"
Jul 11 22:09:56 15[CFG] issuer is "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Counterfeit Cashew R10"
Jul 11 22:09:56 15[IKE] no trusted RSA public key found for 'CN=chr.3333.ru'
Jul 11 22:09:56 15[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
не могу понять, в чем ошибка. Пробовал устанавливать сертификаты корневого и R10 сервера на телефон, не помогает. И вообще изначально хотелось избежать возни с сертификатами.
Чтобы не было возни с сертификатами, в инструкции мы и устанавливаем х1 и r3 на роутер и пушим клиенту.
Кстати, а почему у вас R10?!) Рекомендую перепроверить. Если не поможет, то в комментариях разбирать проблему не удобно, продублируйте вопрос в чат в телеграм, пожалуйста. Там и разберёмся и другие, если что, почитают решение)
@@it-expert-spb Сертификаты х1 и r10 установлены на Mikrotik и оба Trusted. А R10 потому что у Let's Encrypt есть ротация серверов. Сейчас выдаются сертификаты именно R10 и R11.
В общем переустановил chr, настроил все с нуля и подключаться стал. Теперь надо донастроить, чтобы сам VPN заработал. Пока что-то не получается.
@@MrSezius век живи - век учись!) Никогда не обращал внимание, что ротация сертификатов LE происходит не по сроку действия. Ну, раз переустановка и настройка с нуля помогла, значит, где-то ошибка в конфиге, всё же, была. С настройкой рекомендация та же, если нужна помощь, вэлкам в чат в ТГ)
@@it-expert-spb а что за чат в ТГ? Ссылки не нашел. Клиент IP адрес получает, но не пойму, на какой интерфейс в самом Микротике повесить адрес из этой же подсети для теста и как настроить NAT. Вернее я пробовал вешать IP на lo интерфейс + пробовал стандартный NAT masquarade, но ни Микротик не пингуется, ни дальше в сеть не выходит.
@@MrSezius t.me/itexpertspbru
Привет! огромное спасибо за видео! но я вот не могу догнать, если у меня куплет multi-domain ssl у меня есть .crt .key я могу это так же настроить, его обновлять надо раз в год. Как это сделать? буду безумно благодарен за помощь.
Да, всё делается аналогично. Просто импортятся все имеющиеся сертификаты, включая рута.
Привет еще раз! У меня не заработало с LetsEncrypt, но заработало с моими сертификатими и только на windows, на Android к сожалению AUTH FAILED, но вопрос в другом, я делал IKEv2 и по PSK и так же сталкивался с одной и той же проблемой, я подключаюсь к к своему рутеру и получаю IP, но я не получаю Gateway и маску подсети, Вы случайно не знаете как это можно исправить? Я сделал всё как на вашем видео, только использовал свои сертификаты.
Если не завелось на андроиде, значит где-то какую-то опцию упустили. Перепроверьте всё ещё раз, т.к. у многих всё получилось и работает как надо. Шлюз на винде может не прилетать, если в свойствах VPN соединения снята галка "Использовать шлюз в удалённой сети", в противном случае, весь трафик по-умолчанию заворачивается в VPN интерфейс.
При подключении с винды, пишет "неприемлемые учетные данные проверки подлинности ike" , хотя с андроида всё ок
Надо перепроверить все галки в Proposals и Profiles. Андроиды менее капризные к типам шифрования, нежели винда. Даже 1 не там поставленная галка может привести к ошибкам подключения.
Добрый! Всё получилось по вашей инструкции. Подключаюсь без проблем с win10, win11 и ios, а вот с win7 никак не могу. На микротике: no proposal chosen, на win7: 13868 Ошибка сопоставления групповой политики
Приятно слышать!) К сожалению, windows 7 перестала поддерживаться с 14 января 2020 года. В ней нет поддержки необходимых типов шифрования. Если пробовать понижать уровень шифрования со стороны Mikrotik, то тогда перестанут подключаться ios)
это капец , столько гемора ))) Раньше с l2tp делал всё за 20 минут , сейчас надо два дня )))
Современные проблемы требуют современных решений!xD
С Mac OS не работает. Даже не подключается
Рекомендую перепроверить все ли галки выставлены верно. Данный конфиг был проверен на Windows, Mac OS, iPhone и Android (StrongSwan). Если по-прежнему возникают проблемы, можете написать в наш ТГ чатик, там более детально разберёмся.
Не мог понять, почему у меня скрипт не отрабатывает.... Всё дело в кавычках! Автор, поправь, а то люди мучаются)
В комментарии поправил) Спасибо)
Шумодава чуть-чуть не хватает 😞
Да, есть такое, рядом стоит стойка, шумит. Если чуть докрутить шумодав, начну терять голос))) За 3 года пока не записывал видео, много что поменялось. К следующему видео поправлю)
Офис теперь в серверной? 😄 Хотя-бы будет тихо во время пауз
Инфраструктура выросла почти в 3 раза и появился здоровенный тестовый стенд в размере целой стойки прямо в офисе)
Не бережете Вы себя и свои уши 😃
че то сильно дохрена
Ну чтож поделать?! Такие времена... Безопасность требует настройки.
У кого выдает ошибку got fatal error: AUTHENTICATION_FAILED нужно сначала импортировать в микротик сертификаты r10.pem_0 и isrgrootx1.pem_0 и потом генерировать сертификат для роутрера (/certificate/enable-ssl-certificate dns-name=****) после этого в identities выставляем сгенерированный сертификат-r10.pem_0-isrgrootx1.pem_0
так а чем разница? из-за чего так?
@wizik_channel думаю какие то зависимости есть, при генерации нового сертификата.