iphone не подключается к mikrotik vpn

Обновлено: 04.06.2023

Пт, 22 марта 2019 г., 14:41

Это правда, я пытаюсь настроить IKEv2, чтобы в первую очередь использовать приложение MT и, конечно же, расширить свои знания о настройке RouterOS.
Мне удалось создать необходимые сертификаты на МТ и перенести их на свой Iphone (спасибо python).
Я полагаю, что успешно настроил часть IPSEC, но теперь я несколько колеблюсь, продвигаясь вперед.
В частности, я теряюсь в настройке правил брандмауэра. Я нигде не мог найти четкого руководства, по крайней мере, что я понял.
Я знаю, что IKEv2 использует UDP-порт 500 для фазы 1, и это, вероятно, все, что мне нужно для переадресации портов.
Но куда?? Мой созданный пул подсетей для ipsec: 192.168.44.0/24
/add firewall nat
add action=dstnat chain=dst-nat in-interface-list=WAN dst-port=500 protocol=udp to адрес = .

Я также думаю, что мне придется создать прямое правило брандмауэра из vpn-пула в подсеть, к которой я хочу получить доступ через vpn-туннель
/add firewall filter
add action =accept chain=forward in-interface=vpnsubnet out-interface=home-vlan11 (log=yes)

Читая учебные пособия, вики, просматривая видео, я понимаю, что мне ТАКЖЕ придется создавать правила исходного nat и управлять трафиком, но если это будет так сложно и сложно.
Потенциально возможны три сценария.
(1) Основная цель: иметь возможность использовать приложение IOS для получения доступа к winbox.
(2) Второстепенная цель: иметь доступ к общим ресурсам локальной сети (или даже печатать на домашнем принтере)
(3) Третичная цель: иметь возможность выходить в Интернет, используя маршрутизатор в качестве брандмауэра.

Я считаю, что все три сценария можно свести к простому доступу к домашней сети (мой домашний vlan11).
Таким образом, я думаю, что мне нужна помощь, чтобы завершить настройку.

Сокращено для ясности. Пожалуйста, посмотрите, не пропустил ли я какие-либо элементы типа ipsec.
Например, не уверен, но я думаю, что видел что-то, что указывало на то, что правила цепочки переадресации политики ipsec по умолчанию должны быть ДО fastrack??

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

Поддержка MikroTik

Пт, 22 марта 2019 г., 14:49

Нет необходимости использовать NAT на стороне сервера. Принимать UDP/500 и UDP/4500 во входной цепочке. Этого должно быть достаточно, чтобы установить туннель. Затем вы должны принять трафик между подсетью VPN и вашей локальной подсетью в цепочке пересылки.

Пт, 22 марта 2019 г., 14:54

Спасибо, Эмильс, ты ученый и джентльмен, и нас осталось чертовски мало.
Я предполагаю, что вы имеете в виду ввод с интерфейса WAN, а не с интерфейса LAN??

Поддержка MikroTik

Пт, 22 марта 2019 г., 15:06

В основном клиент RW (iOS) имеет безопасный сеанс между собой и сервером RW (RouterOS) через UDP/4500 (входная цепочка на маршрутизаторе). Затем трафик расшифровывается и перехватывается цепочкой пересылки, и становятся видны фактические адреса src и dst. Возможно, диаграмма потока пакетов объяснит это лучше.

Пт, 22 марта 2019 г., 15:12

Спасибо.
Пока все хорошо.
Я ввел правило цепочки ввода и БИНГО, соединение установилось очень быстро и удерживалось некоторое время.
Я ввел правило цепочки переадресации
add chain=forward action=accept source address=192.168.44.0/24 out-interface=home-lan-vlan11

Затем я зашел в браузер Safari, НО не смог открыть какие-либо устройства в локальной сети?
Я пытался использовать приложение MT APP, но вскоре заметил, что мой IKE "убит"

Что-то я упустил?
Порядок/размещение правил?

Я могу подтвердить, что не могу выйти в Интернет с моего подключенного iphone или получить доступ к маршрутизатору через приложение MT. (Хотя у меня все еще хорошая связь)

Пт, 22 марта 2019 г., 23:05

Успех, теперь есть доступ в Интернет через VPN-туннель от данных сотовой связи iphone к маршрутизатору и брандмауэру
Успех, теперь есть доступ к компонентам локальной сети, таким как мои коммутаторы 260GS
Успех, теперь есть доступ к маршрутизатору через WINBOX .

Почему мне нужно знать. Почему мне пришлось поместить правило входной цепочки и правила прямой цепочки, чтобы разрешить доступ ПЕРЕД установленными связанными правилами в каждой цепочке? ?

23 марта 2019 г., 00:12

Вам нужны правила ввода для udp 500 и 4500, потому что IPSec использует их для создания туннеля. Это похоже на, например.OpenVPN, где вам нужно будет разрешить доступ к tcp 1194 (или другому порту, отличному от используемого по умолчанию).

Вам необходимо правило (правила) переадресации (но не до того, как они будут установлены и связаны, это может быть после), потому что трафик из IPSec выглядит так, как будто он поступает из глобальной сети, и вы, скорее всего, заблокируете его. Вместо исходного адреса вы можете отличить интернет-трафик от туннелированного трафика, используя сопоставление политик ipsec.

Чрезмерное цитирование бесполезно и раздражает. Если вы используете его, подумайте, сможете ли вы обойтись без него.

Сб, 23 марта 2019 г., 1:07

Как мне сохранить или РАЗРЕШИТЬ доступ моей «поддельной» подсети vpn к маршрутизатору (для моего приложения MT) и к моим локальным сетям, но исключить внешние адреса того же рода.
Прямо сейчас я должен был бы предположить, что любой сможет получить доступ к моему маршрутизатору или моей локальной сети, если они обратятся к моему WANIP с исходным адресом, таким же, как у моей поддельной подсети VPN ??

(Я пробовал использовать source-mac-address, source-type-local, блокировать подсеть vpn, но с in-interface=WAN, но ничего не работает, чтобы разрешить желаемый трафик и заблокировать нежелательный трафик) ??

23 марта 2019 г., 3:53

Сб, 23 марта 2019 г., 4:58

Хммм, мне кажется, было разумно отключить предыдущие правила.

Единственное правило, о котором мне не нужно беспокоиться, — это входящий зашифрованный трафик с iPhone через Интернет.
добавить action=accept chain=input comment="VPN To Router" \
connection-state=new disabled=no protocol=udp \
dst-ports=500,4500 in-interface- список=глобальная сеть

Для правила ввода после подключения vpn (из подсети fakevpn) к маршрутизатору для целей winbox трафик больше не будет или будет подвергаться шифрованию, поэтому я понимаю, что вы имели в виду.
(обратный трафик также не требует шифрования)
add action=accept chain=input comment="Разрешить Mobile_ADMIN для маршрутизатора" \
connection-state=new disabled=yes ipsec-policy =in,none \
src-address-list=Mobile-vpn\

Из-за части правила, касающейся политики ipsec, это означает, что внешний пользователь, указав правильный IP-адрес, НЕ получит доступ к маршрутизатору.

Та же логика применима и к FORWARD RULE. .
add action=accept chain=forward comment="Разрешить Mobile_ADMIN в локальной сети" \
connection-state=new disabled=yes ipsec-policy=in,none \
out-interface-list =LAN src-address-list=Mobile-vpn\

Наконец, для исходящего WAN-трафика подсети vpn, другими словами, используя маршрутизатор для Интернета и брандмауэр для iphone . (мы распознаем, что пакеты, идущие из подсети fakevpn из маршрутизатора, являются частью политики, созданной ipsec.
add action=accept chain=forward comment="Mobile_using Firewall for WWW" \
connection-state=new disabled=yes ipsec-policy=in,none \
out-interface-list=WAN src-address-list=Mobile-vpn \

Подводя итог, я должен использовать политику ipsec в связанных правилах для потока трафика из фальшивой подсети vpn.
Поскольку этот трафик не будет шифроваться, он получает настройку NONE. Направление политики, которую мы используем, — IN.
Поскольку политика ipsec включена в правило, пакеты проверяются маршрутизатором, чтобы убедиться, что они действительно являются частью расшифрованного трафика.
Таким образом, любой внешний трафик, использующий тот же IP-адрес поддельного VPN, будет отбрасываться как недействительный или не соответствующий необходимым критериям.

Сб, 23 марта 2019 г., 5:25

Наоборот, вы хотите, чтобы ipsec-policy=in,ipsec соответствовал трафику из туннеля. Это трафик, который изначально был зашифрован, но теперь был расшифрован маршрутизатором и снова входит в брандмауэр (в первый раз это были либо пакеты esp, либо пакеты udp/4500, оба зашифрованные; они будут соответствовать ipsec-policy=in,none) . И вам не нужно сильно беспокоиться об исходном адресе этих пакетов, потому что никто не может подсунуть их неожиданно. Они могут отправлять пакеты с тем же источником, что и ваша подсеть vpn, но они не могут шифровать и передавать их как законный трафик ipsec, потому что они не знают ваш ключ или секрет ipsec. Для исходящих пакетов в вашу подсеть vpn вы снова хотите разрешить те, которые соответствуют ipsec-policy=out,ipsec. Те, которые этого не сделают, будут утечками, которые могут произойти, когда туннель не работает. Не то чтобы они далеко ушли, но лучше их заблокировать.

23 марта 2019 г., 15:39

Понял, поэтому соответствие ipsec-policy=ipsec следует интерпретировать как соответствие любому трафику, требующему шифрования, который адресован моему трафику от iphone.
(Сначала я прочитал чрезвычайно скудное объяснение параметров документа, означающее, что, поскольку трафик уже расшифрован, он больше не нуждается в шифровании или будет зашифрован, и, таким образом, 'none' было уместно )

Таким образом, шаг 1.
добавить action=accept chain=input comment="Разрешить Mobile_ADMIN для маршрутизатора" \
connection-state=new disabled=yes ipsec-policy=in,ipsec \
src-address-list=Mobile-vpn

Кроме того, вы заявляете, что нет необходимости указывать исходный адрес из-за того, что маршрутизатор знает о расшифрованном трафике ispsec и отслеживает его?
Таким образом, шаг 2
добавить action=accept chain=input comment="Разрешить Mobile_ADMIN для маршрутизатора" \
connection-state=new disabled=yes ipsec-policy=in,ipsec \

add action=accept chain=forward comment="Разрешить Mobile_ADMIN в локальной сети" \
connection-state=new disabled=yes ipsec-policy=in,ipsec \
out-interface-list=
LAN
Примечание: Предположим, мне все еще нужно определить, куда этот трафик также должен перенаправляться?
(например, если бы я хотел, чтобы мой трафик vpnfakesubnet перенаправлялся только на определенный интерфейс vlan, я бы указал это в этом правиле??)

Наконец, ваш последний комментарий немного сбил с толку

Для исходящих пакетов в вашу подсеть vpn вы снова хотите разрешить те, которые соответствуют ipsec-policy=out,ipsec. Те, которые этого не сделают, будут утечками, которые могут произойти, когда туннель не работает. Не то чтобы они далеко ушли, но лучше их заблокировать

Я не понимаю, что вы имеете в виду? Мой мобильный администратор в WWW (через маршрутизатор и его брандмауэр) исходящие пакеты идут в интернет, а не в подсеть vpnfake?
Ответные пакеты из WWW будут возвращаться через маршрутизатор (а не через туннель vpn) и обратно на адрес vpnfakesubnet (обычный исходный трафик nat), и этот обратный трафик будет затем направляться из подсети fakevpn обратно в туннель, направляющийся в мой айфон.

Кажется, вы предлагаете эту конфигурацию.
add action=accept chain=forward comment="Mobile_using Firewall for WWW" \
connection-state=new disabled=yes ipsec-policy=out,ipsec\
out-interface-list= WAN
Примечание. Если предположить, что мне все еще нужно указать, куда этот трафик также должен перенаправляться?

К сожалению, я не понимаю эту конфигурацию или объяснения. Есть ли другой источник материала для чтения, чтобы объяснить это?? Я прочитал бит брандмауэра и бит ipsec, и нигде это не объясняется.
Кроме нормиса в треде, говорящего, что правила по умолчанию действуют, потому что люди не понимают, как настроить правила фильтрации для ipsec. ДАТ ИСТИНА.

Обновить . С предложенными новыми правилами (переход на ipsec и удаление исходного списка адресов) статус выглядит следующим образом:
a. vpnsubnet в локальную сеть работает!!
б. vpnsubnet к маршрутизатору (через приложение winbox) работает!!
в. vpnsubnet в WWW не работает!

Вт, 19 февраля 2013 г., 14:32

Привет, у меня проблема с подключением iPhone к mikrotik vpn.
Во-первых, я не знаю, какой у меня vpn - l2tp или pptp.
Я подключаю Windows без проблем, но не знаю, какие варианты использовать для iPhone.
Во-вторых, с l2tp vpn в iPhone он запрашивает секрет. Что такое секрет?

20 февраля 2013 г., 17:54

Посмотрите на "интерфейсы", чтобы узнать, какой тип vpn вы используете
Вопрос 2
Это пароль, который вы настроили на маршрутизаторе с помощью l2tp

Чт, 21 февраля 2013 г., 8:45

Хорошо, спасибо, но я не понял некоторых моментов, не могли бы вы объяснить мне подробнее: что вы подразумеваете под паролем, введенным при настройке vpn?
Вы имеете в виду пароль пользователя, который будет запрашиваться iPhone ранее с именем пользователя? Я думаю, что это отдельно.
Я сам не настраивал vpn, так как я могу получить секрет LT2P через панель управления mikrotik?
А почему винда не просит?
Заранее спасибо

Чт, 21 февраля 2013 г., 9:08

Сначала проверьте, какой интерфейс установлен
дайте мне знать или возьмите принтскрин
Перейдите в "интерфейсы" и посмотрите (см. принтскрин, который я сделал)

Пт, 22 февраля 2013 г., 20:55

Настройка Mikrotik для IPhone требует L2TP с IPsec
Мне удалось заставить мой Iphone 4 работать с L2TP и IPsec после долгих исследований и работы

В настройках VPN для iPhone вы можете выбрать L2TP PPTP или IPsec

IPSec предназначен для CISCO
PPTP с 2012 года больше не нужен, так как компания, которую я не помню, хвастается, что может взломать ее за 4 часа без проблем. Используйте L2TP на своем Микортике с IPSec

Если вам нужна помощь с настройкой, отправьте ответ, а я расскажу, как у меня это получилось, из моего БЛОГА или найдите веб-сайт Грега Соуэллса и посмотрите в его блоге Mikrotik VPN, у него есть видео о том, как его настроить

Сб, 23 февраля 2013 г., 10:21

В настройках VPN для iPhone вы можете выбрать L2TP PPTP или IPsec

Я также ищу способ настроить VPN-сервер L2TP/IPSec на маршрутизаторе MikroTik для использования с IPhone/Ipad.

Спасибо за помощь.
Денис

Сб, 23 февраля 2013 г., 12:37

Извините, я не на своей станции
Google Консультирует Грег Соуэлл, и в своем видео-тренинге по микротику он показывает, как настроить l2tp с IPSec
Чтобы заставить его работать с iPhone, убедитесь, что предложение IPSec я верю имеет AES 256, а также 3des
Выложу свой блог, если он вам все еще нужен

23 февраля 2013 г., 17:08

Спасибо всем. Извините за задержку. У меня не было доступа к роутеру, но завтра я, вероятно, получу к нему доступ. Поскольку vpn НЕ настроен мной, я немного запутался с типами, но, пожалуйста, расскажите мне больше шагов.
После того, как я проверю интерфейс, пожалуйста, скажите мне, что мне делать, потому что завтра у меня есть шанс. Что делать, если vpn на интерфейсах l2tp или PPTP?
Заранее спасибо

Вс, 24 февраля 2013 г., 00:17

Вот мой блог о том, как я настраиваю Windows 7 и Iphone 4 для использования L2TP. Я не эксперт, но это работает

Вс, 24 февраля 2013 г., 11:12

Пн, 25 февраля 2013 г., 3:32

Похоже, у вас запущен pptp-сервер, и вы уже подключились к нему.
Теперь просто настройте pptp-клиент на своем телефоне и все готово

Пн, 25 февраля 2013 г., 14:52

Я протестировал VPN на iPhone и выбрал PPTP, но "Ошибка подключения к серверу PPTP", почему?
Подскажите, пожалуйста, пошагово, как определить настройки?
Заранее спасибо

Пн, 25 февраля 2013 г., 16:55

Вот мой блог о том, как я настраиваю Windows 7 и Iphone 4 для использования L2TP. Я не эксперт, но это работает

Хороший туто. +1 к карме

Но удалось ли кому-нибудь использовать сертификаты с политикой IPSEC на iphone и ROS?

Вт, 26 февраля 2013 г., 19:59

Спасибо, но, к сожалению, я не могу даже открыть вашу главную страницу на сайте.
Подскажите, пожалуйста, что здесь делать?

27 февраля 2013 г., 1:24

Пожалуйста, скажите мне, что именно в этот момент, что вы пытаетесь сделать или на каком этапе вы застряли
Пример
Похоже, что у вас уже есть сервер PPTP и работает
Если да Вы пытаетесь получить доступ из глобальной сети. Интернет-сторона?

Если это так, вам нужно правило брандмауэра, позволяющее подключаться к вашему PPTP-серверу mikroptik из Интернета, и вам нужно отключить телефон от беспроводной сети, включить доступ в Интернет на вашем телефоне у вашего провайдера и проверить доступ оттуда. .

27 февраля 2013 г., 17:54

Моя проблема точно такая же, как описана ниже:
У нас есть два маршрутизатора и мы используем микротик, у нас нет доступа в Интернет при подключении к беспроводной сети, но мы используем VPN для доступа в Интернет. Сам VPN не настраивал, но образ интерфейсов высылаю.
Эта VPN полностью работает с Windows, и это не PPTP или L2TP или что-то еще, просто имя пользователя и пароль.
Но теперь у нас много проблем с подключением к Интернету с помощью iPhone, потому что он задает нам много вопросов, таких как PPTP или L2TP и секреты, прокси и другие, и нам нужна пошаговая помощь для настройки iPhone (или внесения изменений в нашей операционной системе микротик) для доступа в Интернет.
Когда мы настраиваем iPhone, как показано ниже, он говорит об ошибке при подключении к серверу, обратитесь к администратору.
VPN>
PPTP
введены имя пользователя и пароль и сервер PPTP
RSA SecureID "ЧТО ЭТО?"
Прокси и другие "не знаю"
Как решить эту ошибку?

Пт, 01 марта 2013 г., 10:51

Вс, 03 марта 2013 г., 6:43

Извините, я не очень помог.

Если после прочтения этого вы не сможете заставить его работать, я больше не смогу вам помочь. Используйте мой пост как руководство по настройке. У всех разные ситуации, и вам, возможно, придется проявить творческий подход и заполнить пробелы в настройках.

Поиск Google — ваш лучший друг

Вт, 09 апр. 2013 г., 11:50

Я прочитал пост для IPSEC/L2TP "Подключение iPhone к Mikrotik"
У меня возникла проблема, из-за которой я не могу подключиться из Интернета к своему RB493G.
Если я изменю «В интерфейсе» на локальную сеть, к которой подключен мой Wi-Fi, я смогу подключиться.
Чтобы было понятно. У меня на микротике есть лан интерфейс где ip 192.168.12.254 и к нему подключен вайфай.
Если я выберу WIFI и настрою свой iphone VPN для подключения к 192.168.12.254, все будет работать нормально.
Когда я меняю «In interface» на моего wan ISP, я настраиваю свой iphone для подключения к моему wan ip, но этого не происходит. Я вижу в IPSEC удаленный одноранговый узел (который является IP-адресом ISP для iphone) и IP-адрес Wan.

Мой Микротик подключен к ADSL с фиксированным публичным IP, переадресованными портами: (500,4500,1701 и 1723)
Все порты открыты (500,4500,1701 UDP) и 1723 TCP.
Я могу подключиться к маршрутизатору по протоколу PPTP с помощью Iphone 3G.

Я также подключил свой Iphone к сегменту между моим ADSL и моим Mikrotik (используя мой Wi-Fi), l2tp/ipsec работал нормально.
Связался с моим оператором GSM, который подтвердил, что у них нет ограничений на протоколы, используемые в их 3G.

Оператор GSM предоставляет частный IP. Так что мой Iphone использует natted IP. а также мой микротик, который принимает порты, проброшенные на него с моего ADSL.
Может ли проблема быть на моей стороне ADSL? какие порты мне нужно дополнительно включить, чтобы это заработало?

Спасибо, что поделились со мной своими мыслями.
С уважением
Тедд

Вс, 04 августа 2013 г., 20:23

Я пытаюсь подключиться к iphone через mikrotik, а также через pptp connectio
я вижу журнал mikrotik, iphone пытается подключиться, но не подключается, ошибка, но я не знаю, какая ошибка.

Микротик использует подключение ppoe к adsl, поэтому порт полностью открыт или нет, потому что, когда я в моей сети, VPN работает, когда я в сотовой сети 3G, не работает

Вт, 20 августа 2013 г., 20:22

Укажите, можете ли вы установить VPN с использованием WIFI вместо 3G-соединения.
Обратите внимание, что многие операторы 3G отказывают в VPN, позвоните своему оператору, чтобы узнать, разрешен ли VPN.

Как только вы отправите мне дополнительную информацию, я постараюсь помочь вам с настройками.
тем временем убедитесь, что порт 1723 (TCP) принимает соединения (это для PPTP)

Вс, 10 мая 2020 г., 5:02

Я сменил провайдера Dyndns и подумал, что, возможно, причина в этом.
Ааа, теперь я вижу проблему, на моем iphone написано что-то об истечении срока действия сертификата.
Могу ли я исправить это на микротике, настроить все это было не так сложно, но это очень сложно (по крайней мере, для меня).
Надеялся, что смогу быстро что-то сделать с настройками телефона vpn или роутера??

Вс, 10 мая 2020 г., 10:16

Плохая новость: если срок действия сертификата истек, вам необходимо создать и установить новый; если вы не указали срок действия сертификатов, следуя этому руководству, их срок действия был установлен по умолчанию на 365 дней, поэтому вам понадобятся не только новые сертификаты для самого Mikrotik и iThing, но и новый сертификат CA. . Следовательно, требуется еще раз полная процедура. То же самое применимо, если срок действия сертификата на самом деле не истек, но доменное имя изменилось, поскольку вы изменили поставщика DynDNS, и сертификаты ссылаются на доменное имя.

Чтобы показать действительность сертификата, запустите на ответчике IKEv2 следующее:
:foreach cert in=[/certificate find] do=

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Вс, 10 мая 2020 г., 16:33

Ха-ха, Синди,
Ты имеешь в виду, помести эту команду в окно терминала моего MT и посмотри, что покажет??

Кроме того, где, черт возьми, можно указывать дату истечения срока действия сертификата, никогда не видел такой доступной опции??

Вс, 10 мая 2020 г., 16:46

Вс, 10 мая 2020 г., 19:09

Хорошо, я просмотрел ip ipsec вдоль и поперек и не увидел этого параметра - от политик до ключей. чтобы не было видно? Что мне не хватает (представление CLI??)

Вот результаты этого волшебного текста.

[username@MikroTik] > :foreach cert in=[/certificate find] do= get $cert name]." ".[/certificate get $cert invalid-after])>
mycert.ca mar /20/2020 21:44:56
vpn.server 20 марта 2020 21:46:33
xxi6svpn.client 20 марта 2020 21:59:00

Определенно просроченный LOL

Еще вопрос, вижу в одной из записей. Я поставил статический DNS 1.1.1.1 (в настройках режима — где я определяю свой пул vpn)
Это связано с тем, что нет способа добавить связанный пул vpn в список интерфейсов, например, в локальную сеть для служб DNS (правило входной цепочки).
Если я подключаюсь к маршрутизатору через VPN для администрирования маршрутизатора, мне все равно,
Если я хочу получить доступ к маршрутизатору и выйти в Интернет с маршрутизатора, я знаю, что мне нужны службы DNS.

Вс, 10 мая 2020 г., 19:56

Это параметр самого сертификата, вы указываете его при его создании (или не делаете и получаете один год).

Еще вопрос, вижу в одной из записей. Я вставил статический DNS 1.1.1.1 (в конфигурации режима - где я идентифицирую свой пул vpn)
Это потому, что нет способа добавить связанный пул vpn в список интерфейсов, таких как локальная сеть для служб DNS например (правило входной цепочки).
Если я подключаюсь к маршрутизатору через VPN для администрирования маршрутизатора, мне все равно,
Если я хочу получить доступ к маршрутизатору и выйти в Интернет с маршрутизатора, я знаю, что мне нужны службы DNS.

Указав DNS-сервер в mode-config, вы можете указать инициатору (клиенту) использовать другой DNS, пока он подключен к VPN. Обычной целью является разрешение доменных имен в частной сети, неизвестных в общедоступной DNS. В настоящее время (ну, по крайней мере, до блокировки вируса) все больше людей используют VPN, чтобы скрыть свой просмотр от своего интернет-провайдера, поэтому использование другого DNS имеет смысл по той же причине. Я не буду углубляться в этот смысл (ваш интернет-провайдер ничего не знает, но VPN-провайдер знает все, так что в чем смысл).

Пн, 11 мая 2020 г., 1:39

Вт, 12 мая 2020 г., 00:21

Проблема в том, что IOS13 требует альтернативное имя при создании сертификатов.
Большое спасибо за поддержку, Синди!!

Вт, 12 мая 2020 г., 14:06

Хорошо, те же проблемы не решены. Мне удалось добавить альтернативные имена DNS:vpn.server и DNS:vpn.client в сертификат, но результаты были такими же.
Единственные детали, которые я смог найти непосредственно из IOS. Я полагаю, что первые три пункта покрываются текущей настройкой.
Нужна помощь в понимании 4
Ой, на пятом я добавил ноль к 365, что значит, что это далеко за пределы 825, чтобы попробовать 800 и посмотреть, что вернется

Требования к доверенным сертификатам в iOS 13 и macOS 10.15
Все сертификаты сервера TLS должны соответствовать этим новым требованиям безопасности в iOS 13 и macOS 10.15:
1- Сертификаты сервера TLS и их выдача Центры сертификации, использующие ключи RSA, должны использовать ключи размером не менее 2048 бит. Сертификаты, использующие размер ключа RSA меньше 2048 бит, больше не являются доверенными для TLS.
2- Сертификаты серверов TLS и выдающие центры сертификации должны использовать алгоритм хеширования из семейства SHA-2 в алгоритме подписи. Сертификаты, подписанные SHA-1, больше не являются доверенными для TLS.
3- Сертификаты сервера TLS должны представлять DNS-имя сервера в расширении альтернативного имени субъекта сертификата. DNS-имена в CommonName сертификата больше не являются доверенными.

Кроме того, все сертификаты сервера TLS, выпущенные после 1 июля 2019 г. (как указано в поле NotBefore сертификата), должны соответствовать следующим рекомендациям:

4- Сертификаты сервера TLS должны содержать расширение ExtendedKeyUsage (EKU), содержащее OID id-kp-serverAuth. .
5- Срок действия сертификатов сервера TLS должен составлять 825 дней или меньше (согласно полям NotBefore и NotAfter сертификата).

Подключение к серверам TLS, нарушающее эти новые требования, не будет выполнено и может привести к сбоям в сети, сбоям в работе приложений и невозможности загрузки веб-сайтов в Safari в iOS 13 и macOS 10.15.

Вт, 12 мая 2020 г., 14:20

Вт, 12 мая 2020 г., 14:28

Насколько я понимаю, пункт 4 просто означает, что tls-server должен присутствовать в списке key-usage сертификата, используемого Mikrotik в качестве локального, что вы уже правильно настроились раньше. Раздел 4.2.1.12. Расширенное использование ключа RFC 5280 не оставляет места для какой-либо другой интерпретации:

Вт, 12 мая 2020 г., 14:34

Нет. Нет разницы. Идентификация пользователя по-прежнему не удалась, независимо от того, что было введено.

Среда, 13 мая 2020 г., 5:02

Ключи к успеху (каламбур).
- Требуется два сертификата на Iphone: сертификат клиента и базовый сертификат (.ca), но теперь они выполняются отдельно.
- Требуется изменить формат имени subj для сертификатов сервера и клиента - DNS: фактическое имя (а не обычное имя)
- также разрешено максимальное количество дней 800 дней

Путь к успеху.
MIKROTIK
(1) Создайте базовый сертификат .ca – подойдет любое имя, например, mycert.ca
Я ввел двухбуквенное обозначение страны и все поля до единицы, но не уверен, что необходимо.
убедитесь, что вы выбрали количество дней, в течение которых сертификат должен быть действителен (800 дней или менее).
Для использования ключа требуются только два ключа: «знак сертификата ключа» и «знак crl»
Самостоятельная подпись. Единственной записью в этом меню будет имя в верхнем поле, нажмите «Пуск» и дождитесь его остановки.
В поле ISSUER ничего не появится, все в порядке!
Нажмите «Применить», ОК, готово!

(2) Экспортируйте этот сертификат в формате PEM и, например, как минимум 8-значную парольную фразу 87654321.
Когда вы это делаете, он экспортирует как ключ, так и crt (сертификат). Вам нужен только файл экспорта crt.

(3) Создайте сертификат сервера vpn — подойдет любое имя, но убедитесь, что оно не совпадает с общим именем (vpn.server) — например. myvpn.server
убедитесь, что вы выбрали количество дней, в течение которых сертификат должен быть действителен (800 дней или меньше)
Введите обычное имя «vpn.server»
Введите альтернативный вариант subj имя - DNS:myvpn.server (обратите внимание, что вы должны удалить два двоеточия '::', которые уже существуют в блоке имен.
При использовании ключа требуются только два ключа: клиент tls и сервер tls.
Sign сертификат, используя имя сертификата в верхнем поле myvpn.server
и для ЦС, выбор mycert.ca
Нажмите «Пуск», а когда закончите, нажмите «Закрыть», нажмите на доверенное поле, которое теперь находится внизу экрана, а затем нажмите «Применить» и «ОК» — готово!

(4) Создайте сертификат клиента vpn — подойдет любое имя, но убедитесь, что оно не совпадает с общим именем (vpn.client) — например. myvpn.client
убедитесь, что вы выбрали количество дней, в течение которых вы хотите, чтобы сертификат был действителен (800 дней или меньше)
Введите обычное имя 'vpn.client'
Введите альтернативу subj имя - DNS:myvpn.client (обратите внимание, что вы должны удалить два двоеточия '::', которые уже существуют в блоке имен.
При использовании ключа требуются только два ключа: клиент tls и сервер tls.
Sign сертификат, используя имя сертификата в верхнем поле myvpn.client
и для ЦС, выбор mycert.ca
Нажмите «Пуск», а когда закончите, нажмите «Закрыть», нажмите на доверенное поле, которое теперь находится внизу экрана, а затем нажмите «Применить» и «ОК» — готово!

ПРИМЕЧАНИЕ: для сертификатов сервера и клиента альтернативное DNS-имя НЕ МОЖЕТ совпадать с общим именем — таким образом, DNS:myvpn.server (а не DNS:vpn.server)

(5) Экспортируйте сертификат myvpn.client и используйте формат PK и, например, как минимум 8-значную парольную фразу 87654321.

IPHONE
Используются три места на телефоне:
a. Настройки-Общие-Профили (Профили отображаются непосредственно под VPN)
b. Настройки-Общие-О программе - Доверенные сертификаты (последняя запись в списке)
c. Настройки-Общие-VPN (VPN обычно отображается под Словарем и выше Профилей)
или сразу под Настройки-VPN

(6) Переместите сертификат mycert.ca на iphone и установите - для меня он автоматически переходит в Профили.
Перейдите в «Профили» и нажмите на сертификат (на данный момент у него общее имя, которое я не могу вспомнить)
Он запрашивает пароль iphone, затем вы нажимаете «Установить», а затем он запрашивает вашу цифровую фразу-пароль 87654321 и нажмите «Установить и готово» и т. д.
Вы должны увидеть, что он успешно установлен в профилях с зеленой галочкой для проверки и теперь отображается правильное имя (не общее имя) — mycert.ca

(7) Перейдите в раздел Доверенные сертификаты, ваш сертификат также должен находиться там mycert.ca и иметь доступный выбор включения. Включите сертификат!

(8) Переместите файл myvpn.клиентский сертификат на айфон и установить - у меня он автоматически переходит в Профили.
Перейдите в «Профили» и нажмите на сертификат (на данный момент у него общее имя, которое я не могу вспомнить)
Он запрашивает пароль iphone, затем вы нажимаете «Установить», а затем он запрашивает вашу цифровую фразу-пароль 87654321 и нажмите «Установить и готово» и т. д.
Вы должны увидеть, что он успешно установлен в профилях с зеленой галочкой для проверки и теперь отображается правильное имя (не указанное выше общее имя), но я полагаю, что
обычное имя - vpn .клиент

(10) Позже (в шагах) при выполнении тестового подключения не используйте домашнюю жену, выключите его, чтобы это была сотовая связь (внешний тест wan).

МАРШРУТИЗАТОР
a. Я предполагаю, что вы правильно настроили брандмауэр и т. д.
b. Обсудим страницу ip ipsec

(11) НАСТРОЙКА ПРОФИЛЯ
имя - мы определились с моим профилем
алгоритм хэширования sha256
алгоритм шифрования aes256
группа DH modp2048
предложение проверить подчиняться
Лимит у меня 1 день , не знаю какая тут норма?
NAT Traversal проверен
DPD Traversal 3600, не уверен, что здесь норма?
Максимальное количество отказов DPD 5 ?

(13) PEER setup
имя — мы определились с адресом my-peer
0.0.0.0/0.0
профиль — myprofile (имя, которое соответствует пункту настройки 12)
режим обмена ike2
Пассивный проверен

(14) КОНФИГУРАЦИЯ РЕЖИМА
имя, которое мы выбрали в iosconfig
ответчик проверен
пул адресов — то, что вы настроили на маршрутизаторе уже в пулах IP для префикса ike vpn
адреса длина 32
статический dns (у меня 9.9.9.9) вы можете поставить что хотите, я полагаю.

(15) ПРЕДЛОЖЕНИЕ
имя, которое мы выбрали для моего предложения (выглядит немного похоже на профиль, настолько запутанный)
Алгоритмы аутентификации sha256
Алгоритмы шифрования aes256cbc aes 256gcm
Время жизни: 00:30 :00 не уверен, что это норма?
группа pfs: modp2048

(16) ПОЛИТИКА (динамически созданная)
Не уверен, что это правильно, но я только изменил значение по умолчанию и на вкладке страницы действий
действие зашифровать
протокол ipsec -esp
Предложение — имя, совпадающее с моим предложением (элемент 15 уже настроен)
Шаблон отмечен
Группа – по умолчанию

(17) ИДЕНТИФИКАЦИИ
Важно, я не уверен, важен ли порядок, но в любом случае у меня сначала есть моя (до любого значения по умолчанию).
Предостережение, если вы внесете изменения в сертификаты, это изменится для вас, и, следовательно, вам придется сбросить этот, так что внимательно следите за ним, LOL.

Запись однорангового узла соответствует требуемой настройке однорангового узла — имена должны соответствовать «my-peer» (из пункта 13)
Метод аутентификации — цифровая подпись
Сертификат — myvpn.server
Удаленный сертификат - myvpn.client
Шаблон группы политик (по умолчанию) указывает на другой элемент настройки, и, поскольку вы уже изменили значение по умолчанию, все готово!
мой idtype fqdn
myid myvpn.server
тип удаленного идентификатора fqdn
удаленный идентификатор myvpn.client
совпадение по remoteid
modeconfig - iosconfig (имя, которое соответствует и указывает на пункт настройки 14)
генерировать политику - строгий порт

ТЕСТ
ON MT включает журналы, а также вызывает активные одноранговые узлы ipsec.
Отключает Wi-Fi на телефоне.
Выбираете VPN на iphone.
Вы должны увидеть активность в журнале, за которой следует запись в активном узле И НИКАКИХ КРАСНЫХ ЛИНИЙ в журнале!!
На телефоне должен оставаться статус подключения (зеленый).

Теперь можно зайти в ПРИЛОЖЕНИЕ MT на IPHONE и безопасно войти в свой маршрутизатор для настройки — при условии, что ваш маршрутизатор-брандмауэр MT подготовлен соответствующим образом.

Вт, 20 сентября 2016 г., 1:21

Я пытаюсь настроить VPN в стиле "дорожного воина", чтобы иметь доступ к устройствам, которые у меня есть дома, в локальной сети (общий доступ к файлам, удаленный рабочий стол и т. д.), находясь вне дома, не открывая ни одно из них до большой страшный Интернет. После настройки и попытки протестировать его, я могу успешно подключиться, используя свой iPhone 6s или планшет Android 7.0, или рабочий стол Windows 7 (у него нет Wi-Fi, поэтому я не могу его привязать) через локальную сеть. Однако, когда я пытаюсь проверить, используя внешнее соединение, я получаю озадачивающий результат:

iPhone 6s через сотовую сеть – сбой
Планшет Android 7.0 подключен через Wi-Fi к персональной точке доступа iPhone 6s (через сотовую связь) – успешно
дерьмовый китайский ноутбук с Windows 10 – сбой

Я пытался добавить debug/ipsec/l2tp в журнал и вижу много сообщений (в том числе признаки попыток подключения и согласования), но ничего не выделяется как ошибка или очевидный способ исправить. Насколько я понимаю, это как-то связано с шифрованием или аутентификацией, но в нескольких местах есть много вариантов шифрования/аутентификации (IP/IPSec/Peers, PPP/L2TPServer/Authentication, PPP/Profiles/Default), поэтому для меня это слишком много. чтобы чувствовать себя комфортно, листая и пробуя наугад.

Для моей конфигурации у меня есть новый RB951G-2HnD с RouterOS 6.34.6 (исправление). Он подключен напрямую к Интернету, поэтому его IP-адрес WAN является общедоступным IP-адресом. Других шлюзов/свитчей/и т.п. нет. в сети. Я ничего не сделал для первоначальной настройки, чего не было в «Быстром наборе» (настроил беспроводную сеть, включил upnp, изменил локальные IP-адреса).

Затем я переместил два правила брандмауэра, созданные в конце приведенных выше инструкций, на 3/4 над записью, в которой говорится "удалить все из глобальной сети".

IP-адрес моего маршрутизатора — *.1, диапазон DHCP LAN — *.100–199, локальный адрес профиля PPP — *.200, а удаленный адрес профиля PPP использует пул из *.210–.244. Все эти настройки работают должным образом при подключении к VPN через локальную сеть.

Моя конфигурация iOS имеет тип: L2TP с правильным именем пользователя/паролем/общим секретом. Как я уже сказал, он работает на планшете Android, если он привязан к тому же соединению.

Если бы кто-нибудь мог помочь или указать мне правильное направление, я был бы очень признателен. Я прочитал все, что смог найти в Wiki или Google, но не нашел ничего, что помогло бы мне найти решение.

Я полностью готов использовать совершенно другую настройку, если она будет более подходящей. Первоначально я успешно настроил соединение PPTP с помощью простого мастера на странице быстрых настроек, но PPTP устарел в iOS/macOS. Я просто работаю со всеми основными устройствами (Windows 7+/Android/iOS/macOS). В идеале из коробки, но я ничего не имею против использования отдельного приложения. Мой вариант использования довольно прост, поэтому мне просто нужно что-то простое без уровня ненадежности камикадзе.

Читайте также: