Board logo

標題: MikroTik RouterOS IKEv2 RSA VPN Settings for both Apple and Android devices [打印本頁]
作者: 张无忌    時間: 2022-4-11 16:51     標題: MikroTik RouterOS IKEv2 RSA VPN Settings for both Apple and Android devices

本帖最後由 张无忌 於 2025-7-3 13:07 編輯

有网友[1]说计划, Android 手机 (Version 12)只剩下IKEv2 VPN连接方式,所以希望能协助一下怎样set MikroTik routers,能体现IKEv2 VPN 的功能。

首先IKEv2连接速度是非常快,比L2TP over IPsec VPN快很多,还有在大陆在同一个home router,可以同时用IKEv2连接香港的IKEv2 server。而市面上的devices NAS,一般只能提供L2TP over IPsec,而没有IKEv2,因为要set IKEv2 server真的不容易。

在网上有不少的帖子,用MikroTik routers,只能在Android devices成功,而在Apple devices,特别是最新versions的firmware,都不能成功,下面我使用过的Settings [2],我能在Android devices version 10 (安装StrongSwan),成功连接香港的IKEv2 server。
  1. #Server RouterOS

  3. #Define and sign CA "tw.ca"
  4. /certificate
  5. add common-name=tw.ca name=tw.ca days-valid=800
  6. sign tw.ca ca-crl-host=xyz.abc.com (your routers ddns)

  8. #Define and sign Server "tw.server"
  9. add common-name=xyz.abc.com subject-alt-name=DNS:xyz.abc.com name=tw.server key-usage=tls-server days-valid=800
  10. sign tw.server ca=tw.ca

  12. /ip ipsec profile
  13. add name=ike2

  15. /ip ipsec proposal
  16. add name=ike2 pfs-group=none

  18. /ip pool
  19. add name=ike2-pool ranges=192.168.77.2-192.168.77.254

  21. /ip ipsec mode-config
  22. add address-pool=ike2-pool address-prefix-length=32 name=ike2-conf

  24. /ip ipsec policy group
  25. add name=ike2-policies

  27. /ip ipsec policy
  28. add dst-address=192.168.77.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes

  30. /ip ipsec peer
  31. add exchange-mode=ike2 name=ike2 passive=yes profile=ike2

  33. /ip ipsec identity
  34. add auth-method=digital-signature certificate=tw.server generate-policy=port-strict mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies

  36. #Generate user certificates

  38. #Define and sign  client 1 "peter"
  39. /certificate
  40. add common-name=peter name=peter subject-alt-name=DNS:peter key-usage=tls-client days-valid=800
  41. sign peter ca=tw.ca

  43. #export certificates for clients 1
  44. /certificate
  45. export-certificate peter export-passphrase=12345678 type=pkcs12

  47. #export certificate  for server
  48. /certificate
  49. export-certificate tw.ca type=pem
複製代碼
在MikroTik router里的Files,会有两张certificates,一张是CA,一张是peter。用这两种certificates,放入Apple devices or Android devices就可以。Android安装很简单,但是Apple devices就比较麻烦。

而在Apple device,Local ID:必须输入,不然Apple devices连不上MikroTik router。Local ID就填peter。

注意,user的 name,如common-name=peter name=peter subject-alt-name=DNS:peter,所有names必须一样,还有字母不能有点号,能有hyphen or underscore。但是在server没有这个限制。

在Windows 10 安装,就点击CA cert和Client cert, 然后添加VPN选IKE,在VPN Network Adapter 里选certificate在local machine,详细看下面的MikroTik里的Link就可以。

希望可以帮到大家在MikroTik routers里set IKEv2 RAS VPN.

还有在MikroTik router的firewall,要allow udp 500,4500 packets to input the MikroTik router's server.  
ip->firewall, add a rule to accept packets with destination udp port 500, 4500 from the WAN port.

References:
[1] https://www.hkepc.com/forum/redi ... 96&pid=41015031
[2] https://help.mikrotik.com/docs/display/ROS/IPsec
[3] Easy IPSEC Site-To-Site VPN Guide, MikroTik ROSv7 Link
作者: 张无忌    時間: 2022-4-11 16:53

本帖最後由 张无忌 於 2022-4-14 09:13 編輯

PS:

1、在firewall filter rules里,input chain,要允许udp ports 500,4500进入。
2、Reset router to default mode
作者: 张无忌    時間: 2022-4-17 20:07

本帖最後由 张无忌 於 2024-8-3 14:59 編輯

上面是香港做IKEv2 server,大陆用iOS,Windows10,Android 10(安装Strongswan)来连接,Android 12就只有IKEv2的连接。所以未来都是以IKEv2为主导的VPN servers(安装在大陆以外的servers),当然也可以用别的,估计需要在系统里额外安装其他clients,原生的就只有IKEv2了。

IKEv2连接除了用certificates外,还有别的方式,但是需要时间去研究。。




歡迎光臨 電腦領域 HKEPC Hardware (https://www.hkepc.com/forum/) Powered by Discuz! 7.2