MikroTik RouterOS IKEv2 RSA VPN Settings for both Apple and Android devices

张无忌

有网友[1]说计划, Android 手机 （Version 12）只剩下IKEv2 VPN连接方式，所以希望能协助一下怎样set MikroTik routers，能体现IKEv2 VPN 的功能。

首先IKEv2连接速度是非常快，比L2TP over IPsec VPN快很多，还有在大陆在同一个home router，可以同时用IKEv2连接香港的IKEv2 server。而市面上的devices NAS，一般只能提供L2TP over IPsec，而没有IKEv2，因为要set IKEv2 server真的不容易。

在网上有不少的帖子，用MikroTik routers，只能在Android devices成功，而在Apple devices，特别是最新versions的firmware，都不能成功，下面我使用过的Settings [2],我能在Android devices version 10 （安装StrongSwan），成功连接香港的IKEv2 server。

1. #Server RouterOS
   
2. 
   
3. #Define and sign CA "tw.ca"
   
4. /certificate
   
5. add common-name=tw.ca name=tw.ca days-valid=800
   
6. sign tw.ca ca-crl-host=xyz.abc.com (your routers ddns)
   
7. 
   
8. #Define and sign Server "tw.server"
   
9. add common-name=xyz.abc.com subject-alt-name=DNS:xyz.abc.com name=tw.server key-usage=tls-server days-valid=800
   
10. sign tw.server ca=tw.ca
    
11. 
    
12. /ip ipsec profile
    
13. add name=ike2
    
14. 
    
15. /ip ipsec proposal
    
16. add name=ike2 pfs-group=none
    
17. 
    
18. /ip pool
    
19. add name=ike2-pool ranges=192.168.77.2-192.168.77.254
    
20. 
    
21. /ip ipsec mode-config
    
22. add address-pool=ike2-pool address-prefix-length=32 name=ike2-conf
    
23. 
    
24. /ip ipsec policy group
    
25. add name=ike2-policies
    
26. 
    
27. /ip ipsec policy
    
28. add dst-address=192.168.77.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes
    
29. 
    
30. /ip ipsec peer
    
31. add exchange-mode=ike2 name=ike2 passive=yes profile=ike2
    
32. 
    
33. /ip ipsec identity
    
34. add auth-method=digital-signature certificate=tw.server generate-policy=port-strict mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies
    
35. 
    
36. #Generate user certificates
    
37. 
    
38. #Define and sign  client 1 "peter"
    
39. /certificate
    
40. add common-name=peter name=peter subject-alt-name=DNS:peter key-usage=tls-client days-valid=800
    
41. sign peter ca=tw.ca
    
42. 
    
43. #export certificates for clients 1
    
44. /certificate
    
45. export-certificate peter export-passphrase=12345678 type=pkcs12
    
46. 
    
47. #export certificate  for server
    
48. /certificate
    
49. export-certificate tw.ca type=pem

複製代碼

在MikroTik router里的Files，会有两张certificates，一张是CA，一张是peter。用这两种certificates，放入Apple devices or Android devices就可以。Android安装很简单，但是Apple devices就比较麻烦。

而在Apple device，Local ID：必须输入，不然Apple devices连不上MikroTik router。Local ID就填peter。

注意，user的 name，如common-name=peter name=peter subject-alt-name=DNS:peter，所有names必须一样，还有字母不能有点号，能有hyphen or underscore。但是在server没有这个限制。

在Windows 10 安装，就点击CA cert和Client cert, 然后添加VPN选IKE，在VPN Network Adapter 里选certificate在local machine，详细看下面的MikroTik里的Link就可以。

希望可以帮到大家在MikroTik routers里set IKEv2 RAS VPN.

还有在MikroTik router的firewall，要allow udp 500，4500 packets to input the MikroTik router's server.  
ip->firewall, add a rule to accept packets with destination udp port 500, 4500 from the WAN port.

References：
[1] https://www.hkepc.com/forum/redi ... 96&pid=41015031
[2] https://help.mikrotik.com/docs/display/ROS/IPsec
[3] Easy IPSEC Site-To-Site VPN Guide, MikroTik ROSv7 Link

张无忌

PS：

1、在firewall filter rules里，input chain，要允许udp ports 500,4500进入。
2、Reset router to default mode

张无忌

上面是香港做IKEv2 server，大陆用iOS，Windows10，Android 10（安装Strongswan）来连接，Android 12就只有IKEv2的连接。所以未来都是以IKEv2为主导的VPN servers（安装在大陆以外的servers），当然也可以用别的，估计需要在系统里额外安装其他clients，原生的就只有IKEv2了。

IKEv2连接除了用certificates外，还有别的方式，但是需要时间去研究。。