如果更换MikroTik router, 之前IKEv2 certificates怎样处理?

角色

1、把/system/certificates里的certificates export出来到Files folder（MikroTik里面的Files folder）

2、Drag client, server, certifcates，ca.crt 到 desktop

3、把上的files搬到新的MikroTik router，用winbox certificates，或者 terminal 都可以把certificates import到MikroTik系统。

4、到/system/certifictes里需要修改一下，就是在export过程中，前后都多了些text都要删掉。

5、从新set IPSec settings

1. /ip ipsec profile
   
2. add name=ike2
   
3. 
   
4. /ip ipsec proposal
   
5. add name=ike2 pfs-group=none
   
6. 
   
7. /ip pool
   
8. add name=ike2-pool ranges=192.168.77.2-192.168.77.254
   
9. 
   
10. /ip ipsec mode-config
    
11. add address-pool=ike2-pool address-prefix-length=32 name=ike2-conf
    
12. 
    
13. /ip ipsec policy group
    
14. add name=ike2-policies
    
15. 
    
16. /ip ipsec policy
    
17. add dst-address=192.168.77.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes
    
18. 
    
19. /ip ipsec peer
    
20. add exchange-mode=ike2 name=ike2 passive=yes profile=ike2
    
21. 
    
22. /ip ipsec identity
    
23. add auth-method=digital-signature certificate=jb.server generate-policy=port-strict mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies

複製代碼

6、在/IP/IPSec/Profile里，aes256 打勾（主要系统安装了strongSwan which requires aes256.

vpn-learner

在 import .crt 和 .p12 是否都要在 passphrase 中 输入之前的密码 ，e.g. 1234 ？

角色

如果你之前用了1234，那么import的时候都需要输入1234.

vpn-learner

1、把/system/certificates里的certificates export出来到Files folder（MikroTik里面的Files folder）

2 ...
角色 發表於 2022-6-6 12:32

    重新set IPsec setting 之前， 要否先 再次define and sign CA certs 和 define and sign server？

角色

回復 4# vpn-learner

不用的！所有关于产生ca，server，client’s certificate and privates都不用重新set，用旧的就可以，但是要主要是ca和server两个要有独立的cert and private keys。

Skypeus

回復 5# 角色


   好贴要收藏，这个方法好啊 ，可以让AC2的设置平稳转移到AC3.