[VPN] iPhone使用IKEv2翻牆

gfx86674

前言:
IPSec 作為新一代網路安全協定,為網路傳輸提供了安全保證,
使端到端的資料保密成為可能,是互聯網上的新一代安全標準。

提供包括存取控制、不需連線的完整性、資料來源認證、抗重放 (replay)保護、
保密和有限傳輸保密性在內的服務,
服務基於 IP 層並對 IP 及上層協議進行保護。服務的實施通過兩種通信安全協議:
認證頭(AH)和封裝安全負載(ESP)以及 Internet 金鑰交換(IKE)協定來達到這些目標。

IPSec AH 協定提供資料來源認證、不需連線的完整性和可選的抗重放服務。

ESP 協定提供資料保密性,有限的資料流程保密性、
資料來源認證、不需連線的完整性及抗重放服務。

IKE 協定用於協商 AH 和 ESP 協定所使用的密碼演算法,
並將演算法所需的必備金鑰放在合適的位置。

IPSec 有兩種模式:傳輸模式和隧道模式。它們都是對外出的資料包添加 IPSec 頭進行加密和認證,
而對於接收的 IPSec 資料包作解密認證處理和適當的轉發傳送。

gfx86674

此環境在官網稱Road Warrior ,是建構在IPSec IKE環境,需憑證(certificate)交換認證.
您可以用憑證頒發機構,但以下說明皆是在RouterOS的憑證視窗,自簽證明生成的(第三方憑證)

憑證有3組,分別是: ca / server / client

/certificate 新增憑證ca:

gfx86674

/certificate 新增server(伺服端)憑證:




/certificate 新增client(用戶端)憑證:

gfx86674

匯出憑證給用戶：
憑證ca


client(用戶端)憑證


匯出的檔案：

先將2個檔案拉至電腦桌面 ,再用附件將兩檔寄到自己的mail信箱

gfx86674

因Road Warrior並沒有像其它vpn有Change TCP MSS的功能,
有的用戶是來自固網,有的是PPPoE,還有DHCP-Client...

這些通道寬度不一,再經IPSec隧道後MTU早非原先的值.
所以我們自己手動新增Change TCP MSS ,避免因通道寬(MTU)的值不對丟失封包.

/ip firewall mangle 新增2筆：
1.



2.



這2筆新增完要擺在/ip firewall mangle 最優先的位置0,1 ,封包交換時才不會有疏漏

gfx86674

IKEv2 Server設定：
/ip pool

連結：subnet計算機


操作subnet-Mask或Mask-Bits,
用最大的Mask-Bits值將您的VPN-Pool含在Host-Address-Range裡.
而Subnet-ID與Mask-Bits 的組合即您的VPN-Pool的遮罩表示法.

/ip ipsec proposal


/ip ipsec mode-conf


/ip ipsec group


/ip ipsec policy



/ip ipsec peer

gfx86674

IKEv2 Client(iPhone)設定：
1.iPhone收到桌機寄出含附件的mail ,先進行憑證ca的匯入
直接點擊ca憑證即可.


2.進行client(用戶端)憑證的匯入


3.讓iPhone對憑證產生信任
設定 -> 一般 -> 關於本機 -> 憑證信任設定 [Settings -> General -> About -> Certificate]


4.新增IKEv2撥號


5.連線成功

gfx86674

注意有些人會將vpn-pool與dhcp-pool放在同個網段,
這是非常不正確的做法,會讓arp查詢發生問題
在路由是會把它當成兩個相同的網段,而非用戶認為的同一網段,這種差異是巨大的.

在其它vpn可以在ethernet設置proxy-arp進行ethernet偽裝欺騙,
但ipsec-tunnel內可是沒這種服務的.

所以若連線並未順遂的話,除檢驗憑證與設置外,看自己是否有發生網段重疊的低級失誤.

角色

首先CHing辛苦了！

谢谢你这幅帖子，把我们不会的带到另外一个领域那里。

我会把这幅帖子链接到MikroTik的Forum里。Ching能否说一下，按照WiKi里的信息，先把Road Worrior 的PC（RW PC）连接到IPSec router，那么RW PC就可以连接到IPSec router后面的local network devices.

我的问题是更加或者加了些什么，能够local network + Internet呢？就是OpenVPN TUN and TAP mode。

我已经把你的信息的链接发到MikroTik Forum里：
https://forum.mikrotik.com/viewt ... mp;p=644032#p644032

lookforyou

虽然不用vpn，但也要为你点个赞

yiucsw

找不到，IPsec server 的配置？

ckleea

回復 9# 角色


    是可以用來連內聯網，因為客戶端是有一個 local address

gfx86674

回復 11# yiucsw
上面說的IKEv2 Server配置即IPSec配置。iPhone預設支援的3種VPN全都與IPSec有關：

L2TP：在加密的IPSec隧道進行L2TP封包交換，間接的替L2TP做了加密動作。

IKEv2：Road Warrior傳輸的憑證認證模式(或稱IKE)。

IPSec：Road Warrior傳輸的帳/密認証模式(或稱Xauth)。
目前Server對iOS支援有局限，只可對classB(192.168.0.0/16)的局部區網做封包交換。
若將傳輸範圍擴展至整個互連網(0.0.0.0/0)，用戶端會不能連線。

gfx86674

我胡搞把這篇IKEv2製作的憑證拿來對ovpn瞎鬧...結果竟又可以用 [大笑]

憑證有3個分別是ca /server /client
我將ovpn-server先掛上ca ,然後將ca與server匯出:

因windows桌機的openvpn設定檔只需要ca ,所以先試:
連線過程出現這警告:
WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).

1. client
   
2. dev tun
   
3. remote 12345678.sn.mynetname.net 1194
   
4. proto tcp
   
5. auth-user-pass
   
6. redirect-gateway
   
7. mute-replay-warnings
   
8. 
   
9. <ca>
   
10. ------- ca_code --------
    
11. </ca>

複製代碼

但不影響連線,連線成功了


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
再來換iPhone ,ovpn設定檔上傳:

1. client
   
2. dev tun
   
3. remote 12345678.sn.mynetname.net 1194
   
4. proto tcp
   
5. auth-user-pass
   
6. redirect-gateway
   
7. mute-replay-warnings
   
8. 
   
9. <ca>
   
10. ------- ca_code --------
    
11. </ca>
    
12. 
    
13. <cert>
    
14. ----- server_code ------
    
15. </cert>

複製代碼

ovpn的連線畫面多出了選擇憑證的欄位,但不理會一樣可以連線.

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
再來...
選擇憑證的欄位我很介意,想說能否利用?
所以我把設定檔憑證的部份全刪就直接套到iPhone裡用

1. client
   
2. dev tun
   
3. remote 12345678.sn.mynetname.net 1194
   
4. proto tcp
   
5. auth-user-pass
   
6. redirect-gateway
   
7. mute-replay-warnings

複製代碼

選擇已匯入的client憑證,竟也是連上線了

Skypeus

在设置到：
/ip firewall mangle 新增2筆：
这里出现在下面这个出错，怎么办？