返回列表 發帖

[VPN] Mikrotik IKEv2 Client的設定方法

本帖最後由 gfx86674 於 2019-4-13 00:02 編輯

1.首先將來自server端匯出的client憑證(附檔名為.p12)拉入client端資料夾,
然後用命令進行匯入:
/certificate import file-name=cert_export_RouterOS_client.p12 passphrase=1234567890
匯入後會存入兩憑證xxx.p12_0與xxx.p12_1


2.新增ikev2撥號:
/ip ipsec profile


/ip ipsec proposal


/ip ipsec group


/ip ipsec policy



/ip ipsec peer


/ip ipsec identity


3.若ikev2成功撥號,/ip ipsec policy會顯示連線成功的資訊。

圖上192.168.119.238即ikev2 client所取得的連線ip。

4.若要讓用電腦端透過router進行vpn代理,必須設定偽裝。
如要將192.168.88.100透過router進行vpn代理,需在/ip firewall nat新增:



192.168.119.238即步驟3所取得的撥號ip。
並將此規則拉置nat最上方進行置頂,這樣就大功告成了
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

回復 6# Skypeus
的確要更新,因為比您想像中的更簡單。
教學只要做到步驟3就好,接下來看下面的:

client與server端的/ip ipsec policy截圖:
以下這張是server的,但重點只在client端,server端完全不用設:


找到client端在/ip ipsec policy的ikev2連線,展開後按下copy...
再修改複製的內容,把src-address=192.168.x.x/32的改成區網網段,如:192.168.88.0/24

dst-address則是要翻牆的網段,如填192.168.90.0/24,就是只和對端做site to site內網傳輸;
若改填1.0.0.0/8,則是1.0.0.0/8的網段皆能透過server端翻牆。
若有更多的網段需對端翻吧,不只1.0.0.0/8的話那就多複製幾組,並變更每一組dst-address端吧

但注意dst-address不能填0.0.0.0/0,
另外ipsec policy不支援address list,若像是國家網段的要加到ipsec policy,
並不是說不行,但因為有幾百幾千組網段需加入ipsec policy,若不靠腳本新增,先崩潰的肯定是你自己

TOP

返回列表