Obecnie wzrosło wykorzystanie protokołu szyfrowania IKEV2 do skonfigurowania sieci VPN między dwoma komputerami, dwiema lokalizacjami i zdalnym oddziałem biura. Ponieważ protokół IKEV2 jest stosunkowo nowy i ma bardzo dobre możliwości budowania wirtualnej sieci prywatnej oraz bezpiecznego i szyfrowanego wysyłania i odbierania informacji.
Najłatwiejszym sposobem skonfigurowania serwera IKEV2 jest użycie routerów Mikrotik. Wraz z oprogramowaniem Winbox i systemem operacyjnym RouterOS, routery Mikrotik zapewniają wiele funkcji w zakresie VPN, firewall i serwera proxy, a także można łatwo zainstalować i skonfigurować na nich serwer SSH lub WWW i Telnet, a także licencję na dostęp lokalny dla każdego użytkownika. dał
Obecnie większość inżynierów i profesjonalistów sieciowych zaczęła używać sprzętu i oprogramowania Mikrotik do zaspokojenia swoich potrzeb, takich jak routing w sieci i konfiguracja wszelkiego rodzaju serwerów, w tym serwerów internetowych, serwerów VPN, serwerów proxy, serwerów plików, zapór ogniowych itp. .
Jeśli nie jesteś zaznajomiony z tymi pojęciami i jesteś zainteresowany odbyciem szkolenia w zakresie sieci komputerowych, sugerujemy odwiedzenie poniższej witryny, aby poznać te pojęcia w prostym i praktycznym języku.
Serwery Mikrotik zapewniają najwyższą stabilność i bezpieczeństwo oraz charakteryzują się dużą szybkością uruchamiania i szeregiem automatycznych procesów, które umożliwiają wykonanie zadań. Serwery te można zainstalować w ciągu kilku minut i można mu wydać szereg poleceń, dzięki czemu zadania te można wykonać z dużą szybkością i stabilnością, bez konieczności wielokrotnego logowania i ponownego uruchamiania procesów.
Konfigurowanie i konfigurowanie serwerów Mikrotik jest również proste i w większości przypadków można kopiować te ustawienia z jednego systemu do drugiego. Z tego powodu w ostatnich latach wiele firm lub specjalistów sieciowych było zainteresowanych konfiguracją VPN z serwerami Mikrotik, a stosunkowo nowy protokół VPN IKEV2 zabłysnął jasno. W tym artykule najpierw chcemy rzucić okiem na niektóre koncepcje i protokoły, a następnie sprawdzić kroki instalacji protokołu IKEV2 na Mikrotik.
Znajomość Mikrotika, routera Mikrotik, Winbox i RouterOS
Jeśli byłeś w świecie sieci, bezpieczeństwa i sprzętu internetowego, prawdopodobnie słyszałeś i widziałeś te wyrażenia. Niektórzy mówią, że Mikrotik to sprzęt, inni uważają Mikrotik za system operacyjny i oprogramowanie. Jeden artykuł mówi o serwerze Mikrotik, a inny artykuł mówi o routerze Mikrotik lub ustawieniach sieciowych w oprogramowaniu Mikrotik!
Musimy powiedzieć, że prawie wszystkie te terminy i koncepcje są poprawne. Początkowo, w 1996 r., dwóch studentów MIT z „Łotwy” w Europie Wschodniej opracowało i wprowadziło na rynek system operacyjny MicroTik. System ten opierał się na jądrze Linuksa, jednak jego największą zaletą była możliwość instalacji na zwykłych komputerach PC opartych na systemie Microsoft Windows.
Co to są protokoły IKE i IKEv2?
Internet Key Exchange, w skrócie IKE, to protokół tunelowania oparty na protokole IPSec, który zapewnia bezpieczny kanał komunikacyjny VPN i w bezpieczny sposób definiuje automatyczne uwierzytelnianie i negocjacje dla SA IPSec.
Pierwsza wersja tego protokołu VPN (IKEv1) została wprowadzona w 1998 roku, a druga wersja (IKEv2) została wypuszczona 7 lat później.
Jeśli chcesz zapoznać się z różnymi rodzajami bezpiecznych protokołów, mamy dla Ciebie w pełni profesjonalny tutorial, do którego zamieściliśmy link.
Cechy protokołu IKEv2
Dlaczego warto używać IKEv2:
- 256-bitowe szyfrowanie danych
- Implementuje IPSec dla bezpieczeństwa
- Stabilne połączenie
- Obsługa MOIKE, która gwarantuje lepszą prędkość
Bezpieczeństwo: IKEv2 korzysta z certyfikatu uwierzytelniania serwera, co oznacza, że nie zostaną podjęte żadne działania, dopóki nie zostanie poznana tożsamość osoby żądającej. Ta funkcja zapobiegnie atakom DDoS.
Szybkość: złożona architektura i wydajny system przesyłania wiadomości IKEv2 mogą poprawić wydajność. Ponadto prędkość jego połączenia jest znacznie większa, szczególnie dzięki wbudowanemu przejściu NAT, co znacznie przyspiesza przekraczanie zapór ogniowych i ustanawianie połączenia.
Zalety protokołu IKEv2
- Szybszy niż PPTP i L2TP
- Obsługuje wysokiej jakości metody szyfrowania
- Wysoka stabilność
- Wsparcie telefoniczne
- Łatwe ustawienie
Wady protokołu IKEv2
Być może jedyną wadą tego protokołu jest użycie portu UDP 500, który blokuje niektóre zapory ogniowe.
Przewodnik konfiguracji Mikrotik IKEv2
Nowoczesne systemy operacyjne (takie jak Windows 7 i nowsze) obsługują standard IKEv2. Internet Key Exchange (IKE lub IKEv2) to protokół ustanawiający powiązanie bezpieczeństwa w ramach pakietu protokołów IPsec. W porównaniu z wersją IKE 1, IKEv2 zawiera ulepszenia, takie jak obsługa mobilności w standardzie MOBIKE i większą niezawodność. Konfiguracja Mikrotik IKEv2 umożliwia zarządzanie anonimowym i bezpiecznym ruchem internetowym urządzeń podłączonych do routera oraz odblokowywanie treści objętych ograniczeniami geograficznymi. W tym artykule omówimy, jak skonfigurować ikev2 w Macrotik.
Zalety konfiguracji ikev2 na Mikrotik
Główną zaletą wydajności IKEv2 w porównaniu z sieciami VPN L2TP/IPsec jest to, że L2TP przypisuje tylko jeden źródłowy adres IP każdemu klientowi, podczas gdy IKEv2 nie ma żadnych ograniczeń. Jeśli na przykład trzy laptopy z systemem Windows podłączone do tego samego punktu połączenia z Internetem (hotelu WiFi lub hotspotu) próbują połączyć się z firmową siecią VPN, uda się to tylko ostatniemu podłączonemu urządzeniu. To znaczy po prostu laptop. Jednak ten problem można rozwiązać za pomocą jednego mobilnego hotspotu dla każdego laptopa, ale źródłowy adres IP ulegnie zmianie. Poza tym ta opcja nie zawsze jest dostępna.
Sieci VPN IKEv2 nie mają tego problemu z sieciami VPN L2TP, więc możesz podłączyć dowolną liczbę klientów do punktu końcowego. IKEv2 jest znacznie trudniejszy do skonfigurowania po raz pierwszy niż L2TP/IPsec i jeszcze trudniejszy dla początkujących użytkowników OSX.
W kanale wersji 6.41 Mikrotika występuje problem powodujący błąd unieważnienia certyfikatu lokalnego wystawcy. Czasami IKEv2 dobrze łączy się z dokładnie jednym kodem. Jednak podczas korzystania z wersji 6.41 w wielu przypadkach napotkasz błąd „lokalny certyfikat wystawcy głębokość 0” w dzienniku Mikrotik w sekcji IPsec. Aby rozwiązać ten problem, użyj kanału BugFix/Stable (obecnie 6.393).
Zarządzanie licencjami
Router MikroTik staje się organem licencyjnym, który może podpisać certyfikat serwera TLS i licencje dla podłączonych urządzeń. Oznacza to, że podłączone komputery są uwierzytelniane przez urządzenie, a nie nazwę użytkownika i hasło. Jeśli wolisz, aby nazwa użytkownika i hasło znajdowały się w nagłówku Machine Permissions, musisz skonfigurować uwierzytelnianie Radius. Aby wystawić licencję, możesz skorzystać z przykładowego kodu poniżej:
Domyślny okres ważności klucza wynosi 365 dni (1 rok), więc ustaw go na 3650 (10 lat), aby uniknąć problemów z ważnością. Ustaw adres DNS dostawcy VPN jako nazwę zwyczajową. Na przykład vpn.twojadomena.com. W tym przykładzie CA-Crl-Host jest ustawiony jako adres IP urządzenia w sieci LAN. Tworzymy w ten sposób centrum zarządzania licencjami, które umożliwia wydawanie licencji i certyfikatów.
Konfiguracja ustawień ikev2 w Mikrotik
Samouczek konfiguracji ikev2 Mikrotika ma na celu umożliwienie klientom połączenia VPN z podsiecią w celu uzyskania adresu IP z serwera DHCP w głównej sieci LAN. Umożliwia także zarządzanie podsiecią klientów VPN za pomocą niestandardowych reguł, jeśli zajdzie taka potrzeba, co jest bardzo przydatne do kontroli dostępu lub kształtowania ruchu.
Jak skonfigurować ikev2 w MIkrotik
Jak wspomniano, ikev2 jest protokołem używanym do konfigurowania powiązania bezpieczeństwa w zestawie protokołów IPsec. Konfigurację ikev2 na Mikrotiku można ogólnie podsumować w trzech krokach:
- Skonfiguruj ręczne ustawienia VPN
- Konfiguracja połączenia ikev2 w Mikrotik
- Dowiedz się, jak wysłać wymagany ruch przez tunel VPN
Uruchom ręczne ustawienia VPN
Przed skonfigurowaniem VPN na routerze Mikrotik należy utworzyć ustawienia IKEv2 na pulpicie KeepSolid. W tym celu wystarczy przejść przez kilka prostych kroków. Najpierw zaloguj się do systemu User Office. Następnie naciśnij opcję Zarządzaj, aby korzystać z usług KeepSolid VPN Unlimited i wykonaj następujące kroki w podanej kolejności:
- Wybierz urządzenie: Wybierz jedno z urządzeń z udostępnionej listy lub dodaj do niego nowe urządzenie. Jeśli nie masz wolnych slotów, usuń jedno z poprzednich urządzeń.
- Wybierz lokalizację swojego serwera: KeepSolid VPN Unlimited oferuje szeroką gamę serwerów. Wybierz żądany serwer lokalizacji spośród tych serwerów.
- Wybierz żądany protokół VPN: Określ platformę urządzenia, aby korzystać z protokołu ikev2.
- Konfiguruj: Naciśnij opcję Generuj, aby uzyskać wszystkie dane potrzebne do skonfigurowania połączenia VPN. Dane te obejmują dane do logowania, hasło, adres serwera itp., które będą dostępne w postaci tekstu i kodów QR. Zaleca się również pobranie pliku konfiguracyjnego, aby móc korzystać z IKEv2 w systemie Windows i OpenVPN® na dowolnej platformie.
Jak skonfigurować połączenie ikev2 w Mikrotik
Konfiguracja połączenia ikev2 w Mikrotiku jest skomplikowana i wymaga szczególnej uwagi. Jeśli jednak poznasz kroki instalacji i konfiguracji oraz wykonasz je poprawnie, nie napotkasz wielu problemów. Aby skonfigurować połączenie ikev2 w Mikrotik, wykonaj następujące czynności:
- Zaloguj się do swojego Mikrotika WebFig
- Otwórz opcję Pliki i dodaj certyfikat utworzony wcześniej w swoim biurze.
- Zaimportuj swój certyfikat z System è Certyfikaty è Importuj. W menu rozwijanym znajdującym się przed sekcją Tylko plik wybierz dodany certyfikat i kliknij opcję Importuj
- Dodaj nowy profil do swojego routera Mikrotik z IP è IPsec è Profile è Dodaj nowy.
1. Wypełnij pola profilu
Na tym etapie musisz wprowadzić informacje wymagane do utworzenia nowego profilu dla routera Mikrotik w określonych polach. Aby poprawnie skonfigurować połączenie ikrv2, żądane informacje muszą zostać wprowadzone poprawnie i w następujący sposób:
- Nazwa: wybierz niestandardową nazwę dla swojego nowego profilu VPN
- Algorytmy mieszające: sha512
- Algorytm szyfrowania: AES-256
- Grupa DH: modp3072
- Przejrzyj sugestie: przestrzegaj
- Czas życia: nie zmieniaj domyślnego 1d 00:00:00
- Interwał DPD: 120
- Maksymalna awaria DPD: 5
2. Utwórz nową ofertę
Przejdź do karty Propozycje na tej samej stronie IPsec i kliknij Dodaj nowy. Aby uniknąć problemów technicznych, pola prezentowane na tym etapie muszą zostać wypełnione w określony sposób. Wypełnij odpowiednie pola w następujący sposób:
- Zaznacz opcję Włączone
- Nazwa: wybierz niestandardową nazwę
- Algorytmy autora: sha512
- Algorytmy szyfrowania: AES-256 gcm
- Grupa PFS: modp3072
3. Utwórz grupę
W tym momencie przejdź do zakładki Grupy i naciśnij opcję Dodaj nowy. Wprowadź nazwę nowej grupy i kliknij OK. Teraz musisz utworzyć politykę IPsec na swoim routerze Mikrotik. Przejdź do zakładki Zasady i kliknij opcję Dodaj nowe. Wypełnij pola w następujący sposób i kliknij OK:
- Zaznacz opcję Włączone
- Nazwa: wybierz niestandardową nazwę
- Adres Src: Nie zmieniaj domyślnego adresu 0.0.0.0/0
- Adres Dst: Nie zmieniaj domyślnego adresu 0.0.0.0/0
- Protokół: 255 (cały)
- Szablon: zaznacz opcję
- Grupa: Domyślna (upewnij się, że jest to ta sama opcja, którą utworzyłeś w kroku 6)
- Operacja: Szyfrowanie
- Protokoły IPsec: szczególnie
- Oferta: Wybierz ofertę, którą już utworzyłeś
4. Wybierz nazwę konfiguracji i utwórz partnera IPsec
Przejdź do karty Konfiguracje trybu w tej samej sekcji IPsec i naciśnij Dodaj nowy. Wprowadź nazwę konfiguracji i kliknij Zastosuj → OK. Utwórz partnera IPsec na karcie IPsec è Peers. Kliknij opcję Dodaj nowy. Po wprowadzeniu następujących informacji kliknij Zastosuj i OK:
- Nazwa: wybierz niestandardową nazwę
- Adres: Wpisz adres IP wybranego serwera VPN (znajdziesz go w polu IPS utworzonych ustawień)
- Profil: Wybierz utworzony profil
- Wyślij INITIAL_CONTACT: Ta opcja musi być zaznaczona
5. Identyfikacja
Po wykonaniu wszystkich wymienionych kroków musisz utworzyć nową tożsamość. Aby to zrobić, najpierw wybierz opcję Dodaj nowy w zakładce IPsec è Tożsamości, następnie wypełnij podane pola w podanej kolejności i wybierz Zastosuj è OK.
- Zaznacz opcję Włączone.
- Partner: Wybierz partnera, którego dodałeś wcześniej
- Metoda kompilacji: eap
- Metody EAP: MS-CHAPv2
- Licencja: Wybierz wcześniej przesłaną licencję ikev2
- Licencja zdalna: brak
- Nazwa użytkownika: Wprowadź informacje w polu logowania do ręcznej konfiguracji VPN
- Hasło: Wprowadź hasło do ustawień konfiguracji ręcznej
- Grupa szablonów polityk: Wybierz utworzoną politykę
- Typ identyfikatora: automatyczny
- Typ identyfikatora zdalnego: automatyczny
- Zgodność poprzez: Zdalny identyfikator
- Konfiguracja trybu: Wybierz nazwę konfiguracji, którą dodałeś wcześniej
- Utwórz politykę: W zależności od portu
6. Sprawdź połączenie
Nawiązane połączenia można sprawdzić w zakładkach Aktywni partnerzy i Zainstalowane SA w sekcji IPsec. Aby wysłać cały ruch do tunelu, musisz utworzyć listę adresów w swojej sieci lokalnej. W tym celu wybierz opcję Dodaj nowy poprzez Zaporę sieciową è Listy adresowe. W polu Nazwa wybierz swoją sieć lokalną i wpisz adres IP oraz długość prefiksu sieci w polu Adres.
Teraz musisz przypisać tę listę do konfiguracji trybu. Aby to zrobić, przejdź do IPsec → Konfiguracje trybu → KeepSolid-VPN i wybierz właśnie utworzoną listę z rozwijanego menu przed polem Src. Wybierz Lista adresów. Nie zapomnij wyłączyć reguły FastTrack poprzez zaporę sieciową è Reguły filtrowania.
Aby uzyskać więcej informacji technicznych, możesz skorzystać ze szkolenia dotyczącego konfiguracji ikev2 w Mikrotik zawartego w tutorialu i skorzystać z niezbędnego szkolenia dotyczącego konfiguracji ikev2 na routerze Mikrotik.
Szkolenie z zarządzania użytkownikami z Mikrotik – kliknij
Dowiedz się, jak wysłać wymagany ruch przez tunel VPN
Po wykonaniu wszystkich tych kroków w celu skonfigurowania ikev2 na Mikrotik, powinien on nauczyć się wysyłać tylko potrzebny ruch przez tunel VPN. Aby to zrobić, wykonaj poprawnie i w odpowiedniej kolejności następujące kroki:
- Utwórz token połączenia z adresu IPsec è Konfiguracje trybu è Dodaj/edytuj
- Poprzez Zaporę sieciową è Listy adresów kliknij opcję Dodaj nowy, aby dodać wymagany adres IP do listy adresów. Możesz dodać inny adres IP z tą samą nazwą listy adresów.
- Wybierz opcję Mangle na stronie Zapora sieciowa, aby utworzyć nową regułę Mangle. Wybierz opcję Dodaj nowy i uzupełnij dostępne pola
Wypełnienie pola połączenia tokenowego
Jeśli poprawnie wykonałeś powyższe kroki, powinieneś wypełnić wymagane pola, aby dodać nową regułę Mangle. Podobnie jak inne pola wymienione w instrukcji konfiguracji ikev2 w Mikrotik, to pole również powinno zostać wypełnione konkretnymi informacjami:
- Zaznacz opcję Włączone
- Łańcuch: wstępne trasowanie
- Lista adresów Dst: Dodaj dodaną wcześniej listę adresów
- Operacja: zaznacz połączenie
- Nowy token połączenia: Wybierz token połączenia dodany w pierwszym kroku
Ważne jest to, że jeśli masz włączoną funkcję FastTrack, musisz edytować regułę. Wystarczy wybrać znak połączenia w odpowiednim polu Znak połączenia i kliknąć opcję OK. To kończy konfigurację ikev2 na routerze Mikrotik.
Należy zauważyć, że jeśli interesują Cię sieci komputerowe, ich zastosowanie, zalety i bezpieczeństwo, możesz zdobyć wiedzę w swojej dziedzinie, korzystając z zajęć pozalekcyjnych i elementów szkoleń przewidzianych w ramach szkolenia w zakresie sieci komputerowych.
Konfigurujemy ikev2 na Mikrotik przy użyciu Nord VPN.
Routery MikroTik z interfejsem użytkownika RouterOS w wersji 6.45 nowszej umożliwiają utworzenie tunelu IKEv2 EAP VPN do serwera NordVPN. Aby skonfigurować ikev2 na Mikrotik za pomocą Nord VPN, możesz to zrobić:
- Otwórz terminal konfiguracyjny RouterOS
- Uruchom polecenia /tool fetch url=”https://downloads.nordcdn.com/certificates/root.der i /certificate import file-name=root.der i zainstaluj licencję głównego urzędu certyfikacji NordVPN
- Przejdź do https://nordvpn.com/servers/tools/ i znajdź dla siebie polecany host półserwera.
- Teraz musisz skonfigurować tunel IPsec. Najlepiej byłoby utworzyć oddzielny profil fazy 1 i propozycję konfiguracji fazy 2, aby uniknąć konfliktu z istniejącą lub przyszłą konfiguracją protokołu IPsec. Podczas gdy to
- czy możliwe jest użycie domyślnego szablonu polityki do utworzenia polityki, najlepiej utworzyć nową grupę i szablon, aby oddzielić tę konfigurację od innych konfiguracji IPsec.
- Utwórz nowy tryb logowania konfiguracyjnego z odpowiedzią = no, która żąda parametrów konfiguracyjnych z serwera
- Twórz konfiguracje równorzędne i tożsamości. W parametrach nazwy użytkownika i hasła określ swoje dane uwierzytelniające NordVPN.
- Teraz wybierz, co chcesz wysłać przez tunel VPN. Przede wszystkim musisz utworzyć nową listę adresów IP/zapory sieciowej/adresów obejmującą Twoją sieć lokalną.
- Następnie przypisz nowo utworzony katalog IP/Firewall/Adres do konfiguracji mode-config.
- Upewnij się, że podczas tworzenia tunelu dynamicznie generowana jest poprawna źródłowa reguła NAT
Specjalistyczna praca wymaga specjalistycznego szkolenia.
W tym artykule dowiedzieliśmy się, jak skonfigurować ikev2 w Mikrotiku, ale nie zapominaj, że jest to dość specjalistyczne zadanie. Dlatego jeśli zamierzasz wykonywać swoją pracę jak najlepiej, lepiej najpierw przejść niezbędne szkolenie.
Jednym ze sposobów, aby dowiedzieć się, jak skonfigurować ikev2 w Mikrotik, jest zapoznanie się z tutorialem i przejrzenie dostarczonych tutoriali. W ramach zajęć pozalekcyjnych, oprócz wspomnianych szkoleń, możesz skorzystać ze szkoleń z podstaw obsługi komputera, szkoleń z oprogramowania, szkoleń z zakresu bezpieczeństwa sieci i różnych innych szkoleń. Nie zapominaj, że specjalistyczne szkolenie jest kluczem do sukcesu.
Pobierz zerowe motywy WordPressPobierz najlepsze motywy WordPress do pobrania za darmoBezpłatne pobieranie motywów WordPressPobieranie premium motywów WordPressudemy do pobrania za darmopobierz oprogramowanie CoolpadaPobierz bezpłatne motywy WordPress Premiumkurs Lyndy do pobrania za darmo