История изменений
Исправление NDfan, (текущая версия) :
Полезно иметь в виду такое замечание:
Client Configuration
When using IKEv2 with EAP authentication (username/password) the CA certificate is required on the clients to verify the server certificate. If a certificate issued by CA that the clients already trust is used, e.g. one by Let’s Encrypt, nothing has to be installed on the clients.
При этом участь, что Mirotik любит контейнеры P12 (а не PEM).
Более-менее подходящие под данный случай статьи:
https://help.mikrotik.com/docs/display/ROS/IPsec#IPsec-RouterOSclientconfigur...
https://habr.com/ru/post/250859/ («Настройка клиентов» и общий ликбез).
Т.е. нужна простенькая конфигурация road-warrior(mikrotic-client) - to - SITE по логину паролю, и возможно загруженная связка fullchain без ключа, для опознавания сервера (сконвертированная в другой формат). А может, она и не потребуется, раз сервер на белом IP, с сертификтом Lets-Encrypt, выпущенным общеизвестным CA.
А там уж какие ещё подводные камни, это смотрите по ходу решения.
Исходная версия NDfan, :
Полезно иметь в виду такое замечание:
Client Configuration
When using IKEv2 with EAP authentication (username/password) the CA certificate is required on the clients to verify the server certificate. If a certificate issued by CA that the clients already trust is used, e.g. one by Let’s Encrypt, nothing has to be installed on the clients.
При этом участь, что Mirotik любит контейнеры P12 (а не PEM).
Более-менее подходящие под данный случай статьи:
https://help.mikrotik.com/docs/display/ROS/IPsec#IPsec-RouterOSclientconfigur...
https://habr.com/ru/post/250859/ («Настройка клиентов» и общий ликбез).
Т.е. нужна простенькая конфигурация road-warrior(mikrotic-client) - to - SITE по логину паролю, и возможно загруженная связка Fullchain (сконвертированная в другой формат). А может и не потребуется, раз сервер на белом IP, с сертификтом Lets-Encrypt, выпущенным общеизвестным CA.
А там уж какие ещё подводные камни, это смотрите по ходу решения.