VPS с AES-NI
Приветствую!
У кого DO, Vultr, time4vps - можете выложить выхлоп?
# lscpu | grep '^CPU(s):'
# grep -o aes /proc/cpuinfo | wc -l
Приветствую!
У кого DO, Vultr, time4vps - можете выложить выхлоп?
# lscpu | grep '^CPU(s):'
# grep -o aes /proc/cpuinfo | wc -l
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Groups
На сервере сделано:
/certificate
add common-name=ca name=ca
sign ca ca-crl-host=192.168.0.89
add common-name=192.168.0.89 subject-alt-name=IP:192.168.0.89 key-usage=tls-server name=server1
sign server1 ca=ca
/ip pool add name=rw-pool ranges=192.168.77.2-192.168.77.254
/ip ipsec proposal
add name=rw-proposal pfs-group=none
/ip ipsec mode-conf
add name=rw-conf system-dns=yes address-pool=rw-pool address-prefix=32
/ip ipsec policy
group add name=rw-policies
add template=yes dst-address=192.168.77.0/24 group=rw-policies proposal=rw-proposal
/ip ipsec peer
add auth-method=rsa-signature certificate=server1 generate-policy=port-strict \
mode-config=rw-conf passive=yes remote-certificate=none exchange-mode=ike2 \
policy-template-group=rw-policies
/certificate
add common-name=RouterOS_client name=RouterOS_client key-usage=tls-client
sign RouterOS_client ca=ca
export-certificate RouterOS_client export-passphrase=1234567890 type=pkcs12
На клиенте сделано:
/certificate import file-name=cert_export_RouterOS_client.p12 passphrase=1234567890
/put [/certificate get [find common-name=RouterOS_client] name]
/ip ipsec peer
add address=192.168.0.89 auth-method=rsa-signature certificate=cert_export_RouterOS_client.p12_0 \
mode-config=request-only exchange-mode=ike2 generate-policy=port-strict
/ip ipsec
remote-peers print
installed-sa print
/certificate
add common-name=Windows_client name=Windows_client key-usage=tls-client
sign Windows_client ca=ca
export-certificate Windows_client export-passphrase=1234567890 type=pkcs12
Соединение устанавливается,
/ip ipsec> remote-peers print
Flags: R - responder, N - natt-peer
# ID STATE
0 192.168.0.89 established
Но как пустить весь трафик на клиенте через сервер? В политиках не разбираюсь совсем..
Добрый день!
Попытался настроить сервер Strongswan на работу c IKEv2 вместо L2TP/IPsec. Но есть две проблемы, помогите с решением, плиз 😞
1. Как сейчас весь трафик с клиентских портов заворачивать в туннель IKEv2? Раньше делал маскарад на выходной интерфейс l2tp-out, но теперь его там нет 🙁
2. Интернета нет на клиентах iOS и macOS (даже без MikroTik)
( читать дальше... )
/etc/ipsec.conf
( читать дальше... )
/etc/sysctl.conf
( читать дальше... )
iptables
( читать дальше... )
Добрый день!
Сейчас использую L2TP/IPsec с Debian & Strongswan на сервере и RouterOS & iOS на клиентах - все работает замечательно. Но ужасно раздражает включать туннель каждый раз в настройках при подключении на iOS. Узнал про возможность создать профиль для поддержки On Demand на iOS или профилировать Always-on VPN через Apple Configurator. Но нет возможности сложить все мысли в кучу, чтобы приступить к задуманному.
1. На чем проще поднимать IKEv2 сервер? Strongswan или Cloud Hosted Router? Cloud Hosted Router поддерживает AES, но по факту пишут и обратное.
2. Не могу понять, какая авторизация нужна для On Demand или Always-on VPN на iOS. Логин-пароль или по сертификату?
3. Если нужен сертификат, то нужна регистрация домена VPS? Let's Encrypt работает просто по IP?
Дайте толчок к реализации задуманного, чувствую переход с L2TP на IKE будет очень болезненным Спасибо за помощь заранее 🤗