Не получается настроить IPSec на Mikrotik

[Nick2342342]

Приветствую всех! есть роутер Mikrotik RB2011,хочу настроить на нем VPN IPsec IKEv2,чтобы можно было подключаться к локальной сети с клиентов Windows и Iphone через интернет.

 

Что я сделал:

 

1.Создал корневой сертификат, сертификат сервера и сертификаты для клиентов.

 

В сертификате сервера указал DNS из Вкладки IP-Cloud на Mikrotik,так как купленного домена нет.

 

остальным сертификатам назначил произвольные имена.

 

2. Задал IP-адрес на Loopback интерфейс.

    Добавил пул IP- адресов для клиентов.

 

3.Настроил mode config,profiles,peers,proposal,policy,identity.

 

Firewall не настраивал

 

4.Экспортировал сертификат клиента windows на ПК, установил его на локальном компьютере, ввел пароль от сертификата.

 

5.Создал подключение по VPN, указал адрес -адрес DNS в сертификате сервера, адрес назначения- адрес в сертификате клиента windows.

 

получил ошибку соединения:

 

удаленное подключение не установлено так как не удалось разрешить.

 

6.Отключил Брандмауэр на ПК. Не помогло.

 

  DNS пингуется с ПК

 

 

7.Поробовал настроить NAT

 

Chain Src nat 

Src address 192.168.40.0/24 - это адрес сети для IKE2

 

Out.Interface: ether 1

 

Action: src-nat

 

To address: адрес DNS который я использовал для сертификата сервера (на роутере во вкладке cloud)

 

результат тот же, помогите пожалуйста разобраться что я делаю не так

 

 

 

 

 

 

 

 

 

5.Создал подключение по VPN, указал адрес -адрес DNS в сертификате сервера, адрес назначения- адрес в сертификате клиента windows.

 

получил ошибку соединения:

 

Удаленное подключение не удалось установить, поскольку не удалось разрешить имя сервера удаленного доступа

 

[jffulcrum]

1 час назад, Nick2342342 сказал:

3.Настроил mode config,profiles,peers,proposal,policy,identity

Покажите скрины или конфиг

 

1 час назад, Nick2342342 сказал:

4.Экспортировал сертификат клиента windows на ПК, установил его на локальном компьютере, ввел пароль от сертификата.

Наверное, импортировали. А импортировали ли корневой? И импортировали и вы его в профиль компьютера? Потому как VPN-клиент работает от локальной системы, и корневой должен быть и в хранилище компьютера.

 

Что в логах роутера при попытке подключения с клиента?

[naves]

2 hours ago, Nick2342342 said:

Удаленное подключение не удалось установить, поскольку не удалось разрешить имя сервера удаленного доступа

Спросите в гугле и поговорите об этом любой нейросетью....

[Nick2342342]

Цитата

Покажите скрины или конфиг

Policies:

 

Src.Address: 0.0.0.0/0

Dst.Address: 192.168.40.0/24

Protocol: 255 (all)

 

Proposal:

Name: proposal.vpn.sn.mynetname.net

Auth.Algorithms: sha1,sha256,sha512.

Encr. Algorithms: aes-128cbc,aes-192cbc, aes-256cbc.

                               aes-128ctr, aes-192ctr,aes-256ctr.

                               aes-128gcm, aes-192gcm, aes-256gcm.

lifetime:08:00:00

 

Groups:

Name: group.vpn.sn.mynetname.net

 

Peers:

Name: peer 45.15.125.156

Address: ::/0

Local address: 45.15.125.156

Profile: vpn.sn.mynetname.net

Exchange mode: IKE2

Passive

 

Identities:

Peer: 45.15.125.156

Auth. Method: digital signature

Certificate:434gffd. vpn.sn.mynetname.net

Remote Certificate: client.windows@vpn.ru

Policy template group: group.vpn.sn.mynetname.net

My ID Type: Auto

Remote ID Type: user fqdn

Remote ID: client.windows@vpn.ru

Match by: certificate

Mode configuration: vpn.sn.mynetname.net

 

Profiles:

Name: vpn.sn.mynetname.net

Hash Algorithms: sha256

PRF   Algorithms: Auto

Encryption Algorithm: aes-128, aes-192, aes-256.

DH Group: modp1024, modp1536, modp2048.

Proposal check: obey

lifetime: 1d 00:00:00

NAT traversal

DPD Interval: 120

 

Mode Config:

Name: vpn.sn.mynetname.net

Responder

Address pool: pool-434gffd. vpn.sn.mynetname.net

Address Prefix Length: 32

Split include: 0.0.0.0/0

Static DNS: 192.168.40.1

 

[jffulcrum]

Для identities в certificate у вас должно быть две строки: первая - сертификат сервера, вторая - сертификат CA. Потому что клиенту надо проверить всю цепочку сертификатов.

 

В 23.10.2025 в 18:41, jffulcrum сказал:

Что в логах роутера при попытке подключения с клиента?

 

[Nick2342342]

jffulcrum

Цитата

Что в логах роутера при попытке подключения с клиента?

в логах ничего нет

 

                                                                 

 

Цитата

Для identities в certificate у вас должно быть две строки: первая - сертификат сервера, вторая - сертификат CA. Потому что клиенту надо проверить всю цепочку сертификатов.

Certificate:434gffd. vpn.sn.mynetname.net- это сертификат сервера

Remote Certificate: client.windows@vpn.ru - это сертификат клиента

между ними добавит сертификат СА?

 

[zander]

На винде был ещё прикол, что сертификат нужно импортировать на машину, а не на пользователя

[Saab95]

Без сертификата же можно работать, просто по фразе - паролю.

[Nick2342342]

подключил у провайдера белый Ip,пересоздал сертификаты с этим ip,установил на пк сертификаты: корневой и клиента.

При подключении на ПК ошибка:

НЕ удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает.

[jffulcrum]

Вы в Ip -Firewall разрешили в input порты UDP 500, 4500?

[Nick2342342]

Цитата

Вы в Ip -Firewall разрешили в input порты UDP 500, 4500?

Да

[Saab95]

6 часов назад, jffulcrum сказал:

Вы в Ip -Firewall разрешили в input порты UDP 500, 4500?

Зачем в файрволе вообще все запрещать? Нужно запрещать только то, что действительно не нужно, а не все, и после разрешающие правила.

[jffulcrum]

@Nick2342342 В Windows в журнале событий (приложений) RASMAN что записывает при попытке подключения?

[Nick2342342]

jffulcrum

Пользователь установил удаленное подключение IKEv2,которое завершилось сбоем, возвращен код ошибки 809

[jffulcrum]

Это, скорее всего, проблема с сертификатами. Третий раз вопрос: вы сертификат СФ импортировали в хранилище компьютера?

[Nick2342342]

jffulcrum

да,Сертификат CA импортировал и сертификат клиента (с паролем)