S
У меня авторизация по логину и паролю без сертов. Может быть, в этом засада
Поделись конфой
Size: a a a
2021 March 25
S
Не могу победить
S
Ikev2+EAP +radius?
D
Ikev2+EAP +radius?
Да, такая связка. Не сейчас, попозже
S
Да, такая связка. Не сейчас, попозже
Не спешу :) лог радиуса пустой, на клиенте 13008
RK
Не спешу :) лог радиуса пустой, на клиенте 13008
Это ошибка сертификатов
RK
Не спешу :) лог радиуса пустой, на клиенте 13008
Какой сертификат?
S
Какой сертификат?
самоподписанный. са, сервера, юзверя :)
RK
Са открытый ставили на клиента?
S
Это ошибка сертификатов
на клиенте кроме логина и пароля надо еще держать сертификат?
RK
Доменное имя есть?
RK
на клиенте кроме логина и пароля надо еще держать сертификат?
Если самоподписанный - нужен открытый от са
RK
В доверенные корневые центры сертификации
S
Доменное имя есть?
доменного нет, понял, буду ставить, я думал эта магия так работает :)
RK
Компьютера
RK
доменного нет, понял, буду ставить, я думал эта магия так работает :)
Доменное имя = common name сертификата сервера
RK
И ещё поле dns в сертификате
D
Поделись конфой
Как-то так
/ip ipsec mode-config
add address-pool=pool1-ppp address-prefix-length=32 name=ikev2-conf split-include=172.16.0.0/16 static-dns=172.16.0.1 system-dns=no
/ip ipsec policy group
add name=ikev2-policies
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name=ikev2
/ip ipsec peer
add exchange-mode=ike2 name=ikev2-server passive=yes profile=ikev2 send-initial-contact=no
/ip ipsec proposal
add auth-algorithms=sha256,sha1 lifetime=4h name=ikev2 pfs-group=none
/ip ipsec identity
add auth-method=eap-radius certificate=fullchain_le_202102,fullchain_le_ca_1 generate-policy=port-strict mode-config=ikev2-conf peer=ikev2-server policy-template-group=ikev2-policies
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ikev2-policies proposal=ikev2 src-address=0.0.0.0/0 template=yesS
спасибо ,ушел смотреть/ковырять
S
Как-то так
/ip ipsec mode-config
add address-pool=pool1-ppp address-prefix-length=32 name=ikev2-conf split-include=172.16.0.0/16 static-dns=172.16.0.1 system-dns=no
/ip ipsec policy group
add name=ikev2-policies
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name=ikev2
/ip ipsec peer
add exchange-mode=ike2 name=ikev2-server passive=yes profile=ikev2 send-initial-contact=no
/ip ipsec proposal
add auth-algorithms=sha256,sha1 lifetime=4h name=ikev2 pfs-group=none
/ip ipsec identity
add auth-method=eap-radius certificate=fullchain_le_202102,fullchain_le_ca_1 generate-policy=port-strict mode-config=ikev2-conf peer=ikev2-server policy-template-group=ikev2-policies
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ikev2-policies proposal=ikev2 src-address=0.0.0.0/0 template=yesогонь!