IPSec - предварительно заданный ключ - XAUTH с названием группы

Ранее это было верно, но сейчас уже не так. В текущей версии (6.44+), вы можете различать удаленных инициаторов по полю протокола, называемому «идентичность», а не только по IP-адресу, с которого (или за которым) они подключаются. Для каждой такой идентичности вы можете настроить собственный предустановленный ключ и строку настройки режима - все это на одном пире. Что остаётся верным, так это то, что групповой идентичности нет - вам решать, назначите ли вы нескольким идентичностям одно и то же значение предустановленного ключа и/или один и тот же профиль настройки режима, ссылающийся на один и тот же /ip pool.

При использовании L2TP через IPsec, вам не нужно слишком много делать на уровне IPsec, так как одного общего PSK для всех пользователей будет достаточно (если не учитывать вопросы безопасности). Иерархия профилей PPP и их функциональный набор могут быть использованы для организации учетных записей пользователей (/ppp secret items) в группы. С помощью /ppp profile вы можете назначить IP-адрес каждого аккаунта в адресный список /ip firewall по вашему выбору, и/или вы можете добавить динамически созданный интерфейс каждого аккаунта в список интерфейсов по вашему выбору. Дополнительная информация: http://forum.mikrotik.com/t/filter-rules-for-pptp-user/130738/1 Используя IKEv2 на Windows, вам все равно придется использовать сертификат машины, если вы хотите воспользоваться встроенным VPN-клиентом Windows, и сам сертификат может быть использован для выбора строки /ip ipsec identity (используя match-by=certificate); каждая строка /ip ipsec identity затем может ссылаться на строку /ip ipsec mode-config, которая дополнительно ссылается на пул адресов, используемый для клиентов, которые получают свои настройки через указанную строку mode-config; ваши конкретные правила брандмауэра для групп пользователей затем должны соответствовать диапазонам адресов (пулы адресов). Преимущество IKEv2 по сравнению с L2TP заключается в том, что вы можете отправить клиентам Windows список подсетей, которые они могут использовать через VPN. Что касается iOS, мне незнакомы параметры для IKEv2, которые могут быть установлены в встроенном VPN-клиенте. Как здесь указано, аутентификация клиента EAP без необходимости во внешнем RADIUS-сервере, похоже, осуществляется внутри туннеля, так что через пару месяцев мы можем увидеть индивидуальные настройки, которые можно будет настроить с помощью встроенного User Manager.

set this my-id=key-id my-id=groupID

только на Windows с использованием утилиты Cisco Client VPN, я не думаю, что Windows поддерживает это изначально

Вы имели в виду, что эта строка не будет работать, если MT будет действовать как ответчик?

Большое спасибо, эта часть стала намного яснее.

/ip ipsec peer add name=some-peer exchange-mode=main address=/ip ipsec identity add peer=some-peer my-id=key-id: mode-config=request-only generate-policy=port-strict auth-method=pre-shared-key-xauth secret=xauth-login=xauth-password= Но, вероятно, вам придется потратить некоторое время на /ip ipsec profile и /ip ipsec proposal, чтобы они соответствовали тем, что поддерживает Cisco responder.