+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Поддержка Cisco VPN Client с PSK+XAuth нативно на RouterOS

Поддержка Cisco VPN Client с PSK+XAuth нативно на RouterOS, RouterOS

BalkanBoy

Guest

07.01.2015 10:20:00

Я только что получил RB400 и крайне разочарован тем, что после множества часов попыток не смог настроить роутер в режиме VPN-клиента к Cisco VPN-концентратору. Мне это удаётся сделать на Linux через «vpnc» и/или «StrongSwan», а также на MacBook Pro под управлением OS X, который без проблем подключается к нашей корпоративной VPN. На данный момент IPSec в RouterOS для меня бесполезен при подключении к корпоративной VPN — и прежде чем вы предложите, нет, большинство из нас не может менять VPN-политики на стороне сервера под клиента IPSec в RouterOS. Пожалуйста, сделайте нативное решение для RouterOS, поддерживающее Cisco VPN/IPSec так же, как «vpnc», «StrongSwan» или OS X — это необходимо, и я удивлён, что этого до сих пор нет. Использовать MetaRouter и подобные вещи — костыль, а я хочу пользоваться RouterOS и не перепрошивать RB400 на OpenWRT, если это возможно.

Lobogc

Guest

28.06.2015 08:50:00

Привет, у меня такая же проблема и, соответственно, такой же запрос. Основная сложность, с которой я столкнулся, — это ограниченные возможности параметра «My ID» в настройках IPSEC. Для «Cisco IPSEC» мы должны иметь возможность указывать его как «Key Identifier» (в пакете ISAKMP в «Identification Payload» тип ID должен быть "KEY_ID") — то есть «KEY_ID», но сейчас это невозможно (предлагаются только варианты «auto», «fqdn» и «user_fqdn»). Единственное решение, представленное пока, датируется 2009 годом и находится здесь: http://forum.mikrotik.com/t/mikrotik-as-cisco-vpn-client/27450/1 — там рекомендуют установить метарутер OpenWRT с vpnc. Другие темы тоже касаются этой проблемы, например, вот эта: http://forum.mikrotik.com/t/roadwarrior-setup-for-ros/87440/1. Если бы эта функция работала на моём оборудовании Mikrotik, это было бы огромным плюсом. С уважением, Lobogc.

Circuitsoft

Guest

02.10.2015 14:51:00

Чтобы добавить немного деталей: Group ID кодируется так же, как и FQDN ID, но у него ID_TYPE равен 11 вместо 3. Можно ли это реализовать достаточно просто и быстро? Кажется, нужен всего лишь ещё один элемент перечисления. Вот фрагмент из исходников VPNC:

/* Типы идентификации IPSEC. */
enum isakmp_ipsec_id_enum {
ISAKMP_IPSEC_ID_RESERVED = 0,
ISAKMP_IPSEC_ID_IPV4_ADDR,
ISAKMP_IPSEC_ID_FQDN,
ISAKMP_IPSEC_ID_USER_FQDN,
ISAKMP_IPSEC_ID_IPV4_ADDR_SUBNET,
ISAKMP_IPSEC_ID_IPV6_ADDR,
ISAKMP_IPSEC_ID_IPV6_ADDR_SUBNET,
ISAKMP_IPSEC_ID_IPV4_ADDR_RANGE,
ISAKMP_IPSEC_ID_IPV6_ADDR_RANGE,
ISAKMP_IPSEC_ID_DER_ASN1_DN,
ISAKMP_IPSEC_ID_DER_ASN1_GN,
ISAKMP_IPSEC_ID_KEY_ID
};

mrz Guest	#4 0 07.10.2015 09:43:00 Появилась новая опция для ipsec peer, которая позволяет клиенту Cisco VPN подключаться при использовании Group ID. compatibility-options=skip-peer-id-validation

drkop

Guest

10.10.2015 21:29:00

Привет! Мой запрос на новую функцию — добавить KEY-ID в конфигурацию Mikrotik Ipsec Peer, чтобы использовать Mikrotik как клиента для ASA. Речь не о том, чтобы использовать «EasyVPN Cisco client» вместе с Mikrotik. ASA позволяет создавать разные группы с PSK, а не только одну по умолчанию. Когда Mikrotik пытается установить соединение с ASA, он не отправляет имя группы, и ASA использует группу по умолчанию, что не подходит. Обычно группа по умолчанию используется как шаблон, а не как рабочая. Поэтому я «за» такую функцию, поднимаю две руки. =) Спасибо!

Lobogc Guest	#6 0 01.11.2015 12:47:00 Привет! Как объяснил drkop, параметр «compatibility-options=skip-peer-id-validation» здесь не подходит. Я проверял свою конфигурацию с этим параметром — результат остался прежним. Подробно запрос объяснил Circuitsoft: для Group ID нужно заполнить ID_TYPE, ожидается «KEY_ID», но, полагаю, одновременно стоит добавить и все остальные недостающие поля. Заранее спасибо!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры