http://mikrotik.moscow Новое в теме Решено: iOS 13 и macOS Catalina IKEv2 VPN больше не работает. форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sat, 04 Apr 2026 06:35:10 +0300 Решено: iOS 13 и macOS Catalina IKEv2 VPN больше не работает. RouterOS в форуме RouterOS.
theprojectnewbie, у меня все работало на IOS12 / High Sierra, но после обновления до IOS13 / Catalina у меня возникло множество различных проблем. Подумав, что это связано с проблемой SAN, о которой ты упомянул выше, я все стер и начал заново, создавая имена SAN, идентичные твоим для тестирования. Мы хотели бы сделать это рабочим для 3 пользователей, каждый из которых имеет MacBook и iPhone. Мне интересно, как насчет твоих сертификатов, ты генерируешь все сертификаты на Mikrotik и экспортируешь их напрямую на устройства Mac или тебе нужно использовать Apple Configurator 2, чтобы отключить поддержку EAP согласно этой статье (https://itimagination.com/mikrotik-ikev2-vpn-server-setup-guide/)? Когда это работало несколько месяцев назад на наших iPhone, удаленный ID и имя сервера были установлены на DNS-имя, которое разрешалось в наш MicroTik, это то же самое, что и у тебя, или ты указываешь его через IP (что на самом деле предпочтительнее, если есть какая-то серьезная проблема с DNS)? Также, для LocalID, ты указываешь что-то или оставляешь пустым? В наших конфигурациях iPhone, которые раньше работали, они были пустыми. Вот наши сертификаты на данный момент. Я хотел бы добавить всего 6, по одному для каждого iPhone/ноутбука. Флаги: K - закрытый ключ, L - crl, C - ключ смарт-карты, A - центр сертификации, I - выдано, R - отозвано, E - истек, T - доверенный НАЗВАНИЕ                       ОБЩЕЕ НАЗВАНИЕ                       SUBJECT-ALT-NAME                                                   ОТПЕЧАТОК 0 K  A  T companyname.ca                   companyname.ca 1 K  A    vpn.server                      vpn.server                           DNS:vpn.server 2 K   I   vpn.client                       vpn.client                           DNS:vpn.client 3 K  A    vpn.JohnB-iPhone                 vpn.JohnB-iPhone                     DNS:vpn.JohnB-iPhone
18.02.2020 20:18:00, SupermanSC.]]> http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413746 http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413746 Tue, 18 Feb 2020 20:18:00 +0300 RouterOS Решено: iOS 13 и macOS Catalina IKEv2 VPN больше не работает. RouterOS в форуме RouterOS.
Как выглядят сертификаты?
29.11.2019 14:00:00, theprojectgroup.]]> http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413745 http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413745 Fri, 29 Nov 2019 14:00:00 +0300 RouterOS Решено: iOS 13 и macOS Catalina IKEv2 VPN больше не работает. RouterOS в форуме RouterOS.
Привет! Я пытаюсь использовать вашу конфигурацию, но у меня не получается! У меня есть 2 устройства: iOS 13.2.3 и MacOS 10.15.1 [admin@Home CCR01009] /ip ipsec policy> /certificate print Флаги: K - закрытый ключ, L - CRL, C - ключ смарт-карты, A - удостоверяющий центр, I - выдан, R - отозван, E - истек, T - доверенный ИМЯ ОБЩЕЕ ИМЯ ИМЯ ДЛЯ АЛЬТЕРНАТИВ 0 K A T my.ca my.ca DNS:my.ca 1 K A vpn.server vpn.server DNS:vpn.server 2 K A vpn.client vpn.client DNS:vpn.client Все мои сертификаты имеют альтернативные имена (DNS), но я получил сообщение: VPN сервер не ответил. Есть идеи?
22.11.2019 08:43:00, Romanni4.]]> http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413744 http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413744 Fri, 22 Nov 2019 08:43:00 +0300 RouterOS Решено: iOS 13 и macOS Catalina IKEv2 VPN больше не работает. RouterOS в форуме RouterOS.
Я на самой последней версии 6.45.7, вот моя конфигурация:
/ip ipsec profile
добавить dh-group=modp2048 dpd-interval=1h enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=1h name=ikev2
/ip ipsec peer
добавить exchange-mode=ike2 name=ikev2 passive=yes profile=ikev2 send-initial-contact=no
/ip ipsec proposal
добавить auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-gcm lifetime=1h name=ios-ikev2-proposal pfs-group=modp2048
/ip pool
добавить name=default-dhcp ranges=192.168.88.10-192.168.88.254
добавить name=vpn ranges=192.168.1.250-192.168.1.253
/ip ipsec mode-config
добавить address-pool=vpn name=vpn

/ip firewall nat
добавить action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=WAN
добавить action=masquerade chain=srcnat comment="nat for vpn clients" out-interface=bridge
/ip ipsec identity
добавить auth-method=digital-signature certificate=vpn.server generate-policy=port-strict mode-config=vpn peer=ikev2 remote-certificate=vpn.client
/ip ipsec policy
установить 0 proposal=ios-ikev2-proposal

/certificate print
Флаги: K - закрытый ключ, L - crl, C - ключ смарт-карты, A - удостоверяющий центр, I - выдан, R - отозван, E - истек, T - доверенный
#         NAME                                   COMMON-NAME                                 SUBJECT-ALT-NAME                                                              FINGERPRINT                                
0 K  A  T my.ca                                  my.ca                                                                                                                  
1 K  A    vpn.server                             vpn.server                                  DNS:vpn.server                                                              
2 K  A    vpn.client                             vpn.client                                  DNS:vpn.client
14.11.2019 20:59:00, theprojectgroup.]]> http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413743 http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413743 Thu, 14 Nov 2019 20:59:00 +0300 RouterOS Решено: iOS 13 и macOS Catalina IKEv2 VPN больше не работает. RouterOS в форуме RouterOS.
Вы изменяли что-то еще в своей конфигурации IKEv2? У меня это не срабатывает, у меня есть SAN в сертификатах и на сервере, соответствующий общему имени с SAN DNS.
14.11.2019 00:32:00, pipoe2h.]]> http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413742 http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413742 Thu, 14 Nov 2019 00:32:00 +0300 RouterOS Решено: iOS 13 и macOS Catalina IKEv2 VPN больше не работает. RouterOS в форуме RouterOS.
Да, я поменял сертификаты. У тебя настройка для пира отличается от моей. Интересно, может ли это быть одной из причин. Кстати, какая версия RouterOS у тебя стоит? Моя (6.43) не похоже на твою.
14.11.2019 12:44:00, pipoe2h.]]> http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413741 http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413741 Thu, 14 Nov 2019 12:44:00 +0300 RouterOS Решено: iOS 13 и macOS Catalina IKEv2 VPN больше не работает. RouterOS в форуме RouterOS.
нет - кроме как смены на новый сертификат. Ты его изменил? Можешь показать скриншоты своих сертификатов?
14.11.2019 08:24:00, theprojectgroup.]]> http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413740 http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413740 Thu, 14 Nov 2019 08:24:00 +0300 RouterOS Решено: iOS 13 и macOS Catalina IKEv2 VPN больше не работает. RouterOS в форуме RouterOS.
Привет всем, с iOS 13 или macOS Catalina IKEv2 VPN больше не работает (клиентские сертификаты). При попытке подключения возникает ошибка: "Аутентификация пользователя не удалась". Из логов MikroTik все выглядит нормально (клиент получает IP). MacOS Mojave и iOS 12 работают отлично. Эта тема показывает ту же проблему (https://forums.developer.apple.com/thread/121193) и предлагает установить sha2-truncbug в "no" в /etc/ipsec.conf на VPN сервере. Какой параметр используется на iOS? "Похоже, что Apple тихо исправила свой код racoon, который известен ошибками с алгоритмом аутентификации SHA-256. Проблему также можно решить для шлюзов racoon, убрав hmac_sha256 из списка предложений алгоритмов аутентификации IKE фазы 2. К сожалению, iPhone с iOS 13 тогда выбирают слабый алгоритм SHA-1." Ранее были проблемы с sha2-truncbug в более ранних версиях RouterOS (http://forum.mikrotik.com/t/solved-ipsec-troubleshooting/104954/2). Вот немного информации в FAQ LibreSwan (https://libreswan.org/wiki/FAQ). Официальное объявление (IKEv1): https://support.apple.com/en-us/HT210432 Начиная с iOS 13, IPsec поддерживает HMAC-SHA-256 с IKEv1 VPN. "Чтобы убедиться, что ваши клиенты iOS 13 и macOS Catalina могут подключаться к вашему серверу IKEv1 или VPN, настройте сервер на обрезку результата хеша SHA-256 до 128 бит. Обрезка до меньшего количества бит может привести к тому, что сервер потеряет данные, которые передают клиенты VPN." Есть идеи? РЕДАКТИРОВАНИЕ - Решение: https://forum.mikrotik.com/viewtopic.php?f=2&t=153155&p=755967#p757762
20.10.2019 20:37:00, theprojectgroup.]]> http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413739 http://mikrotik.moscow/forum/forum57/87126-resheno_-ios-13-i-macos-catalina-ikev2-vpn-bolshe-ne-rabotaet./message413739 Sun, 20 Oct 2019 20:37:00 +0300 RouterOS