آموزش راه اندازی سرور VPN IKEv2 در میکروتیک

22 فروردین 1399

نصب و راه اندازی IKEv2 در میکروتیک سخت و پیچیده نیست، در این مقاله روش انجام تنظیمات لازم برای راه اندازی سرور VPN IKEv2 در Mikrotik را به شما عزیزان به صورت تصویری و مرحله به مرحله آموزش خواهیم داد، همراه داتیس نتورک باشید.

راه اندازی IKEv2

برای نصب و راه اندازی IKEv2 باید مراحل این اموزش را با دقت انجام دهید، با این روش اتصال برای دستگاه های iOS نیز تست شده است و بدون مشکل می توانید استفاده کنید.

مرحله اول : ساخت Self-Signed Certificates در RouterOS

خب! یک پنجره ترمینال در winbox باز کنید و ادامه دنبال کنید.

برای ساخت یک Self-Signed CA certificate دستور زیر را وارد کنید:

/certificate add name=my.ca common-name=my.ca key-usage=key-cert-sign,crl-sign trusted=yes
/certificate sign my.ca

سپس برای سرور VPN باید یک certificate بسازیم ، آن را sign و trust کنیم :

/certificate add name=vpn.server common-name=vpn.server
/certificate sign vpn.server ca=my.ca

سپس :

/certificate set trusted=yes vpn.server

سپس برای کلاینت VPN یک certificate ایجاد کنید و آن را sign کنیم:

/certificate add name=vpn.client common-name=vpn.client
/certificate sign vpn.client ca=my.ca

سپس :

/certificate set trusted=yes vpn.client

اکنون از CA certificate یک Export میگیریم:

/certificate export

اکنون CA certificate ای که اکسپورت گرفتیم در قسمت Files با نام cert_export_my.ca.crt ذخیره شده است.

و گواهی کلاینت را با یک Passphrase یا همان پسورد Export میگیریم :

/certificate export-certificate vpn.client export-passphrase=12345678 type=pkcs12

فایل مربوط به کلاینت اکنون در قسمت Files با نام cert_export_vpn.client.p12 ذخیره شده است.

آموزش راه اندازی IKEv2 در میکروتیک

توجه: اگر کنجکاو هستید بدانید که ، pkcs12 بسته ای است که شامل کلید خصوصی و گواهی نامه امضا شده است. این یک فرمت پرونده است که iOS آن را درک می کند.

مرحله دوم : کانفیگ و راه اندازی IKEv2 در RouterOS

خب! این مرحله ریزه کاری های خاصی دارد.

ساخت IP Pool

ابتدا بررسی کنید اگر سرویس های PPTP ، L2TP یا SSTP VPN را فعال داشته باشید یا ممکن است قبلا یکی از آنها را داشته باشید.

می توانید از Pool های موجود مجددا استفاده کنید یا یک IP Pool جدید فقط برای IKEv2 VPN ایجاد کنید.

برای ساخت دستور زیر را بزنید :

/ip pool add name=vpn ranges=192.168.89.0/24

راه اندازی IKEv2 در میکروتیک

ساخت یک IPSec Mode Config جدید

دستور زیر را وارد کنید :

/ip ipsec mode-config
add address-pool=vpn name=cfg1 static-dns=8.8.8.8 system-dns=no

مرحله دوم : کانفیگ و راه اندازی IKEv2 در RouterOS

ساخت یک IPSec Proposal

این دستور را وارد کنید :

/ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ios-ikev2-proposal pfs-group=none

آموزش راه اندازی IKEv2 در میکروتیک

ساخت یک IPSec Peer

دستور زیر را وارد کنید:

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=server dh-group=modp2048 dpd-interval=1h \
enc-algorithm=aes-256,aes-128 exchange-mode=ike2 generate-policy=port-strict hash-algorithm=sha256 \
lifetime=1h mode-config=cfg1 my-id=fqdn:vpn.server passive=yes remote-certificate=vpn.client \
send-initial-contact=no

خب! تمام شد کانفیگ و راه اندازی IKEv2 در میکروتیک.

مرحله سوم : نصب Certificates روی موبایل

ما باید هر دو Client certificate و CA certificate را روی دستگاه نصب کنیم.

برای این فرآیند ما برای دریافت گواهینامه های آیفون به کمی کمک (پایتون) احتیاج داریم.

iOS به شما امکان می دهد از Safari برای نصب گواهی نامه از یک وب سایت استفاده کنید.

می توانیم دو پرونده گواهی لازم را کپی کرده و از پایتون برای اجرا استفاده کنیم.

آموزش راه اندازی IKEv2 در میکروتیک مراحل مطابق تصویر متحرک فوق :

1- فایل های .crt,.p12 را از قسمت Files در وین باکس خود بکشید و در پوشه ای داخل کامپیوتر کپی کنید.

2- روی دایرکتوری مورد نظر CMD را باز کنید.

3- دستور زیر را وارد کنید :

python -m http.server --cgi 8000

4- جالا در گوشی موبایل در مرورگر آدرس زیر را وارد کنید :

http://{PCsIPADDR}:8000/

نکته : سیستم کامپیوتر و گوشی باید در یک شبکهه باشند.

5- زمانی که از شما برای نصب گواهینامه درخواست شد، قبول کنید.

روش دیگر برای نصب گواهینامه ها :

پایتون را نصب ندارید؟ مشکلی نیست می توانید این گواهینامه ها را به عنوان پیوست به خود ایمیل ارسال کرده و آنها را از طریق سرویس گیرنده پست الکترونیکی روی تلفن خود نصب کنید.