Мобильная версияЭта же конфигурация работает с клиентом Debian 13, использующим strongSwan.
Сообщение об ошибке в журнале RouterOS всегда идентифицируется для сервера: valid.fqdn одноранговый узел: (здесь он меняется в зависимости от конфигурации: RFC822 или FQDN или ADDR4 в зависимости от содержимого конфигурации локального идентификатора в iOS VPN)
Среда:
- MikroTik RouterOS: 7.8 с RB3011UiAS
- iOS 18.6.2 с iPhone 14
- Тип VPN: IKEv2 (IPsec)
- Клиент: встроенный VPN iOS (IKEv2)
- Аутентификация: сертификаты
Код: Выделить всё
/ip ipsec mode-config add address-pool=pool-vlan35-private name=ikev2-pool
/ip ipsec profile add dh-group=ecp256,modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 name=ikev2-profile
/ip ipsec peer add exchange-mode=ike2 name=ikev2-peer passive=yes profile=ikev2-profile
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc,aes-256-gcm name=ikev2-proposal pfs-group=ecp256
/ip ipsec identity
add auth-method=digital-signature certificate=SRV-IKEV2 generate-policy=port-strict match-by=certificate mode-config=ikev2-pool peer=ikev2-peer remote-certificate=CLI-IPHONE
- Включить общее имя в сертификат клиента
- Включить альтернативное имя субъекта в сертификат клиента
- days-valid=700, key-usage=tls-client
/> - Экспортирован в iOS как клиент, так и центр сертификации (также создан доверенный центр сертификации)
Я уверен, что что-то упускаю, но не могу найти причину.
Несколько вопросов:
- Должно ли поле Local ID в конфигурации VPN в iOS быть:
- пустым (iOS в этом случае пытается использовать локальный IP-адрес ADDR4, и соединение отклоняется)
- включить полное доменное имя (Должен ли я добавить DNS вместо электронной почты в SAN?)
- Тема Alt. Имя сертификата клиента
- Тема Альтернативный. Имя сертификата сервера (это должно быть поле Remote ID, а не локальное, но я тоже пробовал)
- Почему MikroTik отклоняет идентификатор RFC822, даже если он соответствует Alt субъекта сертификата клиента. Имя (тип электронной почты)?
Подробнее здесь: https://stackoverflow.com/questions/798 ... ate-authen
