MK VPN samsung/android

gnipet · 2022-09-06T12:25:56+00:00

Caute. Prosim Vas, nema niekto rozbehanu IKEV2/IPSEC VPN na MK ROS 6x Mal som povodne PPTP koli jednoduchosti ale na novych SAMSUNG androidoch s ich upraveny...

pintero

redmax Mám teď nový Fold4 a je to stejný....

jedla

A jde to IKEv2 rozjet i na NAT 1:1 nebo musí být přímo na routeru veřejná IP?

nofu

jedla mi to běží za NATem, takže ano, lze to bez problému rozjet, IKEv2 je NAT friendly

Levian

Mne sa to podla navodu (internet) nepodarilo rozbehat. Zasekol som sa na strane 47 IPSec Identities. Tam nedokazem zapist to co je v navode. Pise mi chybu: Peer does not exist, a este Suggestion to use stronger pre-shared key or different authentication metod
MK verz. 6.49.5
Toto sa snazim vytvorit:

/ip ipsec identity add auth-method=rsa-signature
certificate=vpn.ike2.xyz remotecertificate=
c1@vpn.ike2.xyz generatepolicy=
port-strict match-by=certificate modeconfig="
modeconf vpn.ike2.xyz" peer="peer
123.45.67.8" policy-template-group="group
vpn.ike2.xyz" remote-id=user-fqdn:c1@vpn.ike2.xyz


/ip ipsec identity add auth-method=rsa-signature
certificate=vpn.ike2.xyz remotecertificate=
c2@vpn.ike2.xyz generatepolicy=
port-strict match-by=certificate modeconfig="
modeconf vpn.ike2.xyz" peer="peer
123.45.67.8" policy-template-group="group
vpn.ike2.xyz" remote-id=user-fqdn:c2@vpn.ike2.xyz

Nejaky napad co mam zle?

gnipet

Levian
ako ti pise nemas takeho peera 123.45.67.8
tu by mall byt tvoja WAN IP

Levian

Levian peera mam vytvoreneho, aj wan ip je zadana

gnipet

skus dat export celého ip/ipsec
takto sa tazko hlada chyba

Trnec

už jsem to sem dával, tak ještě jednou: https://babcuvpisecek.com/sitarina/jak-nastavit-l2tp-ipsec-vpn-na-zarizenich-mikrotik-funkcni-step-by-step-navod/

gnipet

Trnec
to je sice pekne ale tu riesime ze na novych samsungoch take pripojenie nepridas

Levian

ip ipsec mode-config
add address-pool="poolVPN ike2" address-prefix-length=32 name=\
    "modeconf vpn.ike2.xyz" split-dns="" split-include=0.0.0.0/0 static-dns=\
    10.0.88.1 system-dns=no
/ip ipsec policy group
add name="group vpn.ike2.xyz"
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name="profile vpn.ike2.xyz" prf-algorithm=sha256
/ip ipsec peer
add address=0.0.0.0/24 exchange-mode=ike2 local-address=213.81.225.225 name=\
    "peer 213.81.225.225" passive=yes profile="profile vpn.ike2.xyz"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
    lifetime=3d8h name="proposal vpn.ike2.xyz" pfs-group=none
/ip ipsec policy
add dst-address=10.0.88.0/24 group="group vpn.ike2.xyz" proposal=\
    "proposal vpn.ike2.xyz" src-address=0.0.0.0/0 template=yes

gnipet

Levian

ipsec - renamed "rsa-signature" authentication method to "digital-signature";
ked robis identity (par prispevkov dozadu)

Levian

gnipet Riesime ike2 konfig. Samsung to nema?

Levian

gnipet Super. Dakujem, tam bol ten problem

gnipet

IKEv2 ma ved koli tomu som to tu daval aby sme to poriesili .....
daxxim tu pise o L2TP.

duro2828

Ma niekto funkcny navod pripadne konfig VPN pre android 12. Nepodeli sa on?

crazyape

duro2828 na jakou VPN? Tu máš třeba na L2TP s preshered keyem ... pouzivam a funguje na všem včetně toho, že projdu přez firewally a vidím do lokální sítě za routerem na který vytáčím a zároveň se i vidím za IP daneho routeru treba na myip.cz

Pouzivam na WIN, iOS, MacOS, linuxu ... akorat pokud jsi za natem musis si ve widlich editovat registry bohuzel

https://babcuvpisecek.com/sitarina/jak-nastavit-l2tp-ipsec-vpn-na-zarizenich-mikrotik-funkcni-step-by-step-navod/?fbclid=IwAR2Q6Wq3-EEXpqO6R_uaRA_hommsB6LwkSi_jGuulzjzMk1aAYErMXuqe_g

gnipet

3ja useri c1-c3
firma.domena.sk si zmen podla seba
1.2.3.4 si daj verejnu ip podla seba
Nesmies zabudat na spravny DNS preklad aj reverzny
Vsetko je to hore v clanku nejaky odkaz je tam an prezentaciu

/ip ipsec mode-config
add address-pool="pool firma.domena.sk" address-prefix-length=32 name=\
"modeconf firma.domena.sk"
/ip ipsec policy group
add name="group firma.domena.sk"
/ip ipsec profile
add enc-algorithm=aes-256 hash-algorithm=sha256 name="profile firma.domena.sk"
/ip ipsec peer
add exchange-mode=ike2 local-address=1.2.3.4 name="peer 1.2.3.4" passive=yes \
profile="profile firma.domena.sk"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc pfs-group=none
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc lifetime=8h name=\
"proposal firma.domena.sk" pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate=firma.domena.sk generate-policy=\
port-strict match-by=certificate mode-config="modeconf firma.domena.sk" \
peer="peer 1.2.3.4" policy-template-group="group firma.domena.sk" \
remote-certificate=c2@firma.domena.sk remote-id=\
user-fqdn:c2@firma.domena.sk
add auth-method=digital-signature certificate=firma.domena.sk generate-policy=\
port-strict match-by=certificate mode-config="modeconf firma.domena.sk" \
peer="peer 1.2.3.4" policy-template-group="group firma.domena.sk" \
remote-certificate=c1@firma.domena.sk remote-id=\
user-fqdn:c1@firma.domena.sk
add auth-method=digital-signature certificate=firma.domena.sk generate-policy=\
port-strict match-by=certificate mode-config="modeconf firma.domena.sk" \
peer="peer 1.2.3.4" policy-template-group="group firma.domena.sk" \
remote-certificate=c3@firma.domena.sk remote-id=\
user-fqdn:c3@firma.domena.sk
/ip ipsec policy
add dst-address=10.0.88.0/24 group="group firma.domena.sk" proposal=\
"proposal firma.domena.sk" src-address=0.0.0.0/0 template=yes

JanK

gnipet

Nepodařilo se někomu z vás rozchodit ike2 bez certifikátu (ve variante PSK)?

duro2828

Ak mam dynamicku verejnu adresu tak to nerozchodim? Ci je aj na to nejake riesenie?

krystofklima

Já používám SSTP client aplikaci a jede jako fík ;-)
Jinak i na mém Fold4 v poslední aktualizaci 1.10.2022 /Android 12 OneUI 4.1.1. EUX/VDC/ potvrzuji také už jen IKEv2
ale apliakce SSTP Max a jede to parádně. jen člověk musí mít certifikát, ale to má dnes snad už každý ;-)

duro2828

"firma.domena.sk si zmen podla seba" - mozem pouzit nieco nahodne vytvorene alebo musim mat vlastnu realnu domenu?

« Předchozí stránka Další stránka »