ROS配置IKEv2\IPSec全局回家
|
21
|
0
|
教程
|
題目自擬闖天涯

224 字
|
5 分钟

能到这一步的估计都是看过教程的
但是https://post.smzdm.com/p/av7zrgg4/?tt_from=weixin&wxshare_count=1
不适合我的小米手机。
我的配置是MikroTik RouterOS 7.15.3 (c) + 红米K70 + 澎湃OS 1.0.19.0
具体操作不截图了,直接照着命令走,参考https://post.smzdm.com/p/av7zrgg4/?tt_from=weixin&wxshare_count=1
改了改

/ip ipsec policy group
add name=ike2-group
/ip ipsec mode-config
add address-pool=IKEv2-pool name=ike2-config
/ip ipsec profile
add dh-group=ecp256,ecp384,ecp521,modp8192,modp6144,modp4096,modp3072,modp2048 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha512 name=ike2-profile proposal-check=claim

/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile

/ip ipsec mode-config
add address-pool=IKEv2-pool name=ike2-config

/ip ipsec profile
add dh-group=ecp256,ecp384,ecp521,modp8192,modp6144,modp4096,modp3072,modp2048 \
    enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha512 \
    name=ike2-profile proposal-check=claim

/ip ipsec identity
add peer=ike2-peer auth-method=pre-shared-key secret=自己写个预共享密钥 \
    generate-policy=port-strict my-id=fqdn:自己改成自己的域名 \
    policy-template-group=ike2-group mode-config=ike2-config

/ip ipsec proposal
add auth-algorithms=sha512,sha256 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm \
    name=ike2-proposal pfs-group=modp4096

/ip ipsec policy
add comment="policy to be used in ike2-identity and ike2-policy" \
    dst-address=0.0.0.0/0 group=ike2-group proposal=ike2-proposal \
    src-address=0.0.0.0/0 template=yes

下面是和GPT的讨论,可以参考的进行配置。


关键点解析:
Peer部分:

exchange-mode 设置为 ike2,确保使用 IKEv2 协议。
passive=yes 使该对等方被动接受连接。
Identity部分:

auth-method=pre-shared-key:这是设置预共享密钥的正确位置。
secret=fuckhuawei:此处为你的预共享密钥。
my-id=fqdn:your_domain_here:设置为路由器的 FQDN(完全限定域名)。
Policy部分:

使用 policy-template-group=ike2-group 确保 policy 与 identity 绑定在一起。
Mode-config和Proposal:

mode-config 使用你的 IKEv2-pool,确保客户端连接后分配到正确的地址池。
proposal 定义了加密和认证算法,确保数据传输的安全性。
通过这个配置,RouterOS 7.15 能够正确使用 IKEv2 和预共享密钥进行 VPN 连接。你可以将这个配置逐行输入,确保没有多余的换行或空格。如果有进一步问题,欢迎提供错误信息,我会继续帮助你排查。
这里面的IPSEC标识符我们设置的是啥
ChatGPT 说:
ChatGPT
在这个配置中,IPsec 标识符 是通过 my-id 参数设置的。在 ipsec identity 部分,我们使用了 my-id=fqdn:your_domain_here,其中 your_domain_here 应该替换为你路由器的完全限定域名(FQDN)。这个值就是 VPN 客户端连接时使用的 IPsec 标识符。

具体来说,my-id 是用于识别本地端的标识符类型和内容。在 Android 客户端配置中,IPsec 标识符 应该与这里设置的 my-id 值保持一致。假设你将 my-id 设置为 fqdn:router.example.com,那么在 Android 客户端配置时,也需要将 IPsec 标识符 填写为 router.example.com。

如果你没有特定的域名,可以使用路由器的公网 IP 地址或在本地 DNS 服务器上注册的名字,但通常推荐使用 FQDN,因为它更容易管理和记忆。

您说:
我可以更改吗?改成tmznros
ChatGPT 说:
ChatGPT
是的,你可以更改 my-id 的值,具体来说,可以将 fqdn:your_domain_here 改为 fqdn:tmznros。更改后,配置中的这部分将会变成:

bash
复制代码
/ip ipsec identity
add peer=ike2-peer auth-method=pre-shared-key secret=fuckhuawei \
    generate-policy=port-strict my-id=fqdn:tmznros \
    policy-template-group=ike2-group mode-config=ike2-config
这样做的效果是,你的 IPsec 标识符 将变为 tmznros。在客户端(例如 Android 设备)的配置中,也需要将 IPsec 标识符 填写为 tmznros。确保客户端的配置与这里的标识符一致,这样才能正确建立连接。
Android 端设置:
在 Android 设备上配置 VPN 时,确保以下字段与路由器配置相匹配:

服务器地址:tmznros(如果 tmznros 是你在 my-id 中使用的值,确保 Android 的 服务器地址 也使用相同的)。
IPsec 标识符:tmznros。
预共享密钥:fuckhuawei(与配置中的 secret 相匹配)。

好了,估计会的也是会了,不会的也是不会,就这样记录一下了。

暂无评论

发送评论 编辑评论

 
 
 
 
 
   
 
  
  
  
   
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
  
上一篇
下一篇