Componenti Neccessari:

1. Un Router Mikrotik qualsiasi
2. Una connessione internet con IP PUBBLICO.
3. Un pc con Winbox
4. Uno smartphone che supporti IKEv2.
5. Un qualsiasi dispositivo connesso alla rete al quale accetti connessioni remote.

Livello difficoltà: Medio-basso

Ipotizziamo di avere una rete come nel diagramma seguente:

Osservando il diagramma, il server https ha appunto il Web Server integrato. Nei prossimi passi, configuriamo IKEv2 con l’obbiettivo di accedere successivamente al web server.

Obbiettivo 1: Impostiamo la configurazione di base sul router.

Qui riepilogo una base-configuration di partenza al quale andremo a implementare IKEv2. Se stai configurando il router da zero, potresti partire da qui resettando intanto la default-configuration.

Apriamo New Terminal da Winbox e digitiamo:

/interface bridge
add name=bridge_LAN
/interface ethernet
set [ find default-name=ether1 ] comment=Interfaccia_pubblica
set [ find default-name=ether2 ] comment=-----------------------------LAN-----------------------------
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=italy disabled=no installation=indoor mode=ap-bridge ssid=GREENET wireless-protocol=802.11 \
    wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=italy disabled=no frequency=5260 installation=indoor mode=ap-bridge ssid=GREENET \
    wireless-protocol=802.11 wps-mode=disabled
/interface lte apn
set [ find default=yes ] ip-type=ipv4-ipv6
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=green2805
/ip pool
add name=pool-dhcp ranges=192.168.120.100-192.168.120.150
/ip dhcp-server
add address-pool=pool-dhcp disabled=no interface=bridge_LAN lease-time=12h name=dhcp-server
/interface bridge port
add bridge=bridge_LAN interface=ether2
add bridge=bridge_LAN interface=ether3
add bridge=bridge_LAN interface=ether4
add bridge=bridge_LAN interface=ether5
add bridge=bridge_LAN interface=wlan1
add bridge=bridge_LAN interface=wlan2
/ip settings
set max-neighbor-entries=2048
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=1.2.3.4 interface=ether1 network=10.246.159.50
add address=192.168.120.1/24 interface=bridge_LAN network=192.168.120.0
/ip dhcp-server network
add address=192.168.120.0/24 dns-server=192.168.120.1 domain=WORKGROUP gateway=192.168.120.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,208.67.222.220
/ip dns static
add address=192.168.120.1 regexp=router.lan
/ip firewall filter
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.120.0/24
/ip route
add distance=1 gateway=10.246.159.50
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.120.0/24
set ssh address=192.168.120.0/24
set api disabled=yes
set winbox address=192.168.120.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=Router-ufficio

Obbiettivo 2: Configurare i Certificati.

Apriamo New Terminal da Winbox e creiamo i certificati:

/certificate  
add name=CA-ike locality=Milano organization=green-net unit=VPN common-name=CA-ike subject-alt-name=DNS:CA-ike days-valid=3650 key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign 
add name=server-ike country=IT locality=Milano organization=green-net unit=VPN common-name=server-ike subject-alt-name=DNS:server-ike days-valid=3650 key-usage=tls-server
add name=mario.rossi@italia.it country=IT locality=Milano organization=green-net common-name=mario.rossi@italia.it subject-alt-name=email:mario.rossi@italia.it days-valid=3650 key-usage=tls-client 
/certificate sign CA-ike ca-crl-host=1.2.3.4
:delay 5s
/certificate sign server-ike ca=CA-ike 
:delay 5s
/certificate sign mario.rossi@italia.it ca=CA-ike
:delay 5s 
/certificate set server-ike trusted=yes

Obbiettivo 3: Configurare IKEv2

Apriamo New Terminal da Winbox e creiamo i certificati:

/certificate export-certificate file-name=CA CA-ike2
/ip firewall nat add chain=srcnat src-address=10.165.46.0/24 action=masquerade
/ip pool add name=pool_IKE2 ranges=10.165.46.100-10.165.46.110
/ip ipsec mode-config
add address-pool=pool_IKE2 address-prefix-length=32 name=modeconf_ike2 split-include=0.0.0.0/0 static-dns=10.165.46.1 system-dns=no
/ip ipsec policy group
add name=group_ike
/ip ipsec profile
add dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 name=peer_profile_ike2
/ip ipsec peer
add exchange-mode=ike2 local-address=1.2.3.4 name=peer1 passive=yes profile=peer_profile_ike2
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=8h name=proposal_ike2 pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate=CA-ike2 generate-policy=port-strict match-by=certificate mode-config=modeconf_ike2 peer=peer1 policy-template-group=group_ike remote-certificate=mario.rossi@italia.ir remote-id=fqdn:mario.rossi@italia.it
/ip ipsec policy
add dst-address=10.165.46.0/24 group=group_ike src-address=0.0.0.0/0 template=yes
/certificate export-certificate file-name=client mario.rossi@italia.it export-passphrase=12345678 type=pkcs12 

In questa maniera il server è completo. Andremo a configurare il client nel nostro Smartphone.

Nel mio caso utilizzo uno smartphone Samsung A13.

Per installare il client seguiamo i vari passaggi:

Obbiettivo 4: Installare il Certificato CA.

1. Da winbox, andiamo nel tab Files e scarichiamo nel nostro Smartphone i certicati CA.crt e client.p12
2. Andiamo nel menu Impostazioni del nostro smartphone.
3. Cerchiamo la voce Sicurezza e privacy e selezioniamola.
4. Cerchiamo la voce Altre Impostazioni di sicurezza e selezioniamola.
5. Cerchiamo la voce Installa da memoria dispositivo e selezioniamola.
6. Clicchiamo su Certificato CA, ci apparirà un avviso che bisogna essere a conoscenza della provenienza del certificato, clicchiamo su Installa comunque.
7. Selezionare il certificato CA.crt dai tuoi file e clicca su Fatto. Il certificato verrà immediatamente installato.

Obbiettivo 5: Installare il Certificato Client.

Ora andiamo ad installare il certificato client

1. Ripetere i passi indicati sopra nei punti 2, 3, 4, 5.
2. Ora clicchiamo sulla voce Certificato utente app e VPN.
3. Ci aprirà i nostri file, selezioniamo il certificato client.p12 in cui verrà richiesta la password per estrarre il certificato. In questo caso 12345678.
4. Clicchiamo su OK e il certificato client verrà installato.

Obbiettivo 6: Configurare il client VPN.

Vediamo come configurare il client IKEv2.

1. Andiamo nel menu Impostazioni.
2. Selezioniamo la voce Altre Impostazioni di Rete.
3. Selezioniamo la voce VPN.
4. Clicchiamo sui tre puntini in alto a destra, e cliccliamo sulla voce Aggiungi profilo VPN.
5. Nel campo Nome Scrivi un riferimento a tua scelta, esempio: VPN-casa
6. Nel campo Tipo, seleziona IKEv2/IPsec RSA.
7. Nel campo Indirizzo Server, digita l’ip pubblico del server, nel nostro esempio 1.2.3.4
8. Nel campo Identificatore IPsec seleziona la voce Non attivo
9. Nel campo Certificato Utente Ipsec seleziona il certificato client precedentemente installato.
10. Nel campo Certificato CA IPsec seleziona il certificato CA precedentemente installato.
11. Nel campo Certificato server Ipsec seleziona la voce Ricevuto dal server
12. Infine clicca su Salva.
13. A questo punto se clicchiamo sul profilo appena creato VPN-casa apparirà la voce  Connetti.
14. Se ci clicchiamo sopra il nostro Smartphone si colleghera al server e avremo acceso al nostro server https.

In allegato alcuni screen dove vediamo la Vpn connessa e come riusciamo ad accedere al web server.

Ti è piaciuta questa guida? Segui tutte le guide su RouterOS alla pagina: Guide Mikrotik.

 

Scopri hAP ax lite, il nuovo router Mikrotik con potente processore ARM.

 

Puoi inviare il tuo contributo Paypal oppure commenta e condividi questo contenuto.

Hai riscontrato errori in questa guida?? segnalacelo tramite la scheda CONTATTI

• Telegram
• Facebook
• Link