Mikrotik IKEV2 vpn - windows 10 og IOS

Mikrotik router kan benyttes som IKEv2 vpn gateway, her er et par noter i forhold til opsætning på windows 10.

Hvis man både har en internt windows pki, som udlevere certificater og man har Mikrotik som udlevere certficater, kan kan få 2 certificater i sin machine store, der hedder det samme ( hostname.domain.company.tld )

Derfor skal man når VPN oprettes på windows 10 fortælle hvilket "RootCa" som certificateret skal defineres imod.

# Set these to the correct values
$server_address = "123.123.234.345"
$connection_name = "Mikrotik Ikev2_Prod"
$certificate_path = "C:\certtest\cert_export_hostname.domain.company.tld.p12"
$ca_cert_path = 'C:\certtest\cert_export_ca.crt'
$password = ConvertTo-SecureString -String "1234567890" -AsPlainText -Force

$password1 = ConvertTo-SecureString -String "0987654321" -AsPlainText -Force


# Import machine cert
Import-PfxCertificate -FilePath $certificate_path -CertStoreLocation Cert:\LocalMachine\My\ -Password $password

# Import CA root
Import-Certificate -FilePath $ca_cert_path -CertStoreLocation Cert:\LocalMachine\Root\ -Password $password

# Add VPN connection IKEv2 with machine cert
Add-VpnConnection -Name $connection_name -ServerAddress $server_address -TunnelType Ikev2 -EncryptionLevel Required -AuthenticationMethod MachineCertificate -AllUserConnection

# Add IPv6 default route (::/0 does not work)
Add-VpnConnectionRoute -ConnectionName $connection_name -DestinationPrefix ::/1
Add-VpnConnectionRoute -ConnectionName $connection_name -DestinationPrefix 8000::/1

##Define certificate which should be used for the vpn.
Set-VpnConnection -Name $connection_name -MachineCertificateIssuerFilter 'C:\certtest\cert_export_ca_vpn_Router2021.crt' -AllUserConnection

##skal Rootca'et benyttes på en Iphone skal certificatet password ændres, mikrotik vil have 10 char kode på det, når det exporteres og IOS tillader kun en 6 cifferet kode:
## Mikrotik P12 to PEM with 6 diget Code.
openssl.exe pkcs12 -des3 -in "C:\certest\cert_export_ca_vpn_Router2021.p12" -out "C:\certest\cert_export_ca_vpn_Router2021.ios.crt" -passin pass:0123456789 -passout pass:123456

Selv om det virker fin, er der meget manuelt Certificat management i at benytte IkeV2 vpn på mikrotik, men mindre man evner at få mikrotik IkeV2 serveren til at benytte en certificat udstedet af det intern PKI.

 

 

  • You are here:  
  • Home
  • Mikrotik
  • Mikrotik IKEV2 vpn - windows 10 og IOS