Как настроить подключение Windows 11 с использованием IKEv2/IPSec?

Для настройки подключения Windows 11 к VPN-серверу Mikrotik с использованием IKEv2/IPSec и аутентификацией на основе сертификатов вам нужно будет выполнить несколько шагов. Ошибка "неприемлемые учётные данные проверки подлинности IKE" может быть связана с неправильной конфигурацией или отсутствием необходимых сертификатов. Вот как вы можете это исправить:

### Настройка VPN-клиента на Windows 11

1. **Убедитесь, что у вас есть нужные сертификаты**:
   - Вам понадобятся сертификаты для клиента и, возможно, корневой сертификат CA, если используется цепочка доверия. Убедитесь, что вы экспортировали и установили соответствующий сертификат в хранилище сертификатов Windows.

2. **Установите корневой сертификат**:
   - Откройте `certlm.msc` (менеджер сертификатов для локального компьютера).
   - Перейдите в `Доверенные корневые центры сертификации` > `Сертификаты` и добавьте корневой сертификат, если это необходимо.

3. **Импортируйте клиентский сертификат**:
   - Откройте `certmgr.msc` (менеджер сертификатов для текущего пользователя).
   - Перейдите в `Личные` > `Сертификаты` и импортируйте клиентский сертификат.

4. **Настройка VPN-подключения**:
   - Откройте `Настройки` > `Сеть и Интернет` > `VPN`.
   - Нажмите `Добавить VPN-подключение`.
   - В поле "Поставщик VPN" выберите `Windows (встроенный)`.
   - В поле "Имя соединения" введите имя подключения.
   - В поле "Имя или адрес сервера" укажите IP-адрес вашего Mikrotik VPN-сервера.
   - В поле "Тип VPN" выберите `IKEv2`.
   - Убедитесь, что в разделе "Тип информации для входа" установлено значение `Сертификат`.

5. **Настройка идентификаторов**:
   - В разделе `Дополнительные параметры` укажите `Идентификатор клиента` (например, FQDN или адрес электронной почты, в зависимости от настроек на Mikrotik) и `Идентификатор сервера`.

6. **Подключитесь к VPN**:
   - После завершения настройки выберите ваше новое VPN-соединение и нажмите `Подключить`.

### Решение проблем

Если при попытке подключения вы получаете ошибку "identity not found for peer" или "неприемлемые учётные данные проверки подлинности IKE", попробуйте следующее:

1. **Проверьте конфигурацию Mikrotik**:
   - Убедитесь, что настройки IKEv2 в Mikrotik соответствуют тем, которые вы используете в Windows 11.
   - Проверьте, что идентификаторы клиента и сервера правильно настроены и соответствуют тем, которые вы вводите на клиенте.

2. **Проверьте совместимость сертификатов**:
   - Убедитесь, что клиентский сертификат установлен правильно и выдана соответствующим центром сертификации.
   - Проверьте, что цепочка сертификатов корректна, и все необходимые сертификаты установлены.

3. **Обновите Windows**:
   - Убедитесь, что у вас установлены все последние обновления Windows 11, так как могут быть исправления, касающиеся VPN.

4. **Проверка логов**:
   - Если проблема не исчезает, посмотрите логи на Mikrotik (раздел `Log`) для более подробной информации о том, почему соединение не устанавливается.

### Заключение
Ошибки при использовании IKEv2/IPSec с аутентификацией по сертификатам могут возникать по разным причинам: неправильная конфигурация, неправильный идентификатор или ошибка в сертификатах. Следуя вышеописанным шагам и рекомендациям, вы сможете устранить эту проблему и настроить стабильное VPN-соединение.

Хех, знакомая вещь. У меня в инструкции даже пунктик об этом есть: <br/> <blockquote>6.1.  При попытке подключения выдается сообщение «Непроверенные учетные данные проверки подлинности IKE»<br/>
Данное сообщение обычно означает, что Windows пытается использовать для аутентификации сторонний сертификат (поскольку изначально ограничение на издателя не установлено, Windows просто берет первый сертификат из раздела «Личное»)<br/>
Первоначально следует убедиться в следующих вещах:<br/>
- Личный сертификат установлен в область «Личное» компьютера (а не пользователя!)<br/>
- В области «Доверенные корневые центры сертификации» компьютера находятся все корневые сертификаты (см. Рисунок 10), при этом для сертификатов ... Subordinate CA #1 и ... Subordinate CA #2 допустимо находиться в области «Промежуточные центры сертификации» компьютера (Windows автоматически помещает ... Subordinate CA #1 в эту область)<br/>
- Путь издания сертификата верный<br/>
Как это сделать — см. Приложение 1<br/>
Если данные условия выполняются, но соединение не устанавливается, следует убедиться в том, что в области «Личное» компьютера находится один сертификат компьютера. Кто может разместить там сертификаты? Да кто угодно — клиент-банки, программы участия в тендерах, брокерские программы, сертификаты налоговой службы и т. д.<br/>
Если в области «Личное» компьютера находится более одного сертификата, следует выполнить следующую процедуру:<br/>
- правая кнопка на значке меню, пункт «Выполнить», ввести текст “powershell”<br/>
- в открывшейся консоли powershell ввести следующие команды:<br/>
$ca = Get-ChildItem Cert:\LocalMachine\Root | ? Subject -match 'CN=... Root CA' <br/>
Set-VpnConnection -ConnectionName "My VPN" -MachineCertificateIssuerFilter $ca</blockquote> <br/> Эта фигня происходит из-за тупости винды. Она не умеет фильтровать сертификаты по издателю (по умолчанию) и для проверки соединения тупо берет первый по списку сертификат, <b>даже если он истекший</b> . Указание фильтра издателя частично решает проблему, но удалять истекшие сертификаты по-прежнему надо.

Windows доверяет CA который выпускает сертификаты на MikroTik? <br/> Все нужные сертификаты установлены?