Как настроить подключение Windows 11 с использованием IKEv2/IPSec?

Для настройки подключения Windows 11 к VPN-серверу Mikrotik с использованием IKEv2/IPSec и аутентификацией на основе сертификатов вам нужно будет выполнить несколько шагов. Ошибка "неприемлемые учётные данные проверки подлинности IKE" может быть связана с неправильной конфигурацией или отсутствием необходимых сертификатов. Вот как вы можете это исправить:

### Настройка VPN-клиента на Windows 11

1. **Убедитесь, что у вас есть нужные сертификаты**:
   - Вам понадобятся сертификаты для клиента и, возможно, корневой сертификат CA, если используется цепочка доверия. Убедитесь, что вы экспортировали и установили соответствующий сертификат в хранилище сертификатов Windows.

2. **Установите корневой сертификат**:
   - Откройте `certlm.msc` (менеджер сертификатов для локального компьютера).
   - Перейдите в `Доверенные корневые центры сертификации` > `Сертификаты` и добавьте корневой сертификат, если это необходимо.

3. **Импортируйте клиентский сертификат**:
   - Откройте `certmgr.msc` (менеджер сертификатов для текущего пользователя).
   - Перейдите в `Личные` > `Сертификаты` и импортируйте клиентский сертификат.

4. **Настройка VPN-подключения**:
   - Откройте `Настройки` > `Сеть и Интернет` > `VPN`.
   - Нажмите `Добавить VPN-подключение`.
   - В поле "Поставщик VPN" выберите `Windows (встроенный)`.
   - В поле "Имя соединения" введите имя подключения.
   - В поле "Имя или адрес сервера" укажите IP-адрес вашего Mikrotik VPN-сервера.
   - В поле "Тип VPN" выберите `IKEv2`.
   - Убедитесь, что в разделе "Тип информации для входа" установлено значение `Сертификат`.

5. **Настройка идентификаторов**:
   - В разделе `Дополнительные параметры` укажите `Идентификатор клиента` (например, FQDN или адрес электронной почты, в зависимости от настроек на Mikrotik) и `Идентификатор сервера`.

6. **Подключитесь к VPN**:
   - После завершения настройки выберите ваше новое VPN-соединение и нажмите `Подключить`.

### Решение проблем

Если при попытке подключения вы получаете ошибку "identity not found for peer" или "неприемлемые учётные данные проверки подлинности IKE", попробуйте следующее:

1. **Проверьте конфигурацию Mikrotik**:
   - Убедитесь, что настройки IKEv2 в Mikrotik соответствуют тем, которые вы используете в Windows 11.
   - Проверьте, что идентификаторы клиента и сервера правильно настроены и соответствуют тем, которые вы вводите на клиенте.

2. **Проверьте совместимость сертификатов**:
   - Убедитесь, что клиентский сертификат установлен правильно и выдана соответствующим центром сертификации.
   - Проверьте, что цепочка сертификатов корректна, и все необходимые сертификаты установлены.

3. **Обновите Windows**:
   - Убедитесь, что у вас установлены все последние обновления Windows 11, так как могут быть исправления, касающиеся VPN.

4. **Проверка логов**:
   - Если проблема не исчезает, посмотрите логи на Mikrotik (раздел `Log`) для более подробной информации о том, почему соединение не устанавливается.

### Заключение
Ошибки при использовании IKEv2/IPSec с аутентификацией по сертификатам могут возникать по разным причинам: неправильная конфигурация, неправильный идентификатор или ошибка в сертификатах. Следуя вышеописанным шагам и рекомендациям, вы сможете устранить эту проблему и настроить стабильное VPN-соединение.

Хех, знакомая вещь. У меня в инструкции даже пунктик об этом есть: 
 
6.1.  При попытке подключения выдается сообщение «Непроверенные учетные данные проверки подлинности IKE»

Данное сообщение обычно означает, что Windows пытается использовать для аутентификации сторонний сертификат (поскольку изначально ограничение на издателя не установлено, Windows просто берет первый сертификат из раздела «Личное»)

Первоначально следует убедиться в следующих вещах:

- Личный сертификат установлен в область «Личное» компьютера (а не пользователя!)

- В области «Доверенные корневые центры сертификации» компьютера находятся все корневые сертификаты (см. Рисунок 10), при этом для сертификатов ... Subordinate CA #1 и ... Subordinate CA #2 допустимо находиться в области «Промежуточные центры сертификации» компьютера (Windows автоматически помещает ... Subordinate CA #1 в эту область)

- Путь издания сертификата верный

Как это сделать — см. Приложение 1

Если данные условия выполняются, но соединение не устанавливается, следует убедиться в том, что в области «Личное» компьютера находится один сертификат компьютера. Кто может разместить там сертификаты? Да кто угодно — клиент-банки, программы участия в тендерах, брокерские программы, сертификаты налоговой службы и т. д.

Если в области «Личное» компьютера находится более одного сертификата, следует выполнить следующую процедуру:

- правая кнопка на значке меню, пункт «Выполнить», ввести текст “powershell”

- в открывшейся консоли powershell ввести следующие команды:

$ca = Get-ChildItem Cert:\LocalMachine\Root | ? Subject -match 'CN=... Root CA' 

Set-VpnConnection -ConnectionName "My VPN" -MachineCertificateIssuerFilter $ca
 
 Эта фигня происходит из-за тупости винды. Она не умеет фильтровать сертификаты по издателю (по умолчанию) и для проверки соединения тупо берет первый по списку сертификат, даже если он истекший . Указание фильтра издателя частично решает проблему, но удалять истекшие сертификаты по-прежнему надо.

Windows доверяет CA который выпускает сертификаты на MikroTik? 
 Все нужные сертификаты установлены?