Настройка IKEv2 сервера на Mikrotik с использованием сертификатов от Active Directory Certificate Services (AD CS) – это задача, требующая некоторых знаний о сертификатах и конфигурации сетевого оборудования. Ниже приведены шаги и рекомендации, которые помогут вам настроить эту связку.
### 1. Настройка Active Directory Certificate Services (AD CS)
Для работы с IKEv2 на Mikrotik вам понадобится два типа сертификатов:
- **Корневой сертификат (Root Certificate)**: Он используется для подписи клиентских и серверных сертификатов. Этот сертификат должен быть установлен на всех клиентах, чтобы они могли доверять сертификатам, выданным вашим AD CS.
- **Сертификат сервера**: Это сертификат, который будет использоваться на Mikrotik для аутентификации VPN-сервера. Запросите сертификат для устройства, используя шаблон для серверного сертификата.
#### Шаги по выдаче сертификата:
1. Откройте `Certification Authority` в вашем AD CS.
2. Создайте шаблон сертификата, если его еще нет (например, «Web Server» или новый шаблон, соответствующий вашим требованиям).
3. Настройте свойства:
- Убедитесь, что в разделе "Subject Name" установлен правильный тип (например, "Common Name" – FQDN вашего Mikrotik).
- Убедитесь, что включены ключевые Usage, включая "Digital Signature" и "Key Encipherment".
4. Выдайте сертификат, используя `Request Certificate` на клиенте или через консоль.
### 2. Настройка Mikrotik
#### Установите сертификат на Mikrotik:
1. Импортируйте корневой сертификат в Mikrotik.
2. Импортируйте сертификат сервера, который вы получили из AD CS.
3. Проверьте, что сертификат установлен и активен.
#### Настройка IKEv2 на Mikrotik:
1. Перейдите в раздел `IP > IPSec`.
2. Включите IKEv2, добавьте Peer, используя настройки, соответствующие вашему окружению (например, шифрование и параметры аутентификации).
3. Создайте Proposal и установите общие параметры шифрования.
4. Наконец, создайте Policy для определения правил для VPN.
### 3. Настройка клиентов
Клиенты (компьютеры в домене) должны установить корневой сертификат, чтобы доверять вашему сервера. Также на клиентах необходимо настроить VPN-соединение, используя встроенные возможности Windows для подключения к IKEv2.
#### Используемый тип аутентификации:
1. **Сертификаты**: Используйте клиентский сертификат для компьютеров (если они подключаются по сертификату).
2. **Авторизация по логину и паролю**: Можно использовать RADIUS. В этом случае сертификаты необходимы только на Mikrotik и корневой сертификат на клиентах.
### Рекомендуемые ресурсы
Вот некоторые ссылки и ресурсы, которые могут быть полезны при настройке:
- [Документация MikroTik по IPSec](https://wiki.mikrotik.com/wiki/Manual:IKEv2)
- [Микротик Wiki по настройке VPN](https://wiki.mikrotik.com/wiki/Manual:Interface/PPP)
- [Настройка AD CS](https://docs.microsoft.com/en-us/windows-server/networking/windows-server-active-directory/certificate-services)
Следуя этим шагам, вы сможете настроить IKEv2 на Mikrotik с использованием сертификатов от Active Directory Certificate Services. Если у вас будут дополнительные вопросы, не стесняйтесь спрашивать!