Коротко — в RouterOS 7 проверка x.509‑сертификатов стала строже: ошибка "can't verify peer's certificate from store" означает, что RouterOS не знает доверенный корневой/промежуточный CA, который подписал сертификат сервера CyberGhost. Решение — импортировать в хранилище RouterOS нужные(й) CA‑сертификат(ы) и пометить их как trusted.
Шаги (общие, подойдут для Winbox/CLI):
1) Получите CA‑сертификат(ы)
- Либо скачайте CA с сайта CyberGhost (или из документации/файлов провайдера),
- Либо извлеките цепочку через openssl, например:
openssl s_client -connect vpnX.cyberghostvpn.com:443 -showcerts
и сохраните каждый сертификат между "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----" в отдельный .crt/.pem файл (если есть промежуточные — импортируйте их тоже).
2) Загрузите файл(ы) на роутер (Winbox → Files или через SFTP).
3) Импортируйте в RouterOS:
- CLI пример:
/certificate import file-name=cyberghost-ca.pem
После импорта сертификат появится в списке:
/certificate print
4) Пометьте CA как доверенный:
- по индексу или имени, например:
/certificate set [find name="CyberGhost CA"] trusted=yes
или
/certificate set 0 trusted=yes
5) Переподключите IPsec (подождите, роутер попытается заново; для уверенности можно вручную разорвать/создать соединение или перезагрузить сервис/устройство).
Важно:
- Импортируйте все CA цепочки (промежуточные + корневой), иначе проверка не пройдёт.
- Форматы: RouterOS понимает PEM/DER; если у вас p12, извлеките CA через openssl:
openssl pkcs12 -in file.p12 -nokeys -cacerts -out ca.pem
- Не рекомендуется отключать проверку сертификата — это снижает безопасность. Если всё же нужно временно — используйте PSK (если провайдер поддерживает) либо настройку, которая не использует верификацию, но это небезопасно.
Если после импорта всё ещё не работает — пришлите вывод:
/certificate print detail
и лог IPsec (Log Level для ipsec поставить debug/trace), посмотрю точнее.