RouterOS 为 IPSec IKEv2 VPN 推送静态路由

Question

ipsec mode-config 应该提供这样的功能。

例如，如果您在 RouterOS 中有以下设置：

/ip 池添加名称=“ipsec_pool”范围=192.168.50.2-192.168.50.6

/ip ipsec 模式配置添加名称=“windows”系统 DNS =无静态 DNS = 192.168.88.1 地址池 = ipsec_pool 地址前缀长度 = 29 拆分包括 = 192.168.88.0/24

/ip ipsec peer add address=0.0.0.0/0 Passive=yes auth-method=rsa-signature certificate=ipsec-server-03 generate-policy=port-strict policy-template-group=win-ikev2 exchange-mode=ike2 mode-config=windows send-initial-contact=no hash-algorithm=sha1 enc-algorithm=aes-256,aes-128 dh-group=ecp256,ecp384,modp2048,modp1024 lifetime=2h dpd-interval=2m

然后 RouterOS 将从名为“ipsec_pool”的地址池中为客户端分配一个虚拟 IP，并告诉它将 DNS 服务器地址设置为 192.168.88.1（静态 DNS），并创建策略将所有流量通过 IPSec（拆分包含）隧道路由到 192.168.88.0/24。

但是，这些模式配置请求将如何处理取决于客户端实现。例如：由于 Windows 在使用 IKEv2 时设置点对点 VPN 连接，因此它会处理 DNS 服务器设置请求，但会忽略拆分包含设置。但无论服务器告知什么，它都会为子网 192.168.50.0/24 创建一条新的路由规则。

不幸的是，我不熟悉 MacOS 中的 IPSec 客户端，因此无法帮助您。使用模式配置可能会更加灵活。

Answer 1

ipsec mode-config 应该提供这样的功能。

例如，如果您在 RouterOS 中有以下设置：

/ip 池添加名称=“ipsec_pool”范围=192.168.50.2-192.168.50.6

/ip ipsec 模式配置添加名称=“windows”系统 DNS =无静态 DNS = 192.168.88.1 地址池 = ipsec_pool 地址前缀长度 = 29 拆分包括 = 192.168.88.0/24

/ip ipsec peer add address=0.0.0.0/0 Passive=yes auth-method=rsa-signature certificate=ipsec-server-03 generate-policy=port-strict policy-template-group=win-ikev2 exchange-mode=ike2 mode-config=windows send-initial-contact=no hash-algorithm=sha1 enc-algorithm=aes-256,aes-128 dh-group=ecp256,ecp384,modp2048,modp1024 lifetime=2h dpd-interval=2m

然后 RouterOS 将从名为“ipsec_pool”的地址池中为客户端分配一个虚拟 IP，并告诉它将 DNS 服务器地址设置为 192.168.88.1（静态 DNS），并创建策略将所有流量通过 IPSec（拆分包含）隧道路由到 192.168.88.0/24。

但是，这些模式配置请求将如何处理取决于客户端实现。例如：由于 Windows 在使用 IKEv2 时设置点对点 VPN 连接，因此它会处理 DNS 服务器设置请求，但会忽略拆分包含设置。但无论服务器告知什么，它都会为子网 192.168.50.0/24 创建一条新的路由规则。

不幸的是，我不熟悉 MacOS 中的 IPSec 客户端，因此无法帮助您。使用模式配置可能会更加灵活。

RouterOS 为 IPSec IKEv2 VPN 推送静态路由

答案1

相关内容