VPN IKEv2 na routerze MikroTik dla systemów Windows i Android

Konfiguracja klienta – Android

Poradnik został wykonany na urządzeniu Huawei P30 Pro z systemem Android 10.0.0.186.

Aplikacja

System Android nie posiada natywnego klienta protokołu IKEv2 dlatego też musimy najpierw zainstalować aplikację kliencką. W tym przypadku będzie to strongSwan link do sklepu Google Play jest TUTAJ.


Instalacja certyfikatów

Obydwa pliki wygenerowanie w RouterOS musimy pobrać fizycznie na telefon. Używając menedżera plików najpierw uruchamiamy plik .p12. Po jego uruchomieniu będziemy proszeni o wpisanie hasła które użyliśmy przy jego eksporcie w RouterOS.

Następnie będziemy mogli zmienić jego nazwę oraz wybrać jaką funkcję będzie on pełnił. Wybieramy „VPN i aplikacje”.

Następnie otwieramy plik .crt z certyfikatem CA i importujemy go przez aplikację StronSwan (Import certificate).


Dodawanie połączenia VPN

W celu dodania połączenia wchodzimy do aplikacji StrongSwan i na górnej belce naciskamy „Dodaj profil VPN”.

W formularzu uzupełniamy:

  • Serwer – nazwa domenowa serwera
  • Typ VPN – IKEv2 certyfikat
  • Certyfikat użytkownika – po naciśnięciu pojawia nam się lista dostępnych certyfikatów na której wybieramy nasz certyfikat użytkownika.
  • Certyfikat CA – odznaczamy „Wybierz automatycznie” i wybieramy zaimportowany certyfikat CA. Będzie on w zakładce IMPORTED.

Uwagi i napotkane problemy

Obsługa wstrzykiwanych tras routingu

Tutaj sprawa nieco się komplikuje ponieważ ten klient akceptuje tylko pierwszą wysłaną trasę. Jeśli wyślemy mu kilka parametrów split-include przez tunel będzie realizowany tylko ruch do pierwszego od góry wpisu. Jeśli natomiast chcemy wysyłać cały ruch przed tunel po prostu nie wysyłamy żadnych parametrów split-include.