如何在Mikrotik/RouterOS上设置IPSec Xauth客户端？

Question

我需要在Microrik上配置IPSec Xauth客户端。我有这样的客户在Android上工作。我提供了所有必要的证书以及用户名/密码。

是从来没有 可能吗？

如果是，那么Mikrotik设置的相关auth方法是什么？

RouterBOARD 750 G r3，fw 6.41.1

Answer 1

这是可能的，是的。唯一的限制是您只能使用CHAP进行身份验证；目前没有任何EAP身份验证方法可用。它的工作方式是将auth方法改为rsa签名混合(证书+ xauth)。下面是一个示例配置：

/ip ipsec peer
add address=172.16.0.2 auth-method=rsa-signature-hybrid certificate=cert.p12
    mode-config=request-only exchange-mode=ike2 generate-policy=port-strict
    xauth-login=username xauth-password=password 

Answer 2

我建议你检查一下关于MikroTik手册的IPsec。这里有很多信息和例子。

下面是手册中的一个XAuth示例。

简单互PSK XAuth服务器端配置: /ip ipsec对等方添加address=2.2.2.1 auth-method=预共享-密钥- XAuth secret="123“passive=yes /ip /ip passive=yes/ip name=test password=345客户端配置:/ip ipsec peer add address=2.2.2.2 auth-method=预共享密钥-XAuth secret="123”\XAuth-登录=test XAuth-密码=345注意:在服务器端，必须在使用XAuth时将被动设置为yes。