用iPhone的IKEv2與RouterOS做VPN橋接

此環境在官網稱Road Warrior ,是建構在IPSec IKE環境,需憑證(certificate)交換認證.
您可以用憑證頒發機構,但以下說明皆是在RouterOS的憑證視窗,自簽證明生成的(第三方憑證)

憑證有3組,分別是: ca / server / client

/certificate 新增憑證ca:



/certificate 新增server(伺服端)憑證:





/certificate 新增client(用戶端)憑證:






匯出憑證給用戶：
憑證ca


client(用戶端)憑證


匯出的檔案：

先將2個檔案拉至電腦桌面 ,再用附件將兩檔寄到自己的mail信箱


因Road Warrior並沒有像其它vpn有Change TCP MSS的功能,
有的用戶是來自固網,有的是PPPoE,還有DHCP-Client...

這些通道寬度不一,再經IPSec隧道後MTU早非原先的值.
所以我們自己手動新增Change TCP MSS ,避免因通道寬(MTU)的值不對丟失封包.
/ip firewall mangle 新增2筆：
1.



2.



這2筆新增完要擺在/ip firewall mangle 最優先的位置0,1 ,封包交換時才不會有疏漏



IKEv2 Server設定：
/ip pool

連結：subnet計算機


操作subnet-Mask或Mask-Bits,
用最大的Mask-Bits值將您的VPN-Pool含在Host-Address-Range裡.
而Subnet-ID與Mask-Bits 的組合即您的VPN-Pool的遮罩表示法.

/ip ipsec proposal


/ip ipsec mode-conf


/ip ipsec group


/ip ipsec policy



/ip ipsec peer





IKEv2 Client(iPhone)設定：
1.iPhone收到桌機寄出含附件的mail ,先進行憑證ca的匯入
直接點擊ca憑證即可.



2.進行client(用戶端)憑證的匯入


3.讓iPhone對憑證產生信任
設定 -> 一般 -> 關於本機 -> 憑證信任設定 [Settings -> General -> About -> Certificate]


4.新增IKEv2撥號


5.連線成功