iPhoneにかなり堅牢なIKEv2 VPN接続を設定しており、どこからでもiPhoneを使って自宅ネットワークを管理できるようにしています。これがとても気に入っています!操作も非常に簡単で、SSHシェルを使うくらいしか必要なく、自分のニーズにぴったりです。
iOS 13のベータ版をインストールするまでは接続の問題はありませんでしたが、Appleが証明書の署名に関するセキュリティ要件を変更したようです: https://support.apple.com/en-us/HT210176
VPN経由で接続しようとすると、iPhoneは「ユーザー認証に失敗しました」と表示しますが、ルーターのログにはエラーは出ません。IKEv2の接続は確立され、IPも割り当てられます。つまり、電話が接続を切断しているようです。ちなみに、使用しているルータはRB2011です。
元々こちらのガイドに従ってVPN設定をしました:https://jcutrer.com/howto/networking/mikrotik/ios-ikev2-vpn-mikrotik
新しいRouterOSのバージョンでは設定が少し異なる部分もありますが、設定内容は同じです。
VPNトンネルを再び正常に動作させるために何を変更・更新すれば良いのか分かりません。ルータで証明書を生成し自己署名した場合、デフォルトの暗号化はRSAで、「ipsec/proposal」内の暗号化提案はsha256です。証明書について少し知っていることから、Appleにとって大きな変更はないと思いますが、私のVPNトンネルを壊すような変更はないはずです。
他の人も同じ問題に直面していますか?適切な暗号化を用いてVPN証明書を再発行する方法はありますか?事前にありがとうございます!
あのチュートリアルはバージョン6.44/6.45以前のもので、今ではRouterOSのIPSec関係のコマンドがかなり変わっているので関係ない部分も多いです。
これはマレーシアのMUM 2019でこのテーマについて発表した人の資料です。私はこれを参考にして完全に動作させることができました(ただしiOS 12を使用しています)。
また、ルーターログに関しては、ipsec
と debug
のログをシステムのメモリに出力するように設定し(システム > ロギング)、!packet
も加える(同じエントリ内で)と、パケットのデバッグ情報でメモリが溢れないようにできます。
推測ですが、証明書はおそらく10年(3650日)後に期限切れになる設定になっているのではないでしょうか(規定では825日以下)。
私も同じ問題に直面し、やっと解決策を見つけました。
AppleはiOS13とmacOS Catalina以降、SAN(Subject Alternative Names)フィールドを確認しています。
VPNサーバとクライアントの証明書を再発行し、SANフィールドに入力する必要があります。私はDNSタイプを使用し、CN /コモンネームの値と同じにしました:https://forum.mikrotik.com/viewtopic.php?f=2&t=153155&p=755967#p755967
いいですね、そのリンクありがとうございます!確認して、設定をちょっと調整してみます(駄洒落ではありません)。証明書は1年だけ有効なので、その仕様上の問題はクリアしています。とりあえずはiOSのベータ版のバグの可能性に期待します。
やっとこのガイドに従ってIKEv2を再設定できました。今は正常に動作しています。ただし、クライアント(iPhone)が数分後に切断されてしまうのです。同じ時間で切れることが多いです。この問題に関して、何かポイントを教えてもらえますか? iOSの再認証の管理方法に関係していると思いますが、詳しくはわかりません。大丈夫です、ありがとう!
これは面白い話ですね!8分のタイムアウトは、証明書に共通名設定をして再発行しても発生していました。私の解決策は、IKEv2の提案内で「PFSグループ = none」を「PFSグループ = modp2048」に変更したことです。これを適用すると、ipsecのログで再鍵が成功しているのが見えてきて、以前ではあり得なかったことです。なぜか、iOS 13は提案とモードの設定が不一致でも最初の認証を通してしまいます。あなたの提案はPFSグループはnoneに設定されていますか?
もしも480秒後なら、適切な提案の設定ができていない可能性があります。
設定例としては:
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ios-ikev2-proposal pfs-group=none
Aqtech
8
前に壁に頭をぶつけるように苦労して解決策を探していました。iOSがPFSをサポートしているのは良いですが、それがあまりアナウンスされていなかったのは残念です。今はうまく動いています。共有してくれてありがとう!
ああ、それは治ると思ったのですが、ダメでした。暗号化アルゴリズムがクライアントの認証期間に影響する理由について教えてもらえますか? そうすれば最終的に解決できるかもしれません。ありがとう!
理解しています!これを解決するのに約1ヶ月かかりました( troubleshootを繰り返しながら)。非常に面倒でしたが、解決策があって良かったです。