当前位置:首页 > 原创教程 > RouterOS基于IKEv2/IPSec PSK和安卓Android组网

RouterOS基于IKEv2/IPSec PSK和安卓Android组网

原创教程 / 星之宇 / 2025-3-27 10:44 / 浏览:115 / 评论:0

安卓Android 12开始移除了PPTP和L2TP导致VPN配置很麻烦,目前只支持iKev2,所以就有了这个教程。


以下教程请只用于研究,请勿用于非法用途。

一、安装准备

1、RouterOS V7.18.2

2、小米手机K80


二、RouterOS配置IKEv2/IPSec PSK

1、使用Winbox进入到 IP -> IPSecGroups 选项卡,点击+添加一个ikev2-group

Name:ikev2-group

504-1.png


2、切换到 Mode Configs 选项卡,点击+添加一个ikev2-cfg

Name:ikev2-cfg

Responder:勾选

address Pool:DHCP-VPN (注意:地址池pool可以先去 IP -> Pool 创建)

Address Prefix Length:24

Static DNS:10.1.0.1(RouterOS的网关地址)

504-2.png


3、切换到 Profiles 选项卡,点击+添加一个ikev2-profile

Name:ikev2-profile

Hash Algorithms:sha512

PRF Algorithms:auto

Encryption Algorithms:勾选aes-128、aes-192、aes-256

DH Group:勾选modp4096

Proposal Check:claim

504-3.png


4、切换到 proposal 选项卡,点击+添加一个ikev2-proposal

Name:ikev2-proposal

Auth. Algorithms:勾选sha512

Encr. Algorithms:勾选aes-128 cbc、aes-192 cbc、aes-256 cbc

FPS Group:modp4096

504-4.png


5、切换到 Policies 选项卡,点击+添加policy设置

Template:勾选

Group:ikev2-group(步骤1)

切换Action选项卡

Proposql:ikev2-proposal(步骤4)

504-5.png


6、切换到 Peers 选项卡,点击+添加一个ikev2-peer

Name:ikev2-peer

Profile:ikev2-profile(步骤3)

Exchange Mode:IKE2

Passive:勾选

504-6.png


7、切换到 Identities 选项卡,点击+添加Identity配置

Peer:ikev2-peer(步骤6)

Auth Method:pre shared key

Secert:自己设置密钥,如77bxkey

Policy Template Group:ikev2-group(步骤1)

My ID Type:fqdn

MyID:wj.77bx.com(routeros解析域名)

Mode Configuration:ikev2-cfg(步骤2)

Generate Policy:port strict

504-7.png


以下是routeros命令(需要把命令中的中文字改为自己的配置信息):

/ip ipsec policy group add name=ikev2-group
/ip ipsec mode-config add address-pool=地址池 name=ikev2-cfg static-dns=网关 system-dns=no
/ip ipsec profile add dh-group=modp4096 enc-algorithm=aes-256 hash-algorithm=sha512 name=ikev2-profile proposal-check=claim
/ip ipsec proposal add auth-algorithms=sha512 name=ikev2-proposal pfs-group=modp4096 enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc
/ip ipsec policy add group=ikev2-group proposal=ikev2-proposal template=yes
/ip ipsec peer add exchange-mode=ike2 name=ikev2-peer passive=yes profile=ikev2-profile
/ip ipsec identity add generate-policy=port-strict mode-config=ikev2-cfg my-id=fqdn:域名 secret=密钥 peer=ikev2-peer policy-template-group=ikev2-group


三、手机VPN配置

1、设置 -> VPN ,点击 添加VPN,类型选择 IKEv2/IPSec PSK,服务器地址:wj.77bx.com,IPSec标识符:wj.77bx.com(identity配置的My ID),预共享密钥:77bxkey(identity配置Secert),保存点击连接即可。

504-8.png

目前有 0 条评论

    • 昵称
    • 邮箱
    • 网址