WispOSWispOS
Guida MikroTik
VPN e tunnelAvanzato

IPsec IKEv2 road warrior con mode-config

RouterOS v7 come responder IKEv2 per client mobili (Windows, iOS, macOS, Android strongSwan): mode-config assegna IP e DNS, autenticazione con certificati EAP o RSA, policy template dinamiche.

IKEv2 con mode-config è la VPN ad accesso remoto più robusta e nativa sui sistemi operativi moderni: Windows 10/11, macOS, iOS e Android (strongSwan) la supportano senza app proprietarie. Il MikroTik agisce da responder: assegna dinamicamente IP e DNS ai client e installa policy IPsec al volo grazie a un policy template.

Passo 1 — certificati (la via più sicura)

CA, certificato server e (opzionale) certificati client
# CA root della tua VPN
/certificate/add name=ca-vpn common-name=ca.vpn.example.com \
  key-usage=key-cert-sign,crl-sign days-valid=3650
/certificate/sign ca-vpn

# Certificato server: il CN/SAN DEVE combaciare con ciò che digita il client
/certificate/add name=srv-vpn common-name=vpn.example.com \
  subject-alt-name=DNS:vpn.example.com days-valid=825 \
  key-usage=tls-server
/certificate/sign srv-vpn ca=ca-vpn

Passo 2 — pool, mode-config, profilo e proposta

Indirizzi assegnati ai client e parametri di rete
# Pool IP per i client remoti
/ip/pool/add name=ipsec-pool ranges=10.210.0.10-10.210.0.200

# mode-config: assegna IP dal pool + DNS + reti raggiungibili (split)
/ip/ipsec/mode-config/add \
  name=cfg-rw \
  address-pool=ipsec-pool \
  address-prefix-length=32 \
  split-include=192.168.1.0/24 \
  static-dns=192.168.1.1 \
  system-dns=no

# Profilo fase 1 e proposta fase 2 (cifrari moderni)
/ip/ipsec/profile/add name=rw-prof dh-group=ecp256 \
  enc-algorithm=aes-256 hash-algorithm=sha256 nat-traversal=yes
/ip/ipsec/proposal/add name=rw-prop \
  enc-algorithms=aes-256-gcm auth-algorithms=null pfs-group=ecp256

Passo 3 — policy template, peer e identità

Template dinamico + responder
# Gruppo e template: consentono policy generate al volo per ogni client
/ip/ipsec/policy/group/add name=rw-group
/ip/ipsec/policy/add group=rw-group template=yes \
  dst-address=10.210.0.0/24 src-address=0.0.0.0/0 \
  proposal=rw-prop

# Peer passivo: ascolta da qualsiasi IP (client mobili)
/ip/ipsec/peer/add name=rw-peer \
  passive=yes address=0.0.0.0/0 \
  exchange-mode=ike2 profile=rw-prof \
  send-initial-contact=no

# Identità: autenticazione con certificato + EAP (login utente)
/ip/ipsec/identity/add peer=rw-peer \
  auth-method=digital-signature certificate=srv-vpn \
  generate-policy=port-strict \
  mode-config=cfg-rw policy-template-group=rw-group \
  eap-methods=eap-mschap2 \
  match-by=remote-id remote-id=ignore
Utenti EAP (login/password) e firewall
# Utente che si autentica via EAP-MSCHAPv2
/ip/ipsec/user/add name=mario password="PasswordForte!2024"

# Firewall: ingresso IKE/NAT-T + ESP
/ip/firewall/filter/add chain=input protocol=udp dst-port=500,4500 action=accept comment="IKE/NAT-T"
/ip/firewall/filter/add chain=input protocol=ipsec-esp action=accept comment="IPsec ESP"

# Escludi dal NAT il traffico verso i client (split)
/ip/firewall/nat/add chain=srcnat src-address=192.168.1.0/24 \
  dst-address=10.210.0.0/24 action=accept place-before=0
Con generate-policy=port-strict RouterOS crea automaticamente le policy IPsec per ogni client connesso, derivandole dal template — non devi scrivere una policy per utente. Verifica le policy attive con /ip/ipsec/policy/print (compaiono in stato dynamic).
Per Windows nativo: esporta la CA (/certificate/export-certificate ca-vpn), installala come Autorità di certificazione radice attendibile sul client, crea una connessione VPN tipo IKEv2 verso vpn.example.com. Per iOS/macOS puoi distribuire un profilo .mobileconfig. Il SAN del certificato server deve combaciare con l'host digitato.
Full tunnel: imposta split-include=0.0.0.0/0 nel mode-config e aggiungi un masquerade sul traffico dei client verso la WAN. Per i tecnici WISP preferisci lo split (solo la rete di management) per non instradare la loro navigazione.
ipsecikev2road warriormode-configmode configpolicy grouppolicy templatesplit-includecertificateeaprsaios vpnwindows ikev2strongswanaccesso remoto

Continua con

Quale VPN scegliere su RouterOS?WireGuard: tunnel site-to-site tra due sedeWireGuard: accesso remoto road warriorIPsec IKEv2: tunnel site-to-site sicuro

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS