Я делал по презентации Никиты Тарикина, правда, на более старой версии RouterOS. Могу сказать, что Windows 10 и Android у меня прекрасно работают с 6.47

@shaqucibaeraexe4908, приветствуем тебя в профессиональном клубе по интересам. Тема чата – MikroTik и всё с ним связанное.
Соблюдай простые правила, и всё будет хорошо. Прочесть их можно по кнопке ниже.
В целях защиты от спама, ссылки и пересланные сообщения от новых пользователей автоматически удаляются. Ограничение действует первые сутки.
Если вдруг забыл правила, их всегда можно прочитать командой /rules
Незнание правил не освобождает от ответственности.

@lordgprs +

Всем привет. Утро вечера мудренее. Придумал решение проблемы в одну строку.
/ip address add interface=lo address=[/routing bgp instance get 0 router-id ]
Всем удачи.

У меня все клиенты, кроме iphone с ios 13.х работают

Кому-нибудь удавалось сменить IMEI  на r11e-lte6   ?

Пример сертификата для IOS 13.x

[zanswer@MikroTik] /certificate> print detail where name=iphone.lan
Flags: K - private-key, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T - trusted

0 K   I T name="iphone.lan" digest-algorithm=sha256 key-type=rsa country="RU" organization="Home" common-name="iphone.lan" key-size=2048 subject-alt-name=DNS:iphone.lan days-valid=730 trusted=yes key-usage=digital-signature,key-encipherment,tls-server,tls-client ca=home-root-ca

subject-alt-name=e-mail На канале Никиты есть pdf файл с МУМА. Очень все красиво и доходчиво описано и настройка микрота и правильная генерация ssl-сертификатов для серверной части и клиентской, и как правильно настроить iPhone

?

В клиентском сертификате в subject-alt-name= нужно использовать email. Или я вас не правильно понял?

Почему нужно использовать email?

RFC позволяет использовать любое значение, в рамках разрешённых, мне удобнее DNS имя, поскольку у меня нет множества клиентов на данном устройстве, зачем мне тогда идентифицировать одно устройство, как пользователя?🙂

RFC 5280  Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

4.2.1.6.  Subject Alternative Name

The subject alternative name extension allows identities to be bound to the subject of the certificate.  These identities may be included in addition to or in place of the identity in the subject field of the certificate.  Defined options include an Internet electronic mailaddress, a DNS   name, an IP address, and a Uniform Resource Identifier (URI).  Other options exist, including completely local definitions.
Multiple name forms, and multiple instances of each name form, MAY be included.  Whenever such identities are to be bound into a certificate, the subject alternative name (or issuer alternative name) extension MUST be used; however, a DNS name MAY also be represented in the subject field using the domainComponent attribute as described in Section 4.1.2.4.  Note that where such names are represented in the subject field implementations are not required to convert them into DNS names.

Потому, что сервер, проверяя объект не сможет связать DNS-имя из сертификата с результатом поиска его в DNS

Я показал работающий сертификат, причём тут local id и DNS имя?

и зачем пользовательскому сертификату  key-encipherment,tls-server

Additionally, all TLS server certificates issued after July 1, 2019 (as indicated in the NotBefore field of the certificate) must follow these guidelines:

TLS server certificates must contain an ExtendedKeyUsage (EKU) extension containing the id-kp-serverAuth OID.

К тому же, наличие или отсутствие данного OID в серверном или клиентском сертификате кардинально нечего не меняет, с точки зрения применимости данного сертификата.

Для сертификата пользователя достаточно tls-client

Всё также, кроме trusted=yes, у меня у всех сертификатов =no, но все клиенты работают

Это установленное IKE SA с аутентификацией по сертификату выше.

[zanswer@MikroTik] /ip ipsec active-peers> print detail
Flags: R - responder, N - natt-peer
0 RN id="iphone.lan" local-address=31.170.37.88 port=4500 remote-address=188.66.32.59 port=49445 state=established side=responder dynamic-address=172.16.1.208 uptime=38s last-seen=38s ph2-total=1

В IOS 13 импортируете CA сертификат ваш?