Ещё вопрос, выпущеный на RouterOS клиентский сертификат можно только отозвать ? удалить его нельзя ?

Apple несмотря на _особые в прошлом_ требования к сертификатам, сейчас их приняли и другие игроки на рынке, в остальном нечего особенного не требует по отношению к сертификатам.

В X.509 PKI нельзя удалить сертификат, это противоречит архитектуре. Все сертификаты могут быть только отозваны. Это не особенность RouterOS, это нормальное поведение для любого CA.

Если использовать центр сертификации в routeros, то экспортом его уже нельзя бекапить ? только выгружать сертификаты и преобразовывать их в скрипт и дописывать в экспорт ?

Не знаю, это не подскажу, возможно кто-то из коллег тут или в соседней группе подскажет.

К обсуждению выше о значении поля IDi (local) IDr (remote), жирным выделил главное. Данные ID используются только для Peer Authentication Database (PAD) lookup и не должны рассматриваться иначе или проверятся, на их соответствие во внешних системах, как то DNS.

RFC 7296 Internet Key Exchange Protocol Version 2 (IKEv2)

3.5.  Identification Payloads

The Identification payloads, denoted IDi and IDr in this document, allow peers to assert an identity to one another.  This identity may be used for policy lookup, but does not necessarily have to match anything in the CERT payload; both fields may be used by an implementation to perform access control decisions.  When using the ID_IPV4_ADDR ID_IPV6_ADDR identity types in IDi/IDr payloads, IKEv2 does not require this address to match the address in the IP header of IKEv2 packets, or anything in the TSi/TSr payloads.  The contents of IDi/IDr are used purely to fetch the policy and authentication data related to the other party.

это развернет все запросы по 53 порту все равно на мой микротик? /ip firewall nat add chain=dstnat protocol=udp dst-port=53 in-interface-list=LAN action=redirect

ну всмыле что какой бы ты ip  днс не прописал чтобы все запросы все равно шли на микрот?

По идее да

Но я бы для надёжности сделал action=dst-nat to-addresses=<адрес DNS>

или адрес микрота? на котором собственно днс

а ты настраивал днс DoH?

Адрес DNS, неважно, локальный он или удалённый

Нет, мне пока не интересно

Пока все браузеры и важные Web-сервисы не включат eSNI, DoH мне не сильно нужен

а какие браузеры уже включили? рутрекер вроде включил

Вроде в Firefox работает

x

и будет бан, ага

Да, это опасный чат) здесь царит полицейская диктатура)