IOS 11 VPN (L2TP+IPSEC) na Mikrotik RouterOS > 6.40

Comment

Bez kategorii

Większość z użytkowników Netflixa czy Showmaxa zapewne wie, że te usługi mają spore „problemy” gdy tylko wyjedziemy za granicę. Rozwiązaniem na te „problemy” jest tunelowanie ruchu przez jakiegoś VPN’a tak żeby Netflix czy Showmax „myślał sobie”, że siedzimy w Polsce.

O ile w przypadku komputerów z Windowsem konfiguracja VPN’a oparta o PPTP jest bardzo prosta i nikt nie powinien mieć z nią żadnych problemów to L2TP + IPSEC w wydaniu które pozwala podłączyć urządzenia z Jabłkiem na obudowie wcale nie jest taka prosta. Męczyłem się z uruchomieniem takiego tunelu dość długo – dlatego poniżej konfiguracja która w kilku krokach po prostu pozwoli wam uruchomić VPN’a na iPhonie, iPadzie czy Mac’u.

Krok 1. Definicja puli adresów IP wykorzystywanych przez klientów VPN

IP -> Pool -> Pools -> Add New

Pulę i adresację określamy dowolnie, ważne jest tylko to żeby adresacja nie pokrywała się z innymi pulami określonymi na danym routerze.  Next pool używamy lub nie – wg. własnego uznania. Ja nie używam ponieważ nie mam tylu klientów VPN żeby potrzebować rozbijać ich na różne podsieci…

Name: ipsec
Addresses: 10.0.10.2 – 10.0.10.99
Next Pool: none

Krok 2. Stwórz nowy profil PPP 

PPP -> Profiles -> Add New

Name: ipsec
Local Address: 10.0.10.1 (upewnij się, że ten adres jest w podsieci której użyto podczas określania puli adresów dla VPN)
Remote Address: ipsec (z rozwijanej listy wybierz zdefiniowaną wcześniej pulę)
DNS Server: 8.8.8.8 (ja używam DNS Google ale nic nie stoi na przeszkodzie aby określić własne DNS)
Change TCP MSS: yes
Use UPnP: default
Use MPLS: default
Use Compression: default
Use Encryption: yes
Only One: default

Krok 3. Stwórz użytkownika VPN

PPP -> Secrets -> Add New

W tym kroku określamy dane którymi użytkownik będzie logował się do VPN’a.

Enabled: yes
Name: nazwa_uzytkownika
Password: jakiesbardzotrudnehaslo
Service: l2tp
Profile: ipsec

Krok 4. Uruchom serwer L2TP
PPP -> L2TP Server

Enabled: Yes
Max MTU: 1460
Max MRU: 1460
Keepalive Timeout: 30
Default Profile: ipsec (the name of the profile you defined above)
Authentication: mschap2 (all others disabled)
Use IPsec: yes
IPsec Secret: hasłowspolnedlawszystkichuzytkownikow
Caller ID Type: ip address
One Session Per Host: 
Allow Fast Path: 

 

Krok 5. Zmodyfikuj IPSEC proposal

IP -> IPSEC -> Proposals -> Default

Enabled: Yes
Name: l2tp-ipsec
Auth. Algorithms: sha1
Encr. Algorithms: aes-256-cbc
PFS Group: modp1024

Krok 6. Utwórz nowy peer IPSEC

IP -> IPSEC -> Peers -> Add New

Enabled: Yes
Address: 0.0.0.0/0
Auth. Method: pre shared key
Exchange Mode: main l2tp
Passive: No
Secret: hasłowspolnedlawszystkichuzytkownikow (to samo które wcześnie określiliśmy w PPP -> L2TP Server)
Policy Template Group: default
Send Initial Contact: Yes
NAT Traversal: Yes
My ID Type: auto
Generate Policy: port override
Lifetype: 1d 00:00:00
DPD Interval: 2s
DPD Maximum Failures: 5
Proposal Check: obey
Compatibility Options: skip peer id validation
Hash Algorithm: sha256
Encryption Algorithm: aes-256
DH Group: modp1024

Krok 7. Konfiguracja firewalla

Generalnie te kroki nie są obowiazkowe. Wszystko zależy od ogólnej konfiguracji routera. Jeśli waszą domyślą polityką jest drop – to musicie ruch IPSECowy wpuścić. Jeśli domyślnie macie accept … wiadomo… 😉

IP -> Firewall -> Add New

Enabled: Yes
Action: Accept
Chain: input
In. Interface: ether1 (lub dowolny inny interfejs który jest waszym WAN)
Src. Address: 0.0.0.0/0
Connection State: New
Protocol: ipsec-ah

IP -> Firewall -> Add New

Enabled: Yes
Action: Accept
Chain: input
In. Interface: ether1 (lub dowolny inny interfejs który jest waszym WAN)
Src. Address: 0.0.0.0/0
Connection State: New
Protocol: ipsec-esp

IP -> Firewall -> Add New

Enabled: Yes
Action: Accept
Chain: input
In. Interface: ether1 (lub dowolny inny interfejs który jest waszym WAN)
Src. Address: 0.0.0.0/0
Connection State: New
Protocol: udp
Dst. Port: 500

IP -> Firewall -> Add New

Enabled: Yes
Action: Accept
Chain: input
In. Interface: ether1 (or whatever your WAN interface is)
Src. Address: 0.0.0.0/0
Connection State: New
Protocol: udp
Dst. Port: 1701

IP -> Firewall -> Add New

Enabled: Yes
Action: Accept
Chain: input
In. Interface: ether1 (lub dowolny inny interfejs który jest waszym WAN)
Src. Address: 0.0.0.0/0
Connection State: New
Protocol: udp
Dst. Port: 4500

W tym momencie kończymy zabawy z RouterOS. Powyższa konfiguracja działa z IOS 11.

Aby skonfigurować konto VPN na urządzeniu z IOS klikamy:

Ustawienia -> Ogólne -> VPN -> Dodaj konfigurację VPN

Typ: L2TP
Opis: Jakikolwiek opis identyfikujący tunel VPN
Serwer: adres_routera_z_serwerem_vpn
Konto: nazwa_konta_dodana_w_ppp_secrets
RSA SecurID: wyłączone
Hasło: hasło_konta_użytkownika_określone_w_ppp_secrets
Hasło wspólne: hasłowspólne
Wysyłaj wszystko: Włączone
Voila. Łączymy się. Działa 🙂

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Akceptuję
Śmietnik wykorzystuje pliki cookies. Korzystanie z witryny oznacza zgodę na ich zapis lub odczyt zgodnie z ustawieniami przeglądarki.
Insert math as
Block
Inline
Additional settings
Formula color
Text color
#333333
Type math using LaTeX
Preview
\({}\)
Nothing to preview
Insert