VPN SERVER L2TP/IPsec PSK – EdgeRouter
CENÁRIO
Neste cenário a configuração foi Client-to-site, foi usado 1 edgerouter para ser o server vpn com 1 windows para client vpn para se conectar. A WAN da edgerouter era a interface eth0, e era roteada por um modem de internet, nele havia uma DMZ para a edgerouter.
EdgeRouter X SFP 6-Port
Version EdgeOS v1.10.7
OS Client VPN: Windows 10, 8
Verifique a versão do seu EdgeOS com o comando:
[simterm] # show version [/simterm]
ENTRANDO NO MODO DE CONFIGURAÇÃO
Acesse via SSH a edgerouter e vamos iniciar a configuração entrando no modo de configuração:
[simterm]# configure [/simterm]
REGRAS DE FIREWALL
Liberando IKE com porta 500 UDP:
[simterm] #set firewall name WAN_LOCAL rule 30 action accept
# set firewall name WAN_LOCAL rule 30 description ike
# set firewall name WAN_LOCAL rule 30 destination port 500
# set firewall name WAN_LOCAL rule 30 log disable
# set firewall name WAN_LOCAL rule 30 protocol udp [/simterm]
Liberando protocolo ESP:
[simterm]# set firewall name WAN_LOCAL rule 40 action accept
# set firewall name WAN_LOCAL rule 40 description esp
# set firewall name WAN_LOCAL rule 40 log disable
# set firewall name WAN_LOCAL rule 40 protocol esp [/simterm]
Liberando porta 4500 com UDP:
[simterm] # set firewall name WAN_LOCAL rule 50 action accept
# set firewall name WAN_LOCAL rule 50 description nat-t
# set firewall name WAN_LOCAL rule 50 destination port 4500
# set firewall name WAN_LOCAL rule 50 log disable
# set firewall name WAN_LOCAL rule 50 protocol udp [/simterm]
Liberando L2TP com porta 1701 e IPsec:
[simterm]# set firewall name WAN_LOCAL rule 60 action accept
# set firewall name WAN_LOCAL rule 60 description l2tp
# set firewall name WAN_LOCAL rule 60 destination port 1701
# set firewall name WAN_LOCAL rule 60 ipsec match-ipsec
# set firewall name WAN_LOCAL rule 60 log disable
# set firewall name WAN_LOCAL rule 60 protocol udp [/simterm]
CONFIGURANDO AUTENTICAÇÃO LOCAL
Abaixo ativamos o modo de autenticação do IPsec por PSK e definimos a chave no segundo comando, no exemplo foi usado “SuaChavePSK” troque isso por sua chave:
[simterm] # set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
# set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret SuaChavePSK [/simterm]
A seguir definimos a autenticação no modo local (poderia ser por outro tipo exemplo RADIUS), no segundo comando defina um usuário(aqui chamado de gabriel) e senha, altere o campo “SenhaUser“
[simterm] # set vpn l2tp remote-access authentication mode local
# set vpn l2tp remote-access authentication local-users username gabriel password “SenhaUser” [/simterm]
DEFINIR FAIXA DE ENDEREÇO IP QUE CLIENTES IRÃO OBTER
[simterm] # set vpn l2tp remote-access client-ip-pool start 172.16.0.100
# set vpn l2tp remote-access client-ip-pool stop 172.16.0.200 [/simterm]
DEFINIR DNS DOS CLIENTES
[simterm] # set vpn l2tp remote-access dns-servers server-1 208.67.222.222
# set vpn l2tp remote-access dns-servers server-2 208.67.220.220 [/simterm]
DEFINIR INTERFACE RECEBERÁ REQUISIÇÕES DA VPN
CUIDADO, aqui deverá ser executa um dos 3 comando abaixo, apenas 1 deles, pois o primeiro é caso receba o link de internet através de um dhcp, o segundo comando é caso use IP static, o terceiro receba através de PPPoE:
[simterm] (WAN via DHCP) # set vpn l2tp remote-access dhcp-interface eth0
(WAN STATIC IP) # set vpn l2tp remote-access outside-address
(WAN via PPPoE) # set vpn l2tp remote-access outside-address 0.0.0.0 [/simterm]
Para qualquer um dos casos acima, defina a interface que receberá requisições com o comando abaixo, no exemplo foi usado eth0:
[simterm] # set vpn ipsec ipsec-interfaces interface eth0 [/simterm]
SALVANDO CONFIGURAÇÕES
[simterm] # commit ; save [/simterm]
CONFIGURAÇÃO CLIENT WINDOWS
No Windows a configuração é bem simples, pode acompanhar este link para configuração.
Apenas um ajuste do registro do Windows foi preciso para que ele pudesse suportar a VPN com PSK. Abaixo execute o comando no cmd como administrador e depois reinicie a estação:
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f
FONTES
https://help.ubnt.com/hc/en-us/articles/115005445768-UniFi-USG-Configuring-L2TP-Remote-Access-VPN
https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN-Server
4 comments