VPN SERVER L2TP/IPsec PSK – EdgeRouter

CENÁRIO

Neste cenário a configuração foi Client-to-site, foi usado 1 edgerouter para ser o server vpn com 1 windows para client vpn para se conectar. A WAN da edgerouter era a interface eth0, e era roteada por um modem de internet, nele havia uma DMZ para a edgerouter.

EdgeRouter X SFP 6-Port
Version EdgeOS v1.10.7
OS Client VPN: Windows 10, 8

Verifique a versão do seu EdgeOS com o comando:

[simterm] # show version [/simterm]

ENTRANDO NO MODO DE CONFIGURAÇÃO

Acesse via SSH a edgerouter e vamos iniciar a configuração entrando no modo de configuração:

[simterm]# configure [/simterm]

REGRAS DE FIREWALL

Liberando IKE com porta 500 UDP:

[simterm] #set firewall name WAN_LOCAL rule 30 action accept

# set firewall name WAN_LOCAL rule 30 description ike

# set firewall name WAN_LOCAL rule 30 destination port 500

# set firewall name WAN_LOCAL rule 30 log disable

# set firewall name WAN_LOCAL rule 30 protocol udp [/simterm]

Liberando protocolo ESP:

[simterm]# set firewall name WAN_LOCAL rule 40 action accept

# set firewall name WAN_LOCAL rule 40 description esp

# set firewall name WAN_LOCAL rule 40 log disable

# set firewall name WAN_LOCAL rule 40 protocol esp [/simterm]

Liberando porta 4500 com UDP:

[simterm] # set firewall name WAN_LOCAL rule 50 action accept


# set firewall name WAN_LOCAL rule 50 description nat-t


# set firewall name WAN_LOCAL rule 50 destination port 4500


# set firewall name WAN_LOCAL rule 50 log disable


# set firewall name WAN_LOCAL rule 50 protocol udp [/simterm]

Liberando L2TP com porta 1701 e IPsec:

[simterm]# set firewall name WAN_LOCAL rule 60 action accept

# set firewall name WAN_LOCAL rule 60 description l2tp

# set firewall name WAN_LOCAL rule 60 destination port 1701

# set firewall name WAN_LOCAL rule 60 ipsec match-ipsec

# set firewall name WAN_LOCAL rule 60 log disable

# set firewall name WAN_LOCAL rule 60 protocol udp [/simterm]

CONFIGURANDO AUTENTICAÇÃO LOCAL

Abaixo ativamos o modo de autenticação do IPsec por PSK e definimos a chave no segundo comando, no exemplo foi usado “SuaChavePSK” troque isso por sua chave:

[simterm] # set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret


# set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret SuaChavePSK [/simterm]

A seguir definimos a autenticação no modo local (poderia ser por outro tipo exemplo RADIUS), no segundo comando defina um usuário(aqui chamado de gabriel) e senha, altere o campo “SenhaUser

[simterm] # set vpn l2tp remote-access authentication mode local


# set vpn l2tp remote-access authentication local-users username gabriel password “SenhaUser” [/simterm]

DEFINIR FAIXA DE ENDEREÇO IP QUE CLIENTES IRÃO OBTER

[simterm] # set vpn l2tp remote-access client-ip-pool start 172.16.0.100


# set vpn l2tp remote-access client-ip-pool stop 172.16.0.200 [/simterm]

DEFINIR DNS DOS CLIENTES

[simterm] # set vpn l2tp remote-access dns-servers server-1 208.67.222.222


# set vpn l2tp remote-access dns-servers server-2 208.67.220.220 [/simterm]

DEFINIR INTERFACE RECEBERÁ REQUISIÇÕES DA VPN

CUIDADO, aqui deverá ser executa um dos 3 comando abaixo, apenas 1 deles, pois o primeiro é caso receba o link de internet através de um dhcp, o segundo comando é caso use IP static, o terceiro receba através de PPPoE:

[simterm] (WAN via DHCP) # set vpn l2tp remote-access dhcp-interface eth0


(WAN STATIC IP) # set vpn l2tp remote-access outside-address


(WAN via PPPoE) # set vpn l2tp remote-access outside-address 0.0.0.0 [/simterm]

Para qualquer um dos casos acima, defina a interface que receberá requisições com o comando abaixo, no exemplo foi usado eth0:

[simterm] # set vpn ipsec ipsec-interfaces interface eth0 [/simterm]

SALVANDO CONFIGURAÇÕES

[simterm] # commit ; save [/simterm]

CONFIGURAÇÃO CLIENT WINDOWS

No Windows a configuração é bem simples, pode acompanhar este link para configuração.

Apenas um ajuste do registro do Windows foi preciso para que ele pudesse suportar a VPN com PSK. Abaixo execute o comando no cmd como administrador e depois reinicie a estação:

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

FONTES

https://help.ubnt.com/hc/en-us/articles/115005445768-UniFi-USG-Configuring-L2TP-Remote-Access-VPN

https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN-Server

4 comments

Ribamar

Dezembro de 2021, bom dia
Por gentileza, se eu colocar esses dados todos na CLI, do edgerouter, terei uma VPN interna no equipamento, que vai otimizar minha rota em jogos?

    Ribamar

    Outra pergunta, essa faixa de endereço de IP, tem que ser a mesma do DHCP do edgerouter ou é uma nova?
    Grato

      gcavalcante

      Olá, a rede citada como de inicio 172.16.0.100 até 172.16.0.200 pode ser qualquer outra, como 192.168.100.100…pois servirá para entregar os IPs nos dispositivos que se conectarem na VPN do edgerouter. Quando o Edgerouter receber uma solicitação de acesso a rede interna ele assim saberá para quem enviar, pois cada dispositivo conectada terá um IP desse range DHCP.

    gcavalcante

    Olá, essa VPN servirá para que externamente(digamos conectado a uma rede móvel ou outra internet que não seja a do edgerouter), você tenha acesso a rede local(lan) do edgerouter em questão. Por exemplo, digamos que esse edgerouter esteja em sua casa e você tenha essa VPN configurada, assim terá acesso a rede interna desse edgerouter de qualquer outro lugar. Não servirá para otimizar jogos.

Publicar comentário