VPN SERVER L2TP/IPsec PSK – EdgeRouter

CENÁRIO

Neste cenário a configuração foi Client-to-site, foi usado 1 edgerouter para ser o server vpn com 1 windows para client vpn para se conectar. A WAN da edgerouter era a interface eth0, e era roteada por um modem de internet, nele havia uma DMZ para a edgerouter.

EdgeRouter X SFP 6-Port
Version EdgeOS v1.10.7

OS Client VPN: Windows 10, 8

Verifique a versão do seu EdgeOS com o comando:

[simterm] # show version [/simterm]

ENTRANDO NO MODO DE CONFIGURAÇÃO

Acesse via SSH a edgerouter e vamos iniciar a configuração entrando no modo de configuração:

[simterm]# configure [/simterm]

REGRAS DE FIREWALL

Liberando IKE com porta 500 UDP:

[simterm] #set firewall name WAN_LOCAL rule 30 action accept

# set firewall name WAN_LOCAL rule 30 description ike

# set firewall name WAN_LOCAL rule 30 destination port 500

# set firewall name WAN_LOCAL rule 30 log disable

# set firewall name WAN_LOCAL rule 30 protocol udp [/simterm]

Liberando protocolo ESP:

[simterm]# set firewall name WAN_LOCAL rule 40 action accept

# set firewall name WAN_LOCAL rule 40 description esp

# set firewall name WAN_LOCAL rule 40 log disable

# set firewall name WAN_LOCAL rule 40 protocol esp [/simterm]

Liberando porta 4500 com UDP:

[simterm] # set firewall name WAN_LOCAL rule 50 action accept

# set firewall name WAN_LOCAL rule 50 description nat-t

# set firewall name WAN_LOCAL rule 50 destination port 4500

# set firewall name WAN_LOCAL rule 50 log disable

# set firewall name WAN_LOCAL rule 50 protocol udp [/simterm]

Liberando L2TP com porta 1701 e IPsec:

[simterm]# set firewall name WAN_LOCAL rule 60 action accept

# set firewall name WAN_LOCAL rule 60 description l2tp

# set firewall name WAN_LOCAL rule 60 destination port 1701

# set firewall name WAN_LOCAL rule 60 ipsec match-ipsec

# set firewall name WAN_LOCAL rule 60 log disable

# set firewall name WAN_LOCAL rule 60 protocol udp [/simterm]

CONFIGURANDO AUTENTICAÇÃO LOCAL

Abaixo ativamos o modo de autenticação do IPsec por PSK e definimos a chave no segundo comando, no exemplo foi usado “SuaChavePSK” troque isso por sua chave:

[simterm] # set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret

# set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret SuaChavePSK [/simterm]

A seguir definimos a autenticação no modo local (poderia ser por outro tipo exemplo RADIUS), no segundo comando defina um usuário(aqui chamado de gabriel) e senha, altere o campo “SenhaUser“

[simterm] # set vpn l2tp remote-access authentication mode local

# set vpn l2tp remote-access authentication local-users username gabriel password “SenhaUser” [/simterm]

DEFINIR FAIXA DE ENDEREÇO IP QUE CLIENTES IRÃO OBTER

[simterm] # set vpn l2tp remote-access client-ip-pool start 172.16.0.100

# set vpn l2tp remote-access client-ip-pool stop 172.16.0.200 [/simterm]

DEFINIR DNS DOS CLIENTES

[simterm] # set vpn l2tp remote-access dns-servers server-1 208.67.222.222

# set vpn l2tp remote-access dns-servers server-2 208.67.220.220 [/simterm]

DEFINIR INTERFACE RECEBERÁ REQUISIÇÕES DA VPN

CUIDADO, aqui deverá ser executa um dos 3 comando abaixo, apenas 1 deles, pois o primeiro é caso receba o link de internet através de um dhcp, o segundo comando é caso use IP static, o terceiro receba através de PPPoE:

[simterm] (WAN via DHCP) # set vpn l2tp remote-access dhcp-interface eth0

(WAN STATIC IP) # set vpn l2tp remote-access outside-address

(WAN via PPPoE) # set vpn l2tp remote-access outside-address 0.0.0.0 [/simterm]

Para qualquer um dos casos acima, defina a interface que receberá requisições com o comando abaixo, no exemplo foi usado eth0:

[simterm] # set vpn ipsec ipsec-interfaces interface eth0 [/simterm]

SALVANDO CONFIGURAÇÕES

[simterm] # commit ; save [/simterm]

CONFIGURAÇÃO CLIENT WINDOWS

No Windows a configuração é bem simples, pode acompanhar este link para configuração.

Apenas um ajuste do registro do Windows foi preciso para que ele pudesse suportar a VPN com PSK. Abaixo execute o comando no cmd como administrador e depois reinicie a estação:

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

FONTES

https://help.ubnt.com/hc/en-us/articles/115005445768-UniFi-USG-Configuring-L2TP-Remote-Access-VPN

https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN-Server