VPN SERVER L2TP/IPsec PSK – EdgeRouter

Porgcavalcante | | 4comentários | Infraestrutura, Network

CENÁRIO

Neste cenário a configuração foi Client-to-site, foi usado 1 edgerouter para ser o server vpn com 1 windows para client vpn para se conectar. A WAN da edgerouter era a interface eth0, e era roteada por um modem de internet, nele havia uma DMZ para a edgerouter.

EdgeRouter X SFP 6-Port
Version EdgeOS v1.10.7
OS Client VPN: Windows 10, 8

Verifique a versão do seu EdgeOS com o comando:

show version

ENTRANDO NO MODO DE CONFIGURAÇÃO

Acesse via SSH a edgerouter e vamos iniciar a configuração entrando no modo de configuração:

configure

REGRAS DE FIREWALL

Liberando IKE com porta 500 UDP:

set firewall name WAN_LOCAL rule 30 action accept
set firewall name WAN_LOCAL rule 30 description ike
set firewall name WAN_LOCAL rule 30 destination port 500
set firewall name WAN_LOCAL rule 30 log disable
set firewall name WAN_LOCAL rule 30 protocol udp

Liberando protocolo ESP:

set firewall name WAN_LOCAL rule 40 action accept
set firewall name WAN_LOCAL rule 40 description esp
set firewall name WAN_LOCAL rule 40 log disable
set firewall name WAN_LOCAL rule 40 protocol esp

Liberando porta 4500 com UDP:

set firewall name WAN_LOCAL rule 50 action accept
set firewall name WAN_LOCAL rule 50 description nat-t
set firewall name WAN_LOCAL rule 50 destination port 4500
set firewall name WAN_LOCAL rule 50 log disable
set firewall name WAN_LOCAL rule 50 protocol udp

Liberando L2TP com porta 1701 e IPsec:

set firewall name WAN_LOCAL rule 60 action accept
set firewall name WAN_LOCAL rule 60 description l2tp
set firewall name WAN_LOCAL rule 60 destination port 1701
set firewall name WAN_LOCAL rule 60 ipsec match-ipsec
set firewall name WAN_LOCAL rule 60 log disable
set firewall name WAN_LOCAL rule 60 protocol udp

CONFIGURANDO AUTENTICAÇÃO LOCAL

Abaixo ativamos o modo de autenticação do IPsec por PSK e definimos a chave no segundo comando, no exemplo foi usado “SuaChavePSK” troque isso por sua chave:

set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret SuaChavePSK

A seguir definimos a autenticação no modo local (poderia ser por outro tipo exemplo RADIUS), no segundo comando defina um usuário(aqui chamado de gabriel) e senha, altere o campo “SenhaUser

set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access authentication local-users username gabriel password “SenhaUser”

DEFINIR FAIXA DE ENDEREÇO IP QUE CLIENTES IRÃO OBTER

set vpn l2tp remote-access client-ip-pool start 172.16.0.100
set vpn l2tp remote-access client-ip-pool stop 172.16.0.200

DEFINIR DNS DOS CLIENTES

set vpn l2tp remote-access dns-servers server-1 208.67.222.222
set vpn l2tp remote-access dns-servers server-2 208.67.220.220

DEFINIR INTERFACE RECEBERÁ REQUISIÇÕES DA VPN

CUIDADO, aqui deverá ser executa um dos 3 comando abaixo, apenas 1 deles, pois o primeiro é caso receba o link de internet através de um dhcp, o segundo comando é caso use IP static, o terceiro receba através de PPPoE:

(WAN via DHCP) # set vpn l2tp remote-access dhcp-interface eth0
(WAN STATIC IP) # set vpn l2tp remote-access outside-address
(WAN via PPPoE) # set vpn l2tp remote-access outside-address 0.0.0.0

Para qualquer um dos casos acima, defina a interface que receberá requisições com o comando abaixo, no exemplo foi usado eth0:

set vpn ipsec ipsec-interfaces interface eth0

SALVANDO CONFIGURAÇÕES

commit ; save

CONFIGURAÇÃO CLIENT WINDOWS

No Windows a configuração é bem simples, pode acompanhar este link para configuração.

Apenas um ajuste do registro do Windows foi preciso para que ele pudesse suportar a VPN com PSK. Abaixo execute o comando no cmd como administrador e depois reinicie a estação:

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

FONTES

https://help.ubnt.com/hc/en-us/articles/115005445768-UniFi-USG-Configuring-L2TP-Remote-Access-VPN

https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN-Server

Marcado com , , , ,

4 comentários em “VPN SERVER L2TP/IPsec PSK – EdgeRouter

  1. Ribamar

    Dezembro de 2021, bom dia

    Por gentileza, se eu colocar esses dados todos na CLI, do edgerouter, terei uma VPN interna no equipamento, que vai otimizar minha rota em jogos?

      -   Responder
    1. Ribamar

      Outra pergunta, essa faixa de endereço de IP, tem que ser a mesma do DHCP do edgerouter ou é uma nova?

      Grato

        -   Responder
      1. gcavalcante

        Olá, a rede citada como de inicio 172.16.0.100 até 172.16.0.200 pode ser qualquer outra, como 192.168.100.100…pois servirá para entregar os IPs nos dispositivos que se conectarem na VPN do edgerouter. Quando o Edgerouter receber uma solicitação de acesso a rede interna ele assim saberá para quem enviar, pois cada dispositivo conectada terá um IP desse range DHCP.

          -   Responder
    2. gcavalcante

      Olá, essa VPN servirá para que externamente(digamos conectado a uma rede móvel ou outra internet que não seja a do edgerouter), você tenha acesso a rede local(lan) do edgerouter em questão. Por exemplo, digamos que esse edgerouter esteja em sua casa e você tenha essa VPN configurada, assim terá acesso a rede interna desse edgerouter de qualquer outro lugar. Não servirá para otimizar jogos.

        -   Responder

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *