VPN Server L2TP/IPsec PSK - EdgeRouter

CENÁRIO

Neste cenário a configuração foi Client-to-site, foi usado 1 edgerouter para ser o server vpn com 1 windows para client vpn para se conectar. A WAN da edgerouter era a interface eth0, e era roteada por um modem de internet, nele havia uma DMZ para a edgerouter.

EdgeRouter X SFP 6-Port
Version EdgeOS v1.10.7

OS Client VPN: Windows 10, 8

Verifique a versão do seu EdgeOS com o comando:

show version

ENTRANDO NO MODO DE CONFIGURAÇÃO

Acesse via SSH a edgerouter e vamos iniciar a configuração entrando no modo de configuração:

configure

REGRAS DE FIREWALL

Liberando IKE com porta 500 UDP:

set firewall name WAN_LOCAL rule 30 action accept

set firewall name WAN_LOCAL rule 30 description ike

set firewall name WAN_LOCAL rule 30 destination port 500

set firewall name WAN_LOCAL rule 30 log disable

set firewall name WAN_LOCAL rule 30 protocol udp

Liberando protocolo ESP:

set firewall name WAN_LOCAL rule 40 action accept

set firewall name WAN_LOCAL rule 40 description esp

set firewall name WAN_LOCAL rule 40 log disable

set firewall name WAN_LOCAL rule 40 protocol esp

Liberando porta 4500 com UDP:

set firewall name WAN_LOCAL rule 50 action accept

set firewall name WAN_LOCAL rule 50 description nat-t

set firewall name WAN_LOCAL rule 50 destination port 4500

set firewall name WAN_LOCAL rule 50 log disable

set firewall name WAN_LOCAL rule 50 protocol udp

Liberando L2TP com porta 1701 e IPsec:

set firewall name WAN_LOCAL rule 60 action accept

set firewall name WAN_LOCAL rule 60 description l2tp

set firewall name WAN_LOCAL rule 60 destination port 1701

set firewall name WAN_LOCAL rule 60 ipsec match-ipsec

set firewall name WAN_LOCAL rule 60 log disable

set firewall name WAN_LOCAL rule 60 protocol udp

CONFIGURANDO AUTENTICAÇÃO LOCAL

Abaixo ativamos o modo de autenticação do IPsec por PSK e definimos a chave no segundo comando, no exemplo foi usado “SuaChavePSK” troque isso por sua chave:

set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret

set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret SuaChavePSK

A seguir definimos a autenticação no modo local (poderia ser por outro tipo exemplo RADIUS), no segundo comando defina um usuário(aqui chamado de gabriel) e senha, altere o campo “SenhaUser“

set vpn l2tp remote-access authentication mode local

set vpn l2tp remote-access authentication local-users username gabriel password “SenhaUser”

DEFINIR FAIXA DE ENDEREÇO IP QUE CLIENTES IRÃO OBTER

set vpn l2tp remote-access client-ip-pool start 172.16.0.100

set vpn l2tp remote-access client-ip-pool stop 172.16.0.200

DEFINIR DNS DOS CLIENTES

set vpn l2tp remote-access dns-servers server-1 208.67.222.222

set vpn l2tp remote-access dns-servers server-2 208.67.220.220

DEFINIR INTERFACE RECEBERÁ REQUISIÇÕES DA VPN

CUIDADO, aqui deverá ser executa um dos 3 comando abaixo, apenas 1 deles, pois o primeiro é caso receba o link de internet através de um dhcp, o segundo comando é caso use IP static, o terceiro receba através de PPPoE:

(WAN via DHCP) # set vpn l2tp remote-access dhcp-interface eth0
(WAN STATIC IP) # set vpn l2tp remote-access outside-address
(WAN via PPPoE) # set vpn l2tp remote-access outside-address 0.0.0.0

Para qualquer um dos casos acima, defina a interface que receberá requisições com o comando abaixo, no exemplo foi usado eth0:

set vpn ipsec ipsec-interfaces interface eth0

SALVANDO CONFIGURAÇÕES

commit ; save

CONFIGURAÇÃO CLIENT WINDOWS

No Windows a configuração é bem simples, pode acompanhar este link para configuração.

Apenas um ajuste do registro do Windows foi preciso para que ele pudesse suportar a VPN com PSK. Abaixo execute o comando no cmd como administrador e depois reinicie a estação:

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

FONTES

https://help.ubnt.com/hc/en-us/articles/115005445768-UniFi-USG-Configuring-L2TP-Remote-Access-VPN

https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN-Server