Содержание
Тема VPN-соединений будет актуальна ближайшее время так точно! Что это нам даёт? Довольно простой и безопасный способ обмениваться данными по открытой сети Интернет внутри защищённого (криптографическими методами) туннеля.
Типовых сценариев использования VPN несколько, но всегда можно придумать различные вариации и комбинации. На то мы и сисадмины, чтобы нетриваильные задачи разделять на тривиальные и решать их хорошо зарекомендовавшими себя “бест практикс”.
- Подключение клиента к корпоративной сети посредством сети Интернет. Например, человек работает из дома (ковид, ага), или в командировке нужно забрать почту.
- Объединение двух офисов (филиалы) в одну сеть.
Ну чтож, начнём настраивать! Исходные данные – у нас есть hAP lite, прошивка v6.45.9 с белым адресом.
Погнали!
Шаг 1. Выделяем пул для адресов VPN-клиентов
Чтобы не мешать всех в одну кучу, лучше выделить сразу подсеть (пул) для клиентов, подключающихся по VPN. Проще будет настройка файрволла и маршрутизация. Для этого перейдём в раздел “IP -> Pool” и добавим новый пул VPN_pool с диапазоном адресов, например 10.0.10.10-10.0.10.20 (21 адрес, получается).
Отлично! Вы великолепны! Если так пойдёт и дальше – всё быстро настроим.
Шаг 2. Создаём профиль для VPN
Открываем раздел “PPP”, переходим на вкладку “Profiles” и добавляем новый профиль. Вот, что нужно там сделать:
- Задать имя профиля
- Указать адреса из нашего пула (см. Шаг 1) как в локальном адресе, так и в удалённом адресе.
- Внизу окна установить опцию “Change TCP MSS” для возможности изменять максимальный размер сегмента данных.
Шаг 3. Аутентификационная информация
На этом шаге мы заведём учётки под пользователей VPN. Для этого перейдём в том же окне (Шаг 2) на вкладку “Secrets”.
Под каждого пользователя создаётся свой секрет. Хотя есть возможность множественного подключения, но удобство такого подхода сомнительно.
Указываем следующие параметры:
- Имя пользователя.
- Пароль пользователя.
- Служба (l2tp).
- Профиль (созданный на предыдущем этапе).
Шаг 4. Запускаем нужную службу и открываем к ней доступ
Собственно, пора запустить саму службу VPN, а именно – в том же разделе “PPP” на вкладке “Interfаce” нажимаем на кнопку “L2TP Server” и в появившемся окне ставим чекбокс “Enabled”, также выбираем Default Profile – созданный на Шаге 2 профиль. В качестве протокола аутентификации отмечаем mschap2, а также активируем использование IPsec для криптографической защиты проходящего трафика. Потребуется также указать предварительный ключ IPsec. Это может быть “123” или что-то более криптостойкое (например “1234” или “qwerty” – выбирайте сами). Я сделаю 8-значный предварительный пароль. Его мы будем указывать позднее, поэтому не забываем.
Ну и так как запустили службу, нам потребуется на межсетевом экране открыть нужные порты для подключений. Идём в “IP -> Firewall” и добавляем правило “accept” на цепочку “input” разрешая следующие порты: 1701/udp, 500/udp, 4500/udp.
Шаг 5. Глючок в IPsec
Не знаю почему, но у меня на текущем этапе подключиться не удалось, пока не произвёл некую модификацию IPsec. Всего несколько действий:
- Переходим в раздел “IP -> IPsec” и добавляем новую группу на вкладке “Groups”
- На вкладке “Policies” создаём новую дефолтную политику и выбираем в качестве шаблона нашу созданную группу:
- Готово.
Шаг 6. Настройка VPN-клиента Windows
Сервер настроен, пора настроить клиента.
Идём в Центр управления сетями и общим доступом и нажимаем на “Настройка нового подключения или сети”:
В появившемся окне выбираем пункт “Подключение к рабочему месту”.Здесь нажимаем “Использовать мое подключение к Интернету (VPN)”. То есть туннель будет строиться поверх уже имеющегося соединения.
На следующем шаге указываем IP нашего Mikrotik, который настроен на предыдущих шагах и является “воротами” в корпоративную сеть. Также зададим имя для нашего VPN-соединения.
На следующем шаге укажем логин и пароль пользователя, созданные на Шаге 3.Подключиться нам не удастся пока, не ввели предварительный секрет IPsec, поэтому зайдём в свойства созданного VPN-подключения.
Изменим тип VPN на “L2TP IPsec VPN”, нажав на кнопку “Дополнительные параметры” введём наш предварительный ключ.
Вот теперь подключение удаётся сделать и криптография поднялась нормально. Можно ходить в корпоративную сеть )
Шаг 7. Настройка VPN-клиента в Linux
Ну я был бы не я, если бы не описал настройку клиента в Linux ) Продолжим популяризировать наш Linux Mint.
Чтобы добавить новое подключение к VPN-серверу, в системном трее нужно кликнуть на иконку сетевого соединения и добавить новое подключение.
Как видим, “Из коробки” нам доступны только OpenVPN и PPTP типы VPN. Нет нашего L2TP+IPsec. Придётся доустановить некоторые недостающие пакеты:
# apt-get update
# add-apt-repository ppa:nm-l2tp/network-manager-l2tp
# apt-get install xl2tpd network-manager-l2tp network-manager-l2tp-gnome
После этого нам уже доступен новый тип VPN-подключения:
Заполняем поля аналогично клиенту Windows – в качестве шлюза – удалённый IP сервера, логин и пароль L2TP, а также обращаем внимание на две кнопки – IPsec и PPP. В первой – установим PSK для формирования IPsec, во второй – укажем наши алгоритмы шифрования (MSCHAP2 и т.д.)
Теперь можно подключаться к сети:
Спасибо, что дочитали до этого момента. У меня великолепная аудитория)
Comments: