Większość użytkowników końcowych, z którymi przyszło mi pracować używa systemów operacyjnych firmy Microsoft. Ten system natywnie wspiera technologię VPN SSTP (Secure Socket Tuneling Protocol). Jest on bardzo prosty w konfiguracji i łatwo przechodzi przez wszystkie zapory, ponieważ domyślnie używa portu 443 (HTTPS).
Jednak Apple gada tylko z Apple i nie wspiera SSTP. Rozwiązaniem może tu być wdrożenie innej technologii VPN, a mianowicie L2TP.
Konfigurację wykonamy na urządzeniu firmy MikroTik i zaczniemy od dodania nowej puli adresów, które będą przydzielane klientom VPN. Najlepiej jak była by to adresacja nie wykorzystywana na co dzień w sieciach lokalnych (np. 192.168.0.0/24, 10.0.0.0/24, itp.). Nie będę się rozpisywał dlaczego, zrobimy o tym oddzielny wpis. W moim przypadku wybrałem adresację z zakresu: 172.16.160.101-172.16.160.199 dodaję ją do konfiguracji mojego MikroTika za pomocą komendy:
/ip pool add name=pool-l2tp ranges=172.16.160.101-172.16.160.199
Dodajmy teraz profil z którego będzie korzystał L2TP:
/ppp profile add change-tcp-mss=yes dns-server=8.8.8.8 local-address=pool-l2tp remote-address=pool-l2tp use-encryption=yes name=profile-l2tp
Następnie uruchomimy serwer, w tej komendzie musimy dostosować wartość ipsec-secret= zamieniając wyrażenie haslo_wspolne na hasło wspólne, którego będą używać użytkownicy do autentykacji:
/interface l2tp-server server set allow-fast-path=yes authentication=mschap2 default-profile=profile-l2tp enabled=yes ipsec-secret=haslo_wspolne max-mru=1460 max-mtu=1460 one-session-per-host=yes use-ipsec=yes
Kolejne komendy dotyczą konfiguracji samego IPSEC, można je modyfikować na własne potrzeby. Jednak zastosowanie metody kopiuj/wklej poskutkuje uruchomieniem działającej usługi. Szczegółami technologii IPSEC zajmiemy się w oddzielnym wpisie.
/ip ipsec profile add dh-group=modp1024 dpd-interval=2s enc-algorithm=aes-256 hash-algorithm=sha256 name=profile-l2tp
/ip ipsec peer add comment=L2TP name=peer-l2tp passive=yes profile=profile-l2tp
/ip ipsec proposal add enc-algorithms=aes-256-cbc name=proposal-l2tp
Ostatnim krokiem jest dodanie użytkowników. W komendzie definiujemy własną nazwę użytkownika „name=” zamieniając wyrażenie użytkownik. Hasło analogicznie po „password=” zamieniając wyrażenie haslo. Komendę można powtarzać wielokrotnie, w zależności od tego ilu użytkowników chcemy skonfigurować.
/ppp secret add name=uzytkownik password=haslo profile=profile-l2tp service=l2tp
Tak oto siedmioma linijkami kodu można stworzyć działający serwer VPN L2TP z IPCEC na urządzeniach MikroTik.
Poniżej przedstawiam jeszcze zrzut z konfiguracji urządzenia iPhone:
W polu Hasło wpisujemy wartość z „password=” natomiast w polu Hasło wspólne wartość z „ipsec-secret=”
Koniec 🙂
Jeżeli pomogłem to ,a będę miał więcej energii na pisanie kolejnych ciekawych wpisów.