Pokud vlastníme produkt americké firmy Ubiquity pro bezpečnou bránu do internetu – USG (Unifi Security Gateway) pak v jedné z poslední verzí Unifi kontroleru přibyla možnost konfigurace VPN serveru přes protokol L2TP a níže se dozvíte jak postupovat na straně serveru.
Návod je sepsán pro Unifi Controller ve verzi 5.6.12
Možnost 1 – Synology RADIUS Server
Výhodou tohoto řešení je sdílení seznamu uživatelů mezi Synology NAS serverem a Ubiquiti USG VPN serverem. Pro přístup k VPN tak není potřeba zakládat uživatele, pokud je již nastavený na NAS serveru, ale stačí nastavit RADIUS server na NASu a pak na USG přidat nový RADIUS profil.
![RADIUS server na Synology NAS](https://knut.brloh.eu/wp-content/uploads/2017/07/Screenshot-2017-07-31-21.11.24.png)
Instalace a nastavení RADIUS serveru na NAS
Ta je poměrně jednoduchá a jedinou věcí co je potřeba přidat je klientské zařízení USG s následujícími hodnotami:
- Název – pojmenování klientského zařízení, např. „Router“
- IP adresa – IP adresa USG Routeru
- Maska podsítě – Maska podsítě USG Routeru
- Sdílený tajný klíč – jakýkoliv tajný klíč, který později nastavíme v USG
- Zatrhneme povolit
![](https://knut.brloh.eu/wp-content/uploads/2017/07/Screenshot-2017-07-31-21.05.42.png)
Vytvoření RADIUS profilu na USG
Dalším krokem je „spárování“ RADIUS serveru na NASu s USG. K tomu nám poslouží RADIUS profil, jehož přidání najdeme v Unifi controlleru v sekci „Profiles“, kde klikneme na „Create new radius profile“ a vyplníme následující hodnoty:
- Profile Name – název profilu, např. „NAS“
- VLAN Support – necháme nezatržené
- RADIUS Auth Server
- IP Address – zadáme IP adresu NAS serveru (Radius serveru)
- Port – zadáme 1812, pokud jsme nezměnili v nastavení – na NASu sekce „Běžná nastavení“ – „Port ověřování“
- Password/Shared Secret – zadáme „Sdílený tajný klíč“ vyplněný v RADIUS serveru
- Accounting – necháme nezatržené
![](https://knut.brloh.eu/wp-content/uploads/2017/07/Screenshot-2017-07-31-21.06.56.png)
Možnost 2 – RADIUS server na USG
Pokud máte některou z posledních verzích Unifi controlleru, pak byste v sekci „Services“ měli vidět záložku „RADIUS“, u které zatím svítí „BETA“, nicméně už je funkční.
![](https://knut.brloh.eu/wp-content/uploads/2017/07/Screenshot-2017-07-31-20.34.35.png)
Vytvoření Radius uživatele
Prvním krokem při použití RADIUSu na USG je vytvoření účtu uživatele, který použijeme pro přihlašování k VPN. Vyplníme následující:
- Name – název uživatele
- Password – heslo
- VLAN – necháme prázdné
- Tunnel Type – 2 – Layer Two Tunneling Protocol (L2TP)
- Tunnel Medium Type – 1 – IPv4 (IP version 4)
![](https://knut.brloh.eu/wp-content/uploads/2017/07/Screenshot-2017-07-31-21.30.06.png)
Zapnutí RADIUS serveru
V sekci RADIUS se překlikneme na druhou záložku „Server“ a nastavíme:
- Enable Radius Server – přepneme na ON
- Secret – zadáme nějaký tajný kód, který bude společný pro všechny uživatele
- Clients – necháme zatržené
- Authentication Port – nechápe výchozí port
- Accouting Port – necháme výchozí port
- Accounting Interim Interval – necháme výchozí hodnotu
- Tunneled Reply – necháme ON
![](https://knut.brloh.eu/wp-content/uploads/2017/07/Screenshot-2017-07-31-20.32.40.png)
V sekci RADIUS profilů bychom nyní měli vidět „Nas“ pokud jsme použili volbu první a nebo „Default“ pokud jste použili možnost druhou.
![](https://knut.brloh.eu/wp-content/uploads/2017/07/Screenshot-2017-07-31-21.35.21.png)
Definice VPN sítě
Dalším krokem je vytvoření VPN sítě a proto se přepneme do sekce „Networks“ a vypníme:
- Name – název sítě, např. VPN
- Purpose – vybereme „Remote User VPN“
- VPN Type – vybereme „L2TP Server“
- Pre-Shared Key – vypníme heslo, které jsme nastavení na RADIUS serveru (to společné pro všechny uživatele)
- Gateway/Subnet – vypníme adresu rozsahu VPN sítě – zobrazí se nám počet IP adres a IP rozsah
- Name server – můžeme zadat pokud potřebujeme vlastní DNS servery
- RADIUS Profile – vybereme profil podle možnost, kterou jsme použili – viz. výše
![](https://knut.brloh.eu/wp-content/uploads/2017/07/Screenshot-2017-07-31-20.28.41.png)
Po přidání bychom měli vidět novou síť jako purpose „Remote User VPN (L2TP)“.
![](https://knut.brloh.eu/wp-content/uploads/2017/07/Screenshot-2017-07-31-20.30.19.png)
To je vše co je potřeba udělat na serverové straně. Veškeré nastavení Firewallu za nás udělá přímo USG.