Ubiquiti – USG – Nastavení L2TP VPN připojení na mobilu (iOS)

Zejména na cestách se může hodit možnost připojit se do domácí sítě prostřednictvím VPN a pokud máme jako router Ubiquity USG pak můžeme využít protokol L2TP a co je potřeba nastavit jsme si řekli v přechozím článku.

Níže uvedený postup platí pro iOS 10.3.

Nastavení nového VPN připojení

Přejdeme do „Nastavení/Obecné/VPN“ a klikneme na „Přidat konfiguraci VPN…“

a vyplníme nastavení:

  • Typ – vybereme L2TP
  • Server – zadáme veřejnou IP adresu domácího připojení (tedy tam kam se chceme připojit)
  • Účet – uživatelské jméno, které se bude ověřovat vůči RADIUS serveru
  • RSA SecurID – necháme nezatržené
  • Heslo – uživatelské heslo
  • Sdílený klíč – sdílené heslo
  • Odeslat vše – zatrhneme – veškeré požadavky (i na Internet) půjdou skrz domácí připojení

Připojení se přes VPN

Vrátíme se zpět na plochu a v „Nastavení“ se nám objeví nová položka „VPN“, kde můžeme aktivovat připojení na VPN.

Pokud jsme vše nastavili vpořádku a server náš požadavek přijal, pak bychom v horní liště měli vidět ikonku „VPN“.

Ubiquiti – USG – Nastavení L2TP VPN serveru

Pokud vlastníme produkt americké firmy Ubiquity pro bezpečnou bránu do internetu – USG (Unifi Security Gateway) pak v jedné z poslední verzí Unifi kontroleru přibyla možnost konfigurace VPN serveru přes protokol L2TP a níže se dozvíte jak postupovat na straně serveru.

Návod je sepsán pro Unifi Controller ve verzi 5.6.12

Možnost 1 – Synology RADIUS Server

Výhodou tohoto řešení je sdílení seznamu uživatelů mezi Synology NAS serverem a Ubiquiti USG VPN serverem. Pro přístup k VPN tak není potřeba zakládat uživatele, pokud je již nastavený na NAS serveru, ale stačí nastavit RADIUS server na NASu a pak na USG přidat nový RADIUS profil.

RADIUS server na Synology NAS

Instalace a nastavení RADIUS serveru na NAS

Ta je poměrně jednoduchá a jedinou věcí co je potřeba přidat je klientské zařízení USG s následujícími hodnotami:

  • Název – pojmenování klientského zařízení, např. „Router“
  • IP adresa – IP adresa USG Routeru
  • Maska podsítě – Maska podsítě USG Routeru
  • Sdílený tajný klíč – jakýkoliv tajný klíč, který později nastavíme v USG
  • Zatrhneme povolit

Vytvoření RADIUS profilu na USG

Dalším krokem je „spárování“ RADIUS serveru na NASu s USG. K tomu nám poslouží RADIUS profil, jehož přidání najdeme v Unifi controlleru v sekci „Profiles“, kde klikneme na „Create new radius profile“ a vyplníme následující hodnoty:

  • Profile Name – název profilu, např. „NAS“
  • VLAN Support – necháme nezatržené
  • RADIUS Auth Server
    • IP Address – zadáme IP adresu NAS serveru (Radius serveru)
    • Port – zadáme 1812, pokud jsme nezměnili v nastavení – na NASu sekce „Běžná nastavení“ – „Port ověřování“
    • Password/Shared Secret – zadáme „Sdílený tajný klíč“ vyplněný v RADIUS serveru
  • Accounting – necháme nezatržené

Možnost 2 – RADIUS server na USG

Pokud máte některou z posledních verzích Unifi controlleru, pak byste v sekci „Services“ měli vidět záložku „RADIUS“, u které zatím svítí „BETA“, nicméně už je funkční.

Vytvoření Radius uživatele

Prvním krokem při použití RADIUSu na USG je vytvoření účtu uživatele, který použijeme pro přihlašování k VPN. Vyplníme následující:

  • Name – název uživatele
  • Password – heslo
  • VLAN – necháme prázdné
  • Tunnel Type – 2 – Layer Two Tunneling Protocol (L2TP)
  • Tunnel Medium Type – 1 – IPv4 (IP version 4)

Zapnutí RADIUS serveru

V sekci RADIUS se překlikneme na druhou záložku „Server“ a nastavíme:

  • Enable Radius Server – přepneme na ON
  • Secret – zadáme nějaký tajný kód, který bude společný pro všechny uživatele
  • Clients – necháme zatržené
  • Authentication Port – nechápe výchozí port
  • Accouting Port – necháme výchozí port
  • Accounting Interim Interval – necháme výchozí hodnotu
  • Tunneled Reply – necháme ON

V sekci RADIUS profilů bychom nyní měli vidět „Nas“ pokud jsme použili volbu první a nebo „Default“ pokud jste použili možnost druhou.

Definice VPN sítě

Dalším krokem je vytvoření VPN sítě a proto se přepneme do sekce „Networks“ a vypníme:

  • Name – název sítě, např. VPN
  • Purpose – vybereme „Remote User VPN“
  • VPN Type – vybereme „L2TP Server“
  • Pre-Shared Key – vypníme heslo, které jsme nastavení na RADIUS serveru (to společné pro všechny uživatele)
  • Gateway/Subnet – vypníme adresu rozsahu VPN sítě – zobrazí se nám počet IP adres a IP rozsah
  • Name server – můžeme zadat pokud potřebujeme vlastní DNS servery
  • RADIUS Profile – vybereme profil podle možnost, kterou jsme použili – viz. výše

Po přidání bychom měli vidět novou síť jako purpose „Remote User VPN (L2TP)“.

To je vše co je potřeba udělat na serverové straně. Veškeré nastavení Firewallu za nás udělá přímo USG.

MacOs Sierra – ve Finderu složky při řazení nazačátku

Ve světě Windows máme pro práci se soubory Průzkumník, v MacOS je to Finder. Mezi jeden z nejviditelnějších rozdlílů patří způsob řazení souborů a adresářů. Ve Windows jsou poměrně logicky na začátku adresáře a až poté následující soubory. MacOS dá vše dokupy a seřadí – míchají se tak adresáře a soubory dohromady.

S MacOS již pracuji několik let, ale v míchání souborů a adresářů dohromady stále žádný benefit nevidím. A až donedávna jsem to tak musel řešit pomocí různých rozšiření pro Finder – např. XtraFinder, Total Finder atp.snimek-obrazovky-2016-10-03-v-18-15-30

Naštěstí v novém MacOS Sierra se ukrývá jedna téměř neviditelná změna v nastavení a to konečně možnost mít adresáře při řazení úplně nazačátku. Ve výchozím nastavení je tato volba stále vypnuta.

snimek-obrazovky-2016-10-03-v-18-17-54Po zatržení volby „Při razení podle názvu umístit složky na začátek“ tak vidíme adresáře jako první až pak následují soubory.

Pokud ještě MacOS Sierra nemáte, ale chtěli byste mít adresáře taky na začátku, pak nezbývá než použít např. nějaké ze změných rozšíření do Finderu.

S MacOS Sierra přichází vynucený upgrade Parallels 10

A je to tu zase. Včera vyšla nová verze MacOS Sierra a Parallels mě upozorňuje, že je potřeba si zaplatit ne zrovna levný upgrade jejich aplikace, jinak budu mít s novou instalací smůlu a nebo mi přestanou fungovat některé věci.

parallels

I přesto jsem to risknul, MacOS aktualizoval a ouha, ony skutečně některé věci přestaly fungovat – naštěstí to zatím zdá se není tak dramatické.

Zatím jsem si všimnul, že na image, které umožňovala Coherenci mám tuto volbu nově jaksik zašedlou.

snimek-obrazovky-2016-09-21-v-22-45-56

Naštěstí směr Mac -> Windows co se týče souborů funguje a opačný jsem zatím nepotřeboval.

snimek-obrazovky-2016-09-21-v-22-51-39

Je takto opravdu nutné uživatele defakto nutit k upgrade, když to nebude až tak přímo souviset s novou verzí operačního systému?

Jak obejít blokování vydavatele na Windows 10

V rámci upgrade LAN jsem si koupil pár managed switchů DGS-1100-08 (8 portový 1Gbit) od D-Linku. Po zapojení jsem na nich potřeboval nastavit, aby využívaly přidělení IP adresy z DHCP serveru. K tomu je potřeba využít SmartConsole Utility – bohužel je k dispozici jen pro Windows, která si umí Switche v LAN dohledat.

Stažení instalátoru Smart Console utility

Kouknul jsem na stránky D-Linku, abych si stáhl poslední verzi utility, ale ouha – poslední aktualizace před více jak třemi lety. To jsem ještě netušil, že to bude mít větší následky.

D-LINK SUPPORT

Startujeme s propadlým certifikátem

Switch jsem zapojil a vrhl se na instalaci Smart Console, ale instalátor nešel spustit:

Varování na propadlý certifikát

Jelikož ve Windows, už rozhodně nejsem jako ryba ve vodě, chvíli mi trvalo než jsem zjistil, že celý problém je v certifikátu výrobce SW (tedy D-Linku), jehož platnost už bohužel vzhledem k stáří poslední aktualizace vypršela.

Hlavně nepropadnout panice – příkazový řádek nás zachrání

Už jsem se pomalu začal smiřovat, že na Windows 10 v roce 2016 instalátor nerozjedu, leč při hledání na googlu jsem narazil v jedné diskuzi na poměrně nečekané řešení. Stačí spustit aplikaci z příkazové řádky spuštěné pod správcem a aplikace se rozjede navzdory vypršenému certifikátu.

Nejprve jsem vyhledal „Příkazová řádek“ a pomocí pravého tlačítka vybral „Spustit jako správce“.

Příkazový řádek jako administrátor

Pak už jen stačilo napsat jméno instalátoru (exe souboru) včetně celé cesty a bylo vymalováno – instalátor naběhl.

Aplikace spuštěna

Heuréka – funguje to!

Samotná aplikace pak již běží i pod Windows 10 kupodivu bez problémů. Je až s podivem, že to lze takto poměrně jednoduše obejít.