Ubiquiti – USG – Nastavení L2TP VPN připojení na mobilu (iOS)

Zejména na cestách se může hodit možnost připojit se do domácí sítě prostřednictvím VPN a pokud máme jako router Ubiquity USG pak můžeme využít protokol L2TP a co je potřeba nastavit jsme si řekli v přechozím článku.

Níže uvedený postup platí pro iOS 10.3.

Nastavení nového VPN připojení

Přejdeme do „Nastavení/Obecné/VPN“ a klikneme na „Přidat konfiguraci VPN…“

a vyplníme nastavení:

  • Typ – vybereme L2TP
  • Server – zadáme veřejnou IP adresu domácího připojení (tedy tam kam se chceme připojit)
  • Účet – uživatelské jméno, které se bude ověřovat vůči RADIUS serveru
  • RSA SecurID – necháme nezatržené
  • Heslo – uživatelské heslo
  • Sdílený klíč – sdílené heslo
  • Odeslat vše – zatrhneme – veškeré požadavky (i na Internet) půjdou skrz domácí připojení

Připojení se přes VPN

Vrátíme se zpět na plochu a v „Nastavení“ se nám objeví nová položka „VPN“, kde můžeme aktivovat připojení na VPN.

Pokud jsme vše nastavili vpořádku a server náš požadavek přijal, pak bychom v horní liště měli vidět ikonku „VPN“.

Ubiquiti – USG – Nastavení L2TP VPN serveru

Pokud vlastníme produkt americké firmy Ubiquity pro bezpečnou bránu do internetu – USG (Unifi Security Gateway) pak v jedné z poslední verzí Unifi kontroleru přibyla možnost konfigurace VPN serveru přes protokol L2TP a níže se dozvíte jak postupovat na straně serveru.

Návod je sepsán pro Unifi Controller ve verzi 5.6.12

Možnost 1 – Synology RADIUS Server

Výhodou tohoto řešení je sdílení seznamu uživatelů mezi Synology NAS serverem a Ubiquiti USG VPN serverem. Pro přístup k VPN tak není potřeba zakládat uživatele, pokud je již nastavený na NAS serveru, ale stačí nastavit RADIUS server na NASu a pak na USG přidat nový RADIUS profil.

RADIUS server na Synology NAS

Instalace a nastavení RADIUS serveru na NAS

Ta je poměrně jednoduchá a jedinou věcí co je potřeba přidat je klientské zařízení USG s následujícími hodnotami:

  • Název – pojmenování klientského zařízení, např. „Router“
  • IP adresa – IP adresa USG Routeru
  • Maska podsítě – Maska podsítě USG Routeru
  • Sdílený tajný klíč – jakýkoliv tajný klíč, který později nastavíme v USG
  • Zatrhneme povolit

Vytvoření RADIUS profilu na USG

Dalším krokem je „spárování“ RADIUS serveru na NASu s USG. K tomu nám poslouží RADIUS profil, jehož přidání najdeme v Unifi controlleru v sekci „Profiles“, kde klikneme na „Create new radius profile“ a vyplníme následující hodnoty:

  • Profile Name – název profilu, např. „NAS“
  • VLAN Support – necháme nezatržené
  • RADIUS Auth Server
    • IP Address – zadáme IP adresu NAS serveru (Radius serveru)
    • Port – zadáme 1812, pokud jsme nezměnili v nastavení – na NASu sekce „Běžná nastavení“ – „Port ověřování“
    • Password/Shared Secret – zadáme „Sdílený tajný klíč“ vyplněný v RADIUS serveru
  • Accounting – necháme nezatržené

Možnost 2 – RADIUS server na USG

Pokud máte některou z posledních verzích Unifi controlleru, pak byste v sekci „Services“ měli vidět záložku „RADIUS“, u které zatím svítí „BETA“, nicméně už je funkční.

Vytvoření Radius uživatele

Prvním krokem při použití RADIUSu na USG je vytvoření účtu uživatele, který použijeme pro přihlašování k VPN. Vyplníme následující:

  • Name – název uživatele
  • Password – heslo
  • VLAN – necháme prázdné
  • Tunnel Type – 2 – Layer Two Tunneling Protocol (L2TP)
  • Tunnel Medium Type – 1 – IPv4 (IP version 4)

Zapnutí RADIUS serveru

V sekci RADIUS se překlikneme na druhou záložku „Server“ a nastavíme:

  • Enable Radius Server – přepneme na ON
  • Secret – zadáme nějaký tajný kód, který bude společný pro všechny uživatele
  • Clients – necháme zatržené
  • Authentication Port – nechápe výchozí port
  • Accouting Port – necháme výchozí port
  • Accounting Interim Interval – necháme výchozí hodnotu
  • Tunneled Reply – necháme ON

V sekci RADIUS profilů bychom nyní měli vidět „Nas“ pokud jsme použili volbu první a nebo „Default“ pokud jste použili možnost druhou.

Definice VPN sítě

Dalším krokem je vytvoření VPN sítě a proto se přepneme do sekce „Networks“ a vypníme:

  • Name – název sítě, např. VPN
  • Purpose – vybereme „Remote User VPN“
  • VPN Type – vybereme „L2TP Server“
  • Pre-Shared Key – vypníme heslo, které jsme nastavení na RADIUS serveru (to společné pro všechny uživatele)
  • Gateway/Subnet – vypníme adresu rozsahu VPN sítě – zobrazí se nám počet IP adres a IP rozsah
  • Name server – můžeme zadat pokud potřebujeme vlastní DNS servery
  • RADIUS Profile – vybereme profil podle možnost, kterou jsme použili – viz. výše

Po přidání bychom měli vidět novou síť jako purpose „Remote User VPN (L2TP)“.

To je vše co je potřeba udělat na serverové straně. Veškeré nastavení Firewallu za nás udělá přímo USG.

Jak zjistit rychlost lokální sítě?

Webových stránek a aplikací měřící rychlost připojení na internet je mnoho. Co když ale chceme znát rychlost v rámci naší domácí (lokální, LAN) sítě? Použijeme aplikaci iperf.

Co budeme potřebovat?

Rychlost je potřeba vždy měřit mezi dvěmi body, tj. budeme potřebovat dvě zařízení u nás doma, které jsou připojeny do sítě a mohou to být:

  1. počítač – víceméně jakýkoliv PC s operačním systémem Windows, Linux nebo OSX, který má dostatečně rychlý disk a síťovku
  2. mobilní telefon nebo table – pokud si vystačíme s proměřením bezdrátové WiFi můžeme šáhnout i po telefonu či tabletu
  3. NAS server – zde už obecně nelze říct jestli půjde NASka na test využít či nikoliv. Prvotním předpokladem je, abychom dokázali na NASku aplikaci iperf nainstalovat – v případě NAs od Synology bychom toho měli být schopni pomocí dpkg.

Jak měřit?

Obecně můžeme ke každému bodu měřit rychlost stahování (download) a rychlost posílání (upload).

V případě rychlosti stahování musí být bod v režimu klient a protějšek v režimu server. Při rychlosti nahrávání je to přesně naopak.

Režim klient

iperf -c <IPadresaServeru> -i <intervalVypisuVysledku> -t <dobaMereni> -f <jednotka>

Použijeme několik parametrů:

  • c – za tento parametr napíšeme IP adresu nebo název cíle (protějšku vůči kterému měříme)
  • i (volitelně) – určuje po kolika sekundách budeme dostávat na obrazovku aktuální výsledek testu
  • t (volitelně) – určuje požadovanou dobu testu v sekundách
  • f (volitelně) – určuje jednotku v které bude vypsán výsledek. Malá písmenka jsou bitech, velká v Bajtech. Tj. např. m = megabit a M = Megabajt.
  • p (volitelně) – port na kterém služba naslouchá na protějšku (standardně 5001)
Iperf - klient
Klientská strana – Stolní počítač s SSD diskem a 1Gbit síťovkou

Pokud nemáme k dispozici dva počítače pak můžeme otestovat alespoň rychlost WiFi pomocí mobilu (aplikace network tools), který však umí běžet jen v režimu klient.

iPerf mobil
Klientská strana – mobil

Režim server

iperf -s

Můžeme použít úplně stejné parametry jako na klientské straně.

iperf - server
Serverová strana – NASka s plotnovými disky a 1Gbit síťovkou

Jak číst výsledek?

Z výše uvedeného příkladu jsme dostali výsledek měření mezi stolním počítačem s 1Gbit síťovou kartou a SSD diskem (teoretická max. rychlost je tak něco přes 100MB/s) vůči NAS serveru, který disponuje také 1Gbit síťovkou, ale zřejmě nestíhá zápis tak rychle = rychlost cca 59MB/s.  Proč je zápis pomalejší upřímně zatím netuším, jelikož při testu rychlosti disku přímo na NASce dostávám dostatečnou hodnotu 132MB/s.

Rychlost zápisu disku na NASce
Rychlost zápisu disku na NASce

U testu z mobilu jsme pak zjistili rychlost kolem 70MB/s, což vůbec není špatné – jedná se o standardní modem Cisco od UPC.

Uděláme-li si však obrácené měření, tj. zapisovat budeme na stolní počítač, tak se dostaneme na maximum 1Gbit = rychlost cca 110MB/s.

iperf opačně
Přenos NASkou (čtení) a stolním PC (zápis) na 1Gbit síti

Hw: Jak si postavit vlastní domácí WiFi síť?

Je tomu pár týdnů co jsem stal před otázkou v nadpisu tohoto článku a o své nabité postřehy bych se rád podělil. Jak tedy postupovat pokud si doma chcete taky vytvořit bezdrátovou síť?

Než půjdeme do obchodu

Nejprve je potřeba si rozmyslet kolik počítačů budeme propojovat a co všechno by taková síť měla obsahovat. Má situace byla vyloženě modelová a podobnou bude řešit jistě většina, tak tedy dva počítače v jednom bytě a jedno připojení pomocí kabelového modemu, přičemž každý počítač může být v jiném pokoji a „centrála“ sítě bude hned u kabelového modemu. S uvedené situace vyplývá, že jsem potřeboval jednu „centrálu“ sítě a dvě síťové bezdrátové karty do počítačů vše s tím nejzákladnějším dosahem signálu.

Zařízení první – „centrála“ neboli router
router

Prvním zařízením, které bylo potřeba vybrat byl bezdrátový router, který se postará o určité přemostění mezi internetovou síti a nově vznikající sítí domácí. Mé požadavky na další funkce byly možná mírně specifické, ale většinou jsou již obsaženy i v těch nejlevnějších routerech. A nemalou roli samozřejmě hrála i cena a značka. Nakonec jsem si vybral pěkný malý router firmy Ovislink s označením WT-2000R, který jsem zakoupil v CzechComputer. Mezi základní funkce routeru patří funkce brány do sítě WAN (zde napojujeme „internet“), 4portový Ethernet Switch (pro připojení 4 počítačů kabelem) a v neposlední řadě také 2,4GHz Access Point pro bezdrátovou síť. Kromě těchto základních funkcí umí router i další vychytávky jako např. firewall, filtrování dle MAC adres, šifrování, tvorbu tunelů a další věcičky. Celý router je navíc velice snadno konfigurovatelný přes webové rozhraní.

Zařízení druhé – bezdrátové síťové karty do počítačů

sitovka

Dalším z rozhodnutí bylo vybrat síťové karty pro bezdrátovou síť. Vzhledem k již předem vybranému routeru to nebylo rozhodnutí složité, tedy volil jsem stejnou značku a vybral si opět firmu Ovislink a karty s označením WT-2000PCI a zakoupit také u společnosti CzechComputer.

Konfigurace

Tím bylo vše z oblasti hardwaru a zbývalo již „jen“ vše zapojit a nakonfigurovat. Na začátku doporučuji zapojit router k počítači přes pevný kabel – tím máme jistotu, že se na něj připojíme bez konfigurace – a do prohlížeče zadáme adresu https://192.168.1.254 a uživatelské jméno „admin“ heslo „airlive“. Můžeme použít i rychlý wizard, jelikož na základní odzkoušení není opravdu potřeba nic složitě nastavovat. V dalším kroku nainstalujeme síťové karty z přiložených CD a pokud po restartu nenajdou žádnou bezdrátovou síť, tak se pokusíme nastavit IP adresu ručně. Jako IP adresu volíme nějakou z rozsahu 192.168.1.XXX a jako bránu nastavíme adresu routeru, tedy 192.168.1.254. V dalším kroku pak již můžeme zapnout získání adresy pomocí DHCP, jelikož i takovou funkci router má a pomocí webového rozhraní případně nastavit ip adresy jaké se mají jednotlivým počítačům dle MAC adresy síťového adaptéru přidělovat.Doporučuji také zapnout u WiFi zapnout přístup do sítě jen povoleným MAC adresám – aby se vám do sítě nepřipojil nějaký soused 🙂 – a také zvolit nějaký z nabízených způsobů šifrování.

Tím bychom měli mít nastavenu komunikaci mezi počítači a routerem a poslední věcí je připojení kabelu internetu. Ten stačí pouze zapojit, IP adresu si router získá sám a provede i vše ostatní a pokud není problém někde jinde vše by již mělo fungovat. Je to opravdu triviální.
Mě osobně zabralo nejvíce času nastavit u první síťovky nalezení bezdrátové sítě – doporučuji si v prvotní fázi dát počítač blízko routeru, abychom vyloučili problém se signálem. Kdo má notebook ocení výhody bezdrátové sítě ještě mnohem více, ale i u stolního počítače je příjemné, že se po zemi nemusí nikde potulovat kabely a počítač můžete za čas bez problémů přemístit.