Ubiquiti – USG – Nastavení L2TP VPN serveru

Pokud vlastníme produkt americké firmy Ubiquity pro bezpečnou bránu do internetu – USG (Unifi Security Gateway) pak v jedné z poslední verzí Unifi kontroleru přibyla možnost konfigurace VPN serveru přes protokol L2TP a níže se dozvíte jak postupovat na straně serveru.

Návod je sepsán pro Unifi Controller ve verzi 5.6.12

Možnost 1 – Synology RADIUS Server

Výhodou tohoto řešení je sdílení seznamu uživatelů mezi Synology NAS serverem a Ubiquiti USG VPN serverem. Pro přístup k VPN tak není potřeba zakládat uživatele, pokud je již nastavený na NAS serveru, ale stačí nastavit RADIUS server na NASu a pak na USG přidat nový RADIUS profil.

RADIUS server na Synology NAS

Instalace a nastavení RADIUS serveru na NAS

Ta je poměrně jednoduchá a jedinou věcí co je potřeba přidat je klientské zařízení USG s následujícími hodnotami:

  • Název – pojmenování klientského zařízení, např. „Router“
  • IP adresa – IP adresa USG Routeru
  • Maska podsítě – Maska podsítě USG Routeru
  • Sdílený tajný klíč – jakýkoliv tajný klíč, který později nastavíme v USG
  • Zatrhneme povolit

Vytvoření RADIUS profilu na USG

Dalším krokem je „spárování“ RADIUS serveru na NASu s USG. K tomu nám poslouží RADIUS profil, jehož přidání najdeme v Unifi controlleru v sekci „Profiles“, kde klikneme na „Create new radius profile“ a vyplníme následující hodnoty:

  • Profile Name – název profilu, např. „NAS“
  • VLAN Support – necháme nezatržené
  • RADIUS Auth Server
    • IP Address – zadáme IP adresu NAS serveru (Radius serveru)
    • Port – zadáme 1812, pokud jsme nezměnili v nastavení – na NASu sekce „Běžná nastavení“ – „Port ověřování“
    • Password/Shared Secret – zadáme „Sdílený tajný klíč“ vyplněný v RADIUS serveru
  • Accounting – necháme nezatržené

Možnost 2 – RADIUS server na USG

Pokud máte některou z posledních verzích Unifi controlleru, pak byste v sekci „Services“ měli vidět záložku „RADIUS“, u které zatím svítí „BETA“, nicméně už je funkční.

Vytvoření Radius uživatele

Prvním krokem při použití RADIUSu na USG je vytvoření účtu uživatele, který použijeme pro přihlašování k VPN. Vyplníme následující:

  • Name – název uživatele
  • Password – heslo
  • VLAN – necháme prázdné
  • Tunnel Type – 2 – Layer Two Tunneling Protocol (L2TP)
  • Tunnel Medium Type – 1 – IPv4 (IP version 4)

Zapnutí RADIUS serveru

V sekci RADIUS se překlikneme na druhou záložku „Server“ a nastavíme:

  • Enable Radius Server – přepneme na ON
  • Secret – zadáme nějaký tajný kód, který bude společný pro všechny uživatele
  • Clients – necháme zatržené
  • Authentication Port – nechápe výchozí port
  • Accouting Port – necháme výchozí port
  • Accounting Interim Interval – necháme výchozí hodnotu
  • Tunneled Reply – necháme ON

V sekci RADIUS profilů bychom nyní měli vidět „Nas“ pokud jsme použili volbu první a nebo „Default“ pokud jste použili možnost druhou.

Definice VPN sítě

Dalším krokem je vytvoření VPN sítě a proto se přepneme do sekce „Networks“ a vypníme:

  • Name – název sítě, např. VPN
  • Purpose – vybereme „Remote User VPN“
  • VPN Type – vybereme „L2TP Server“
  • Pre-Shared Key – vypníme heslo, které jsme nastavení na RADIUS serveru (to společné pro všechny uživatele)
  • Gateway/Subnet – vypníme adresu rozsahu VPN sítě – zobrazí se nám počet IP adres a IP rozsah
  • Name server – můžeme zadat pokud potřebujeme vlastní DNS servery
  • RADIUS Profile – vybereme profil podle možnost, kterou jsme použili – viz. výše

Po přidání bychom měli vidět novou síť jako purpose „Remote User VPN (L2TP)“.

To je vše co je potřeba udělat na serverové straně. Veškeré nastavení Firewallu za nás udělá přímo USG.

Hw: Jak si postavit vlastní domácí WiFi síť?

Je tomu pár týdnů co jsem stal před otázkou v nadpisu tohoto článku a o své nabité postřehy bych se rád podělil. Jak tedy postupovat pokud si doma chcete taky vytvořit bezdrátovou síť?

Než půjdeme do obchodu

Nejprve je potřeba si rozmyslet kolik počítačů budeme propojovat a co všechno by taková síť měla obsahovat. Má situace byla vyloženě modelová a podobnou bude řešit jistě většina, tak tedy dva počítače v jednom bytě a jedno připojení pomocí kabelového modemu, přičemž každý počítač může být v jiném pokoji a „centrála“ sítě bude hned u kabelového modemu. S uvedené situace vyplývá, že jsem potřeboval jednu „centrálu“ sítě a dvě síťové bezdrátové karty do počítačů vše s tím nejzákladnějším dosahem signálu.

Zařízení první – „centrála“ neboli router
router

Prvním zařízením, které bylo potřeba vybrat byl bezdrátový router, který se postará o určité přemostění mezi internetovou síti a nově vznikající sítí domácí. Mé požadavky na další funkce byly možná mírně specifické, ale většinou jsou již obsaženy i v těch nejlevnějších routerech. A nemalou roli samozřejmě hrála i cena a značka. Nakonec jsem si vybral pěkný malý router firmy Ovislink s označením WT-2000R, který jsem zakoupil v CzechComputer. Mezi základní funkce routeru patří funkce brány do sítě WAN (zde napojujeme „internet“), 4portový Ethernet Switch (pro připojení 4 počítačů kabelem) a v neposlední řadě také 2,4GHz Access Point pro bezdrátovou síť. Kromě těchto základních funkcí umí router i další vychytávky jako např. firewall, filtrování dle MAC adres, šifrování, tvorbu tunelů a další věcičky. Celý router je navíc velice snadno konfigurovatelný přes webové rozhraní.

Zařízení druhé – bezdrátové síťové karty do počítačů

sitovka

Dalším z rozhodnutí bylo vybrat síťové karty pro bezdrátovou síť. Vzhledem k již předem vybranému routeru to nebylo rozhodnutí složité, tedy volil jsem stejnou značku a vybral si opět firmu Ovislink a karty s označením WT-2000PCI a zakoupit také u společnosti CzechComputer.

Konfigurace

Tím bylo vše z oblasti hardwaru a zbývalo již „jen“ vše zapojit a nakonfigurovat. Na začátku doporučuji zapojit router k počítači přes pevný kabel – tím máme jistotu, že se na něj připojíme bez konfigurace – a do prohlížeče zadáme adresu https://192.168.1.254 a uživatelské jméno „admin“ heslo „airlive“. Můžeme použít i rychlý wizard, jelikož na základní odzkoušení není opravdu potřeba nic složitě nastavovat. V dalším kroku nainstalujeme síťové karty z přiložených CD a pokud po restartu nenajdou žádnou bezdrátovou síť, tak se pokusíme nastavit IP adresu ručně. Jako IP adresu volíme nějakou z rozsahu 192.168.1.XXX a jako bránu nastavíme adresu routeru, tedy 192.168.1.254. V dalším kroku pak již můžeme zapnout získání adresy pomocí DHCP, jelikož i takovou funkci router má a pomocí webového rozhraní případně nastavit ip adresy jaké se mají jednotlivým počítačům dle MAC adresy síťového adaptéru přidělovat.Doporučuji také zapnout u WiFi zapnout přístup do sítě jen povoleným MAC adresám – aby se vám do sítě nepřipojil nějaký soused 🙂 – a také zvolit nějaký z nabízených způsobů šifrování.

Tím bychom měli mít nastavenu komunikaci mezi počítači a routerem a poslední věcí je připojení kabelu internetu. Ten stačí pouze zapojit, IP adresu si router získá sám a provede i vše ostatní a pokud není problém někde jinde vše by již mělo fungovat. Je to opravdu triviální.
Mě osobně zabralo nejvíce času nastavit u první síťovky nalezení bezdrátové sítě – doporučuji si v prvotní fázi dát počítač blízko routeru, abychom vyloučili problém se signálem. Kdo má notebook ocení výhody bezdrátové sítě ještě mnohem více, ale i u stolního počítače je příjemné, že se po zemi nemusí nikde potulovat kabely a počítač můžete za čas bez problémů přemístit.