Pokud vlastníme produkt americké firmy Ubiquity pro bezpečnou bránu do internetu – USG (Unifi Security Gateway) pak v jedné z poslední verzí Unifi kontroleru přibyla možnost konfigurace VPN serveru přes protokol L2TP a níže se dozvíte jak postupovat na straně serveru.
Návod je sepsán pro Unifi Controller ve verzi 5.6.12
Možnost 1 – Synology RADIUS Server
Výhodou tohoto řešení je sdílení seznamu uživatelů mezi Synology NAS serverem a Ubiquiti USG VPN serverem. Pro přístup k VPN tak není potřeba zakládat uživatele, pokud je již nastavený na NAS serveru, ale stačí nastavit RADIUS server na NASu a pak na USG přidat nový RADIUS profil.
Instalace a nastavení RADIUS serveru na NAS
Ta je poměrně jednoduchá a jedinou věcí co je potřeba přidat je klientské zařízení USG s následujícími hodnotami:
- Název – pojmenování klientského zařízení, např. „Router“
- IP adresa – IP adresa USG Routeru
- Maska podsítě – Maska podsítě USG Routeru
- Sdílený tajný klíč – jakýkoliv tajný klíč, který později nastavíme v USG
- Zatrhneme povolit
Vytvoření RADIUS profilu na USG
Dalším krokem je „spárování“ RADIUS serveru na NASu s USG. K tomu nám poslouží RADIUS profil, jehož přidání najdeme v Unifi controlleru v sekci „Profiles“, kde klikneme na „Create new radius profile“ a vyplníme následující hodnoty:
- Profile Name – název profilu, např. „NAS“
- VLAN Support – necháme nezatržené
- RADIUS Auth Server
- IP Address – zadáme IP adresu NAS serveru (Radius serveru)
- Port – zadáme 1812, pokud jsme nezměnili v nastavení – na NASu sekce „Běžná nastavení“ – „Port ověřování“
- Password/Shared Secret – zadáme „Sdílený tajný klíč“ vyplněný v RADIUS serveru
- Accounting – necháme nezatržené
Možnost 2 – RADIUS server na USG
Pokud máte některou z posledních verzích Unifi controlleru, pak byste v sekci „Services“ měli vidět záložku „RADIUS“, u které zatím svítí „BETA“, nicméně už je funkční.
Vytvoření Radius uživatele
Prvním krokem při použití RADIUSu na USG je vytvoření účtu uživatele, který použijeme pro přihlašování k VPN. Vyplníme následující:
- Name – název uživatele
- Password – heslo
- VLAN – necháme prázdné
- Tunnel Type – 2 – Layer Two Tunneling Protocol (L2TP)
- Tunnel Medium Type – 1 – IPv4 (IP version 4)
Zapnutí RADIUS serveru
V sekci RADIUS se překlikneme na druhou záložku „Server“ a nastavíme:
- Enable Radius Server – přepneme na ON
- Secret – zadáme nějaký tajný kód, který bude společný pro všechny uživatele
- Clients – necháme zatržené
- Authentication Port – nechápe výchozí port
- Accouting Port – necháme výchozí port
- Accounting Interim Interval – necháme výchozí hodnotu
- Tunneled Reply – necháme ON
V sekci RADIUS profilů bychom nyní měli vidět „Nas“ pokud jsme použili volbu první a nebo „Default“ pokud jste použili možnost druhou.
Definice VPN sítě
Dalším krokem je vytvoření VPN sítě a proto se přepneme do sekce „Networks“ a vypníme:
- Name – název sítě, např. VPN
- Purpose – vybereme „Remote User VPN“
- VPN Type – vybereme „L2TP Server“
- Pre-Shared Key – vypníme heslo, které jsme nastavení na RADIUS serveru (to společné pro všechny uživatele)
- Gateway/Subnet – vypníme adresu rozsahu VPN sítě – zobrazí se nám počet IP adres a IP rozsah
- Name server – můžeme zadat pokud potřebujeme vlastní DNS servery
- RADIUS Profile – vybereme profil podle možnost, kterou jsme použili – viz. výše
Po přidání bychom měli vidět novou síť jako purpose „Remote User VPN (L2TP)“.
To je vše co je potřeba udělat na serverové straně. Veškeré nastavení Firewallu za nás udělá přímo USG.
a ako nastavit tuto vpn na dany port na switchi ale na vsetky porty