Thiết lập L2TP qua IPSec VPN để truy cập từ xa EdgeRouter.
Thiết lập L2TP qua IPSec VPN để truy cập từ xa vào Ubiquiti EdgeRouter.
Điều kiện :
Ubiquiti EdgeRouter chạy firmware 1.9.0 trở lên với cấu hình mặc định cơ bản.
Bước 1 - Bắt đầu với cấu hình mặc định:
Bắt đầu với một cấu hình mặc định nếu bạn chưa có. Nếu bạn đã cấu hình EdgeRouter và không muốn xóa cấu hình bộ định tuyến, bạn có thể chuyển sang Bước 2.
Bước 2 - SSH vào EdgeRouter của bạn và định cấu hình VPN. Thay đổi các giá trị dưới đây khi bạn yêu cầu:
- eth0: Đây là giao diện WAN của bạn - để đảm bảo bạn có giao diện WAN chính xác, hãy xem Bước 1
- 192.168.100.200: Bắt đầu nhóm địa chỉ VPN mà người dùng từ xa nhận địa chỉ
- 192.168.100.220: Kết thúc nhóm địa chỉ VPN mà người dùng từ xa nhận được địa chỉ
- randomsecret: Đây là cấp độ xác thực thứ hai - sử dụng khóa được tạo ngẫu nhiên dài để có kết quả tốt nhất. Hãy tạo một cái ở đây
Đây là tên người dùng cho người dùng từ xa
- testsecret: Đây là mật khẩu cho người dùng từ xa
- 1492: Giữ nguyên MTU
- 8.8.8.8: Địa chỉ máy chủ DNS 1 cho người dùng VPN - hiện tại google bạn có thể thay đổi nếu muốn
- 8.8.4.4: Địa chỉ DNS Server 2 cho người dùng VPN - hiện tại google bạn có thể thay đổi nếu muốn
set vpn ipsec auto-firewall-nat-exclude disable
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec nat-networks allowed-network 10.0.0.0/8
set vpn ipsec nat-networks allowed-network 172.16.0.0/12
set vpn ipsec nat-networks allowed-network 192.168.0.0/16
set vpn ipsec nat-traversal enable
set vpn l2tp remote-access authentication local-users username testuser password testsecret
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access client-ip-pool start 192.168.100.200
set vpn l2tp remote-access client-ip-pool stop 192.168.100.220
set vpn l2tp remote-access dhcp-interface eth0
set vpn l2tp remote-access dns-servers server-1 8.8.8.8
set vpn l2tp remote-access dns-servers server-2 8.8.4.4
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret randomsecret
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600
set vpn l2tp remote-access mtu 1492
Bước 3 - Định cấu hình tường lửa của bạn cho tất cả các kết nối VPN thông qua tường lửa của bạn:
vpn_udp_ports: name of port group to create
30 & 40: Rule number - Make sure this does not clash with existing rule numbers. Use show firewall name WAN_LOCAL to view existing rule numbers.
set firewall group port-group vpn_udp_ports description 'VPN Port Group'
set firewall group port-group vpn_udp_ports port 500
set firewall group port-group vpn_udp_ports port 4500
set firewall group port-group vpn_udp_ports port 1701
set firewall name WAN_LOCAL rule 30 action accept
set firewall name WAN_LOCAL rule 30 description 'Allow VPN UDP Ports'
set firewall name WAN_LOCAL rule 30 destination group port-group vpn_udp_ports
set firewall name WAN_LOCAL rule 30 protocol udp
set firewall name WAN_LOCAL rule 40 action accept
set firewall name WAN_LOCAL rule 40 description 'Allow VPN ESP Protocol'
set firewall name WAN_LOCAL rule 40 protocol esp
commit; save; exit
Bước 4 - Kết nối với VPN của bạn từ xa:
✅ UNIFI ROUTER & EDGEROUTER: Unifi USG | USG-PRO-4 | EdgeRouter X | EdgeRouter X SFP | EdgeRouter Lite | EdgeRouter ER-4 | EdgeRouter ER-6P | EdgeRouter Pro