SoftEther VPN konfigurace L2TP/IPSec

Tento článek navazuje na UniFi controller, Pi-hole a SoftEther VPN na RPi a zabývá se nastavením VPN serveru po instalaci.

SoftEther VPN manager

Nejjednodušším způsobem je stáhnutí SoftEther VPN manageru. Existují verze pro Windows a MacOS. Linuxáci mají v tomhle smůlu a budou se muset prokousat přes command line interface. Článek používá verzi pro Windows.

Připojení k VPN serveru

Po nainstalování a spuštění SoftEther VPN manageru se zobrazí okno, ve kterém přidáme náš nový VPN server.

Klikneme na tlačítko New Setting a zadáme údaje našeho VPN serveru.

Poté se objeví VPN server v seznamu.

Vybereme ho a pomocí tlačítka Connect se na něj připojíme. Ve chvíli, kdy se připojíme poprvé, vyskočí na nás dotaz základní konfigurace.

Základní nastavení

Pokud chceme vytvořit základní VPN síť, kam se například připojí mobil, počítač a společně budou tvořit jednu síť, vybereme první možnost Remote Access VPN Server.

Následuje dotaz na jméno Hubu. SoftEter potřebuje minimálně jeden Hub. Hub je místo, které sdružuje uživatele a specifické nastavení. Klidně může jméno hubu zůstat "VPN".

Poté vyskočí dotaz na dynamickou DNS. Pokud vás zajímá co to dělá, je tam obsáhlý popis. Já dávám exit.

Následuje nastavení L2TP serveru. Pro to abych se připojil z Windows nebo z Android telefonu stačí zaškrtnout volbu Enable L2TP Server Function (L2TP over IPsec). Druhou volbou je nešifrované spojení. To asi moc nechceme. Následuje výběr hubu na který se nastavení aplikuje. Tam necháme náš Hub VPN. Další volba v tomhle případě není podstatná též. Jako poslední zadáme před sdílený klíč. Tento klíč musí znát všichni klienti co se budou chtít připojit do VPN sítě.

Nastavení pokračuje nabídkou VPN Azure Service. Mně osobně to nikdy nefungovalo, takže dávám volbu "Disable VPN Azure" a pokračuji dál.

V dalším kroku se VPN server ptá na nového uživatele a nastavení přemostění. Přemostění nastavte na rozhraní, které je spojeno s vaší sítí. Pokud máte RPi připojené přes kabel tak to bude pravděpodobně eth0, pokud přes WiFi tak to bude wlan0. Dále je tedy potřeba vytvořit nového uživatele pomocí tlačítka Create Users.

Při vytváření uživatele stačí zadat pouze jméno a heslo. Dále jde nastavit expirace účtu, certifikáty, autentizace přes RADIUS a další možnosti. Pro normální domácí použití jsou tyto volby víceméně nepodstatné.

Po vytvoření nového uživatele vám VPN manager zobrazí jejich seznam.

Zavřete okno pomocí tlačítka Exit a následující okno pomocí tlačítka Close. Potom všem se vám konečně zobrazí hlavní okno pro konfiguraci.

Pro konfiguraci Hubu vyberte příslušný Hub a klikněte na tlačítko Manage Virtual Hub.

Dále je potřeba nastavit virtuální NAT. Záleží teda, jak chcete virtuální síť používat. Jako základní použití považuji například bezpečné spojení z nezabezpečené WiFi nebo kavárny. Pokud nastavíte virtuální NAT, tak se bude VPN server po připojení klienta chovat jako virtuální router. Přidělí klientovi lokální IP adresu bude se chovat jako brána do internetu. Toto chování považuji v případě připojení telefonu v kavárně za žádoucí. Virtuální NAT povolíte tak, že kliknete na tlačítko Virtual NAT and Virtual DHCP Server (SecureNat).

Objeví se okno s konfigurací virtuální NAT. Tam stačí kliknout na Enable SecureNAT a potvrdit dialogové okno, které následně vyskočí.

V této chvíli by měl být VPN server funkční a nachystán na připojení klienta.

Přesměrování portů

Samozřejmě vám bude asi naprd VPN server, který bude vidět jen z lokální sítě. Potřebujete ho dostat ven. Buď ho nainstalujete na nějaké VPC s veřejnou IP adresou a nebo musíte mít od vašeho poskytovatele přidělenou veřejnou IP adresu. V druhém případě je nutné přesměrovat specifické porty na RPi s běžícím VPN serverem. To se provádí v nastavení vašeho routeru pod volbou přesměrovat porty nebo port forwarding.

Pro konfiguraci v článku potřebujete přesměrovat následující porty:

  • 50
  • 51
  • 500
  • 4500

Pokud chcete z venku VPN server i konfigurovat, tak přesměrujte i port 5555. SoftEther VPN naslouchá pro konfiguraci na více portech, například 443, ale ten si pravděpodobně blokovat nechcete.

Připojení k VPN síti

K takto vytvořené síti se lze připojit z Windows 10, Andoidu nebo iOS bez toho, aby se musel doinstalovávat nějaký software. Za předpokladu, že máte veřejnou IP, zadáte tuto IP adresu, předsdílený klíč, jméno, heslo a zvolíte L2TP/IPSec PSK. Připojení by se mělo provést téměř okamžitě a od té chvíle byste měli "surfovat" přes VPN.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *