MikroTik IKEv2でNordVPNを設定する方法

MikroTikルーターはNordVPNを含む多くのVPNサービスに対応しています。 特にRouterOSバージョン6.45以降を搭載のMikroTikルーターでは、 NordVPNサーバーへのIKEv2 EAP VPNトンネルを確立できます。 このチュートリアルでは、MicroTikルーターでVPNへ接続する方法を説明します。

1. RouterOSの設定でターミナルを開きます。
2. 以下のコマンドを実行してNordVPNルート証明書をインストールします。
   
   /tool fetch url="https://downloads.nordcdn.com/certificates/root.der"
   
   /certificate import file-name=root.der
   
   
3. NordVPNサーバーに接続し、 推奨されたサーバーのホスト名を探します。 例えば、このチュートリアルでは "nl125.nordvpn.com" を使用しています。

以下の手順に従って、接続に最適なサーバーをご確認ください。

1. Nordアカウントにログインし、NordVPNをクリックします。
   
   
   
   
2. 詳細設定（Advanced Settings）までスクロールダウンし、NordVPNを手動で設定（Set up NordVPN manually）をクリックします。
   
   
   
   
3. サーバーの推奨（Server recommendation）タブを選択します。 ご自身の所在地に応じて、最適なサーバーが推奨されます。
   
   
   
   
4. 詳細フィルタ（Advanced filters）をクリックすると、サーバーの種類（Server type）とセキュリティプロトコル（Security protocol）を選択することでお勧めのサーバーをさらにカスタマイズできます。
   
   
   
   
   
   
5. サーバーIPの下、「利用可能なプロトコル（Available protocols）」の横にあるIKEv2/IPSecを選択します。
   
   
   
   
6. 表示されるウィンドウでサーバーのホスト名をコピーし、IKEv2の手動接続設定で使用します。
   
   
   
   
7. IKEv2に手動で接続する場合は、サービスの認証情報（Service credential）タブでユーザー名（Username）とパスワード（Password）を使用する必要があります。
   
   
   
   
8. これでIPsecトンネルの設定が完了しました。 既存または今後のIPsec設定に干渉しないよう、別にプロフィールと提案設定を作成することをお勧めします。
   
   /ip ipsec profile
   add name=NordVPN
   
   /ip ipsec proposal
   add name=NordVPN pfs-group=none
   
   デフォルトのポリシーテンプレートを使うことは可能ですが、他のIPsec設定とこの設定を区別するために、新しいポリシーグループとテンプレートを作成することをお勧めします。
   
   /ip ipsec policy group add name=NordVPN
   /ip ipsec policy add dst-address=0.0.0.0/0 group=NordVPN proposal=NordVPN src-address=0.0.0.0/0 template=yes
   
   
9. サーバーから設定パラメータをリクエストする新規の「mode config」エントリを「responder=no」（引用符はなし）で作成します。
   
   /ip ipsec mode-config
   add name=NordVPN responder=no
   
   
10. ピア設定とアイデンティティ設定を作成します。 ユーザー名とパスワードのパラメータに、NordVPNでお使いの認証情報を入力します。
    
    /ip ipsec peer
    add address=nl125.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN
    
    /ip ipsec identity
    add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=YourNordVPNServiceUsername password=YourNordVPNServicePassword
11. NordVPNサービス認証情報（サービスユーザー名とサービスパスワード）は、Nordアカウントのダッシュボードで確認できます。

以下の手順に従って、手動接続設定用のサービス認証情報をご確認ください。

1. お使いのNordアカウントにログインしてNordVPNをクリックし、手動設定（Manual setup）のサービスの認証情報（Service credentials）をクリックします。そうすると、手動接続設定に必要なユーザー名とパスワードを確認できます。
   
   
   
   
2. ここで、VPNトンネルを経由させるものを選びます。 この例では、ルーターの背面にあるローカルネットワーク「192.168.88.0/24」を使用し、このネットワークを経由するすべてのトラフィックをトンネルに送ることにします。 まず、ローカルネットワークで構成された新しい「IP/ファイアウォール/アドレス」リストを作成します。
   
   /ip firewall address-list
   add address=192.168.88.0/24 list=local
   
   新規作成した「IP/ファイアウォール/アドレス」リストを「mode-config」設定に割り当てます。
   
   /ip ipsec mode-config
   set [ find name=NordVPN ] src-address-list=local
   
   
3. トンネルが確立されている時に正しいソースNATルールがダイナミック生成されているかどうかを検証します。
   
   /ip firewall nat print