MikroTik-routers ondersteunen veel VPN-diensten, waaronder NordVPN. Met name MikroTik-routers met RouterOS versie 6.45 en later maken het mogelijk om een IKEv2 EAP VPN-tunnel naar een NordVPN-server tot stand te brengen. Deze tutorial legt uit hoe je verbinding kunt maken met een VPN op je MicroTik-router.
- Open de terminal in je RouterOS-instellingen.
- Installeer het NordVPN root certificaat door de volgende commando's uit te voeren:
/tool fetch url="https://downloads.nordcdn.com/certificates/root.der"
/certificate import file-name=root.der
- Maak verbinding met de NordVPN-server om de hostnaam van de aanbevolen server te achterhalen. Voor ons voorbeeld hebben we “nl125.nordvpn.com” gebruikt.
Volg de onderstaande stappen om de beste server voor je verbinding te vinden:
-
Log in op je Nord Account en klik op NordVPN.
- Scrol naar beneden naar Geavanceerde instellingen en klik op NordVPN handmatig instellen.
- Selecteer het tabblad Aanbevolen server. De beste server wordt aanbevolen op basis van je locatie.
- Door op Geavanceerde filters te klikken, kun je de aanbevolen servers verder aanpassen door het servertype en het beveiligingsprotocol te selecteren.
- Selecteer de optie IKEv2/IPSec onder het server-IP naast Beschikbare protocollen.
-
Kopieer de hostnaam van de server in het venster dat verschijnt en gebruik deze voor je handmatige IKEv2-verbinding.
- Als je handmatig verbinding maakt met IKEv2 moet je de Gebruikersnaam en het Wachtwoord gebruiken van het tabblad Service-referenties.
- Nu moet je de IPsec tunnel opzetten. We raden je aan om aparte configuratie van het profiel en het voorstel te creëren om verstoring van een bestaande of toekomstige IPsec-configuratie te voorkomen:
/ip ipsec profile
add name=NordVPN /ip ipsec voorstel
add name=NordVPN pfs-group=none
Hoewel het mogelijk is om de standaardbeleidssjabloon te gebruiken, is het beter om een nieuwe beleidsgroep en sjabloon te maken om deze configuratie apart te houden van andere IPsec-configuraties.
/ip ipsec policy group add name=NordVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=NordVPN proposal=NordVPN src-address=0.0.0.0/0 template=yes
- Maak een nieuw “mode config” item met “responder=no” (geen aanhalingstekens) dat configuratieparameters opvraagt van de server:
/ip ipsec mode-config
add name=NordVPN responder=no
- Maak peer- en identiteitsconfiguraties. Voer je NordVPN gegevens in voor de gebruikersnaam en het wachtwoord:
/ip ipsec peer
add address=nl125.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN /ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=YourNordVPNServiceUsername password=YourNordVPNServicePassword - Je kun je NordVPN service-referenties (gebruikersnaam en wachtwoord) vinden in je Nord Account dashboard.
Volg de onderstaande stappen om de Service-referenties voor handmatig verbinden te vinden:
-
Log in op je Nord Account, klik op NordVPN en klik onder Handmatig instellen op Service-referenties. Hier vind je de Gebruikersnaam en het Wachtwoord dat je nodig hebt om handmatig verbinding te maken.
- Kies nu wat je via de VPN-tunnel wilt verzenden. In dit voorbeeld hebben we het lokale netwerk “192.168.88.0/24” achter de router en we willen dat al het verkeer van dit netwerk door de tunnel wordt gestuurd. Eerst moeten we een nieuwe “IP/Firewall/Adres” lijst maken die bestaat uit ons lokale netwerk.
/ip firewall address-list
add address=192.168.88.0/24 list=local
Wijs de nieuwe “IP/Firewall/Address” lijst toe aan de “mode-config” configuratie:
/ip ipsec mode-config
set [ find name=NordVPN ] src-address-list=local
- Controleer of de juiste bron NAT regel dynamisch gegenereerd wordt als de tunnel wordt gecreëerd.
/ip firewall nat print