MikroTik-routers ondersteunen veel VPN-diensten, waaronder NordVPN. Met name MikroTik-routers met RouterOS versie 6.45 en later maken het mogelijk om een IKEv2 EAP VPN-tunnel naar een NordVPN-server tot stand te brengen. Deze tutorial legt uit hoe je verbinding kunt maken met een VPN op je MicroTik-router.
- Open de terminal in je RouterOS-instellingen.
- Installeer het NordVPN-basiscertificaat door de volgende commando's uit te voeren:
/tool fetch url="https://downloads.nordcdn.com/certificates/root.der"
/certificate import file-name=root.der
- Maak verbinding met de NordVPN-server om de hostnaam van de aanbevolen server te achterhalen. Voor ons voorbeeld hebben we "nl125.nordvpn.com" gebruikt.
Volg de onderstaande stappen om de beste server voor je verbinding te vinden:
-
Log in op je Nord Account en klik op NordVPN.
- Scrol omlaag naar Geavanceerde instellingen en klik op NordVPN handmatig instellen.
- Selecteer het tabblad Serveraanbeveling. De beste server wordt aanbevolen gebaseerd op je locatie.
- Door op Geavanceerde filters te drukken, kun je de aanbevolen servers verder aanpassen door het Servertype en het Veiligheidsprotocol te selecteren.
- Selecteer onder het server-IP naast Beschikbare protocollen de optie IKEv2/IPSec.
-
Kopieer de hostnaam van de server in het venster dat verschijnt en gebruik deze in je handmatige IKEv2-verbinding.
- Als je handmatig verbinding maakt met IKEv2, moet je de Gebruikersnaam en het Wachtwoord op het tabblad Servicegegevens gebruiken.
- Nu moet je de IPsec-tunnel instellen. We raden je aan om aparte configuratie van het profiel en het voorstel te creëren om verstoring van een bestaande of toekomstige IPsec-configuratie te voorkomen:
/ip ipsec profile
add name=NordVPN
/ip ipsec proposal
add name=NordVPN pfs-group=none
Hoewel het mogelijk is om de standaardbeleidssjabloon te gebruiken, is het beter om een nieuwe beleidsgroep en sjabloon te maken om deze configuratie apart te houden van andere IPsec-configuraties.
/ip ipsec policy group add name=NordVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=NordVPN proposal=NordVPN src-address=0.0.0.0/0 template=yes
- Creëer een nieuw “mode config” item met “responder=no” (geen aanhalingstekens) dat configuratieparameters opvraagt van de server:
/ip ipsec mode-config
add name=NordVPN responder=no
- Maak peer- en identiteitsconfiguraties. Voer je NordVPN gegevens in voor de gebruikersnaam en het wachtwoord:
/ip ipsec peer
add address=nl125.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN
/ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=YourNordVPNServiceUsername password=YourNordVPNServicePassword
- Je kunt je NordVPN-servicegegevens (gebruikersnaam en wachtwoord) in het Nord Account-dashboard vinden.
Volg de onderstaande stappen om de servicegegevens voor handmatige verbindingsinstellingen te vinden:
-
Log in op je Nord Account, klik op NordVPN, en klik onder Handmatig instellen op Servicegegevens. Hier vind je de Gebruikersnaam en het Wachtwoord dat je nodig hebt om handmatig verbinding te maken.
- Kies nu wat je over de VPN-tunnel wilt versturen. In dit voorbeeld hebben we het lokale netwerk “192.168.88.0/24” achter de router en we willen dat al het verkeer van dit netwerk door de tunnel wordt gestuurd. Eerst moeten we een nieuwe “IP/Firewall/Adres” lijst maken die bestaat uit ons lokale netwerk.
/ip firewall address-list
add address=192.168.88.0/24 list=local
Wijs de nieuwe “IP/Firewall/Adres” lijst toe aan de “mode-config” configuratie:
/ip ipsec mode-config
set [ find name=NordVPN ] src-address-list=local
- Controleer of de juiste bron NAT regel dynamisch gegenereerd wordt als de tunnel wordt gecreëerd.
/ip firewall nat print