Routery MikroTik obsługują wiele usług VPN, w tym NordVPN. W szczególności, na routerach MikroTik z RouterOS w wersji 6.45 i nowszych możesz utworzyć tunel VPN z protokołem IKEv2 EAP, aby połączyć się z serwerem NordVPN. Z tego artykułu dowiesz się, jak połączyć się z VPN na routerze MikroTik.
- Otwórz terminal w ustawieniach RouterOS.
- Zainstaluj certyfikat główny NordVPN, wpisując następujące polecenia:
/tool fetch url="https://downloads.nordcdn.com/certificates/root.der"
/certificate import file-name=root.der
- Wejdź na swoje NordKonto, aby znaleźć nazwę zalecanego serwera. W naszym przykładzie użyliśmy serwera nl125.nordvpn.com.
Wykonaj poniższe kroki, aby znaleźć najlepszy serwer dla Twojego połączenia:
-
Zaloguj się na swoje NordKonto i kliknij NordVPN.
- Przewiń w dół do sekcji Ustawienia zaawansowane (Advanced Settings) i kliknij Skonfiguruj NordVPN ręcznie (Set up NordVPN manually).
- Wybierz zakładkę Zalecany serwer (Server recommendation). Wyświetli się najlepszy serwer dla Twojej lokalizacji.
- Gdy naciśniesz Zaawansowane filtry (Advanced filters), możesz dodatkowo dostosować zalecane serwery, wybierając Typ serwera (Server type) i Protokół bezpieczeństwa (Security protocol).
- Pod adresem serwera i pod opcją Dostępne protokoły (Available protocols) wybierz IKEv2/IPSec.
- W nowym oknie skopiuj nazwę hosta serwera i użyj jej podczas ręcznej konfiguracji połączenia IKEv2.
- Podczas łączenia się z IKEv2 ręcznie musisz użyć Nazwy użytkownika (Username) i Hasła (Password) z zakładki Dane uwierzytelniające (Service credentials).
- Teraz musisz utworzyć tunel IPsec. Zalecamy utworzyć osobną konfigurację profilu i zabezpieczeń, aby uniknąć konfliktów z istniejącą lub przyszłą konfiguracją IPsec:
/ip ipsec profile
add name=NordVPN
/ip ipsec proposal
add name=NordVPN pfs-group=none
Możesz użyć domyślnego szablonu zasad, ale lepiej jest utworzyć nową grupę i nowy szablon zasad, aby oddzielić tę konfigurację od innych konfiguracji IPsec.
/ip ipsec policy group add name=NordVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=NordVPN proposal=NordVPN src-address=0.0.0.0/0 template=yes
- Utwórz nową pozycję mode config z responder=no do żądania parametrów konfiguracji od serwera:
/ip ipsec mode-config
add name=NordVPN responder=no
- Utwórz konfigurację równoczesną oraz konfigurację tożsamości. Wpisz dane uwierzytelniające do usługi NordVPN w części username i password:
/ip ipsec peer
add address=nl125.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN
/ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=TwojaNazwaUżytkownikaNordVPN password=HasłoDoUsługiNordVPN - Dane uwierzytelniające do NordVPN (nazwę użytkownika i hasło) znajdziesz na pulpicie NordKonta.
Wykonaj poniższe kroki, aby znaleźć dane uwierzytelniające do ręcznej konfiguracji połączenia:
-
Zaloguj się na swoje NordKonto, kliknij NordVPN, a w sekcji Konfiguracja ręczna (Manual setup) wybierz Dane uwierzytelniające (Service credentials). Tutaj znajdziesz nazwę użytkownika (Username) i hasło (Password) potrzebne do ręcznego połączenia.
- Teraz wybierz, jaki ruch będzie przesyłany przez tunel VPN. Na przykładzie z routerem połączona jest sieć lokalna 192.168.88.0/24, z której cały ruch ma być wysyłany przez tunel. Najpierw utwórz nową listę IP/Firewall/Address zawierającą sieć lokalną.
/ip firewall address-list
add address=192.168.88.0/24 list=local
Teraz przypisz nowo utworzoną listę IP/Firewall/Address do konfiguracji mode-config:
/ip ipsec mode-config
set [ find name=NordVPN ] src-address-list=local
- Sprawdź, czy prawidłowa źródłowa reguła NAT jest dynamicznie generowana podczas tworzenia tunelu.
/ip firewall nat print