MikroTik 路由器支援許多 VPN 服務,包括 NordVPN。 尤其是搭載 RouterOS 6.45 以上版本的 MikroTik 路由器可建立 IKEv2 EAPVPN 通道 至 NordVPN 的伺服器。 本教學將介紹如何在 MikroTik 路由器上連線至 VPN。
- 開啟 RouterOS 設定中的終端。
- 執行以下指令安裝 NordVPN 根憑證:
/tool fetch url="https://downloads.nordcdn.com/certificates/root.der"
/certificate import file-name=root.der
- 連線至 NordVPN 伺服器並找到推薦伺服器。 本範例使用的是 "nl125.nordvpn.com" 。
請按照以下步驟找出最適合連線的伺服器:
-
登入Nord 帳戶,然後點選 NordVPN。
- 向下捲動至 進階設定,並點選 手動設定 NordVPN。
- 選擇 推薦伺服器 分頁。 程式會根據您的位置來推薦最適合的伺服器。
- 按下 進階篩選條件 ,就可以進一步選擇 伺服器類型 和 安全協定 來自訂推薦的伺服器。
- 在伺服器 IP 中的可用通訊協定 (Available protocols) 旁,選擇 IKEv2/IPSec。
- 在彈出的視窗中, 複製 伺服器主機名稱,並用於 IKEv2 的手動連線設定中。
-
手動連線至 IKEv2時,在 服務憑證 分頁上,您將需要使用使用者名稱及密碼。
- 現在必須設定 IPsec 通道。 設定檔和提議設定建議分開建立,避免干擾現有或未來的 IPsec 設定:
/ip ipsec profile
add name=NordVPN
/ip ipsec proposal
add name=NordVPN pfs-group=none
雖然可以使用預設的政策範本,但最好是建立新的政策群組和範本,將此設定和其他 IPsec 設定區隔開來。
/ip ipsec policy group add name=NordVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=NordVPN proposal=NordVPN src-address=0.0.0.0/0 template=yes
- 建立一個新的 "mode config" 條目,設定 "responder=no"(無引號),這將會從伺服器請求設定參數:
/ip ipsec mode-config
add name=NordVPN responder=no
- 建立對等體和身分設定。 在使用者名稱和密碼參數中輸入 NordVPN 帳密:
/ip ipsec peer
add address=nl125.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN
/ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=您的NordVPN服務使用者名稱 password=您的NordVPN服務密碼 - 您只要前往Nord 帳戶儀表板,就能找到自己的 NordVPN 服務憑證(服務使用者名稱和服務密碼)
請按照以下步驟找到手動連線設定的服務憑證:
-
登入Nord 帳戶,按一下 NordVPN,然後在 手動設定 中點選「服務憑證」。在這裡可以找到手動連線必須用到的使用者名稱和密碼。
- 現在選擇要透過 VPN 通道傳送的內容。 在本範例中,路由器連結的是區域網路 "192.168.88.0/24",而我們希望所有來自此網路的流量都透過通道來傳送。 請務必先建立由本地網路組成的「IP/Firewall/Address」新清單。
/ip firewall address-list
add address=192.168.88.0/24 list=local
將新建立的「IP/Firewall/Address」清單指派給 "mode-config" 設定:
/ip ipsec mode-config
set [ find name=NordVPN ] src-address-list=local
- 驗證通道在建立時是否動態產生正確的來源 NAT 規則:
/ip firewall nat print