Пока что, думаю, настрою VPN на своем новом Synology NAS — это, наверное, сейчас проще всего сделать.

Он поддерживает l2tp с встроенной аутентификацией или только radius? Мне просто нужен простой доступ для одного-двух пользователей с учётной записью и паролем.

У меня были проблемы с настройкой этого на iOS и Mac. Ниже перечислил возникавшие сложности, вдруг кому пригодится.

Проблемы:

1. Настройка VPN конфликтовала с уже существующим VPN, который я пробовал раньше. По умолчанию в текущих стабильных версиях контроллера настраивается radius и pptp VPN (pptp теперь отключен в iOS 10).  
Ответ: Удалите все существующие удалённые VPN-подключения в интерфейсе контроллера и заново примените конфигурацию.

2. Freeradius на моём Raspberry Pi быстро стал слишком сложным из-за требований к паролям MSCHAP.  
Ответ: Терпеливо разберитесь с настройкой MSCHAP или настройте локальных пользователей.

3. После подключения мои удалённые устройства не могли выйти в интернет через VPN.  
Ответ: Настройте MASQ nat конфигурацию, как указано ранее:  
"nat": {  
 "rule": {  
   "5010": {  
     "description": "Masquerade_for_WAN",  
     "outbound-interface": "eth2",  
     "type": "masquerade"  
   }  
 }  
}

4. Для корректной работы в конфигурации нужно указать внешний IP-адрес.  
Ответ: Пока не знаю, как сделать это динамическим.

5. Настройка iOS  
Настраивайте VPN как L2TP, логин — это имя пользователя, пароль — пароль пользователя, shared secret — общий ключ. Отметьте галочку «отправлять весь трафик через VPN».

Полный список настроек ниже:

{  
 "service": {  
   "upnp2": {  
     "listen-on": [
       "eth0"  
     ],  
     "nat-pmp": "enable",  
     "secure-mode": "enable",  
     "wan": "eth2"  
   },  
   "nat": {  
     "rule": {  
       "5010": {  
         "description": "Masquerade_for_WAN",  
         "outbound-interface": "eth2",  
         "type": "masquerade"  
       }  
     }  
   }  
 },  
 "firewall": {  
   "name": {  
     "WAN_LOCAL": {  
       "rule": {  
         "3": {  
           "action": "accept",  
           "description": "Allow L2TP",  
           "destination": {  
             "port": "500,1701,4500"  
           },  
           "protocol": "udp"  
         },  
         "4": {  
           "action": "accept",  
           "description": "Allow ESP",  
           "protocol": "esp"  
         }  
       }  
     }  
   }  
 },  
 "vpn": {  
   "ipsec": {  
     "auto-firewall-nat-exclude": "enable",  
     "ipsec-interfaces": {  
       "interface": [
         "eth2"  
       ]  
     },  
     "nat-networks": {  
       "allowed-network": {  
         "0.0.0.0/0": "''"  
       }  
     },  
     "nat-traversal": "enable"  
   },  
   "l2tp": {  
     "remote-access": {  
       "authentication": {  
         "local-users": {  
           "username": {  
             "********** USER1 LOGIN *********": {  
               "password": "********* USER1 PASS ********"  
             },  
             "********* USER2 LOGIN **********": {  
               "password": "********** USER2 PASS *********"  
             }  
           }  
         },  
         "mode": "local"  
       },  
       "client-ip-pool": {  
         "start": "192.168.13.2",  
         "stop": "192.168.13.7"  
       },  
       "dns-servers": {  
         "server-1": "192.168.13.1",  
         "server-2": "192.168.1.1"  
       },  
       "ipsec-settings": {  
         "authentication": {  
           "mode": "pre-shared-secret",  
           "pre-shared-secret": "********* SHARED SECRET REPLACE ME *****"  
         },  
         "ike-lifetime": "3600"  
       },  
       "mtu": "1492",  
       "outside-address": "******** IP ADDRESS ASSIGNED BY ISP. GOOGLE WHATS MY IP ********"  
     }  
   }  
 }  
}

Надеюсь, это поможет. Если кто-то знает, как лучше сделать настройку с динамическим внешним IP — опубликуйте, пожалуйста.

Если я хочу НАСТРОИТЬ L2TP/IPSEC ЧЕРЕЗ CLI НА USG, используя ваш файл MAKE CONFIGURATION PERMANENTLY, мне просто нужно скопировать и вставить его в Блокнот, отредактировать нужные параметры и сохранить как .json файл? А как потом загрузить его в мой USG Pro? Спасибо.

А, вот почему тогда. Буду ждать, пока Ubiquiti не придумают нормальное VPN-решение через графический интерфейс.

Всем привет! После нескольких исследований и попыток ниже приведена конфигурация, выполненная напрямую через CLI на USG для L2TP/IPSEC VPN:

P.S. Конечно, эта конфигурация будет перезаписана, если контроллер выполнит provisioning. Чтобы сохранить изменения, нужно экспортировать конфигурацию в формате JSON и загрузить её через UniFi контроллер. Это можно сделать, скопировав и вставив файл config.gateway.json в домашнюю папку и запустив provisioning. У меня, например, путь /usr/lib/unifi/data/sites/default/.

=== СОЗДАНИЕ ПРАВИЛА БЕЗОПАСНОСТИ ДЛЯ L2TP/IPSEC VPN ===  
---› эта конфигурация через файл config.gateway.json  
{  
 "firewall": {  
   "group": {  
     "network-group": {  
       "developer_vpn": {  
         "description": "remote_user_vpn_network_dev",  
         "network": [
           "10.10.0.0/23"  
         ]  
       }  
     }  
   },  
   "name": {  
     "WAN_LOCAL": {  
       "rule": {  
         "3": {  
           "action": "accept",  
           "description": "Allow L2TP",  
           "destination": {  
             "port": "500,1701,4500"  
           },  
           "protocol": "udp"  
         },  
         "4": {  
           "action": "accept",  
           "description": "Allow ESP",  
           "protocol": "esp"  
         }  
       }  
     }  
   }  
 },  
 "vpn": {  
   "ipsec": {  
     "auto-firewall-nat-exclude": "disable",  
     "ipsec-interfaces": {  
       "interface": [
         "eth2"  
       ]  
     },  
     "nat-networks": {  
       "allowed-network": {  
         "0.0.0.0/0": "''"  
       }  
     },  
     "nat-traversal": "enable"  
   }  
 }  
}

=== НАСТРОЙКА L2TP/IPSEC ЧЕРЕЗ CLI НА USG ===  
---› эта конфигурация через файл config.gateway.json  
configure  
set vpn l2tp remote-access outside-address 18.34.55.116  
set vpn l2tp remote-access client-ip-pool start 10.10.2.10  
set vpn l2tp remote-access client-ip-pool stop 10.10.2.20  
set vpn ipsec ipsec-interfaces interface eth2  
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret  
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret "PassW0rd"  
set vpn l2tp remote-access authentication mode radius  
set vpn l2tp remote-access authentication radius-server 192.168.10.18 key YouRs3Cret  
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600  
set vpn ipsec auto-firewall-nat-exclude enable  
set vpn l2tp remote-access mtu 1492  
set vpn l2tp remote-access dns-servers server-1 192.168.10.240  
set vpn l2tp remote-access dns-servers server-2 8.8.8.8  
set vpn ipsec nat-traversal enable  
set vpn ipsec nat-networks allowed-network 0.0.0.0/0  
commit  
save

=== СОХРАНЕНИЕ КОНФИГУРАЦИИ НАВСЕГДА ===  
{  
 "vpn": {  
   "ipsec": {  
     "auto-firewall-nat-exclude": "enable",  
     "ipsec-interfaces": {  
       "interface": [
         "eth2"  
       ]  
     },  
     "nat-networks": {  
       "allowed-network": {  
         "0.0.0.0/0": "''"  
       }  
     },  
     "nat-traversal": "enable"  
   },  
   "l2tp": {  
     "remote-access": {  
       "authentication": {  
         "mode": "radius",  
         "radius-server": {  
           "192.168.10.18": {  
             "key": "YouRs3Cret"  
           }  
         }  
       },  
       "client-ip-pool": {  
         "start": "10.10.2.10",  
         "stop": "10.10.2.20"  
       },  
       "dns-servers": {  
         "server-1": "192.168.10.240",  
         "server-2": "8.8.8.8"  
       },  
       "ipsec-settings": {  
         "authentication": {  
           "mode": "pre-shared-secret",  
           "pre-shared-secret": "YouRs3Cret"  
         },  
         "ike-lifetime": "3600"  
       },  
       "mtu": "1492",  
       "outside-address": "18.53.11.116"  
     }  
   }  
 }  
}

P.S.1: Помните, если используете Active Directory Radius, нужно в профиле пользователя поставить «Сохранять пароль с обратимым шифрованием», иначе аутентификация CHAP не пройдет.

Надеюсь, это кому-то поможет! Хорошего дня!

Как теперь создавать пользователей и назначать им пароли в графическом интерфейсе? Раньше была вкладка RADIUS, но теперь её нет.

Привет, ребята! Будет ли скоро графическая версия настройки удалённого VPN-подключения по L2TP для пользователей? Вижу, что этот вопрос обсуждается ещё с прошлого года. Спасибо!

Привет, Майк, у меня маленький вопрос. Ниже мой конфигурационный файл для настройки L2TP VPN. Если я использую рекомендованный метод (копировать JSON в home unifi и provisioning), не потеряю ли я какую-то уже существующую конфигурацию? Спасибо, Фабрицио

{
"firewall": {
"group": {
"network-group": {
"developer_vpn": {
"description": "remote_user_vpn_network_dev",
"network": [
"10.2.0.0/23"
]
}
}
},
"name": {
"WAN_LOCAL": {
"rule": {
"3": {
"action": "accept",
"description": "Allow L2TP",
"destination": {
"port": "500,1701,4500"
},
"protocol": "udp"
},
"4": {
"action": "accept",
"description": "Allow ESP",
"protocol": "esp"
}
}
}
}
},
"vpn": {
"ipsec": {
"auto-firewall-nat-exclude": "disable",
"ipsec-interfaces": {
"interface": [
"eth0"
]
},
"nat-networks": {
"allowed-network": {
"0.0.0.0/0": "''"
}
},
"nat-traversal": "enable"
},
"l2tp": {
"remote-access": {
"accounting": {
"radius-server": {
"192.168.10.18": {
"key": "mysecret",
"port": "1813"
}
}
},
"authentication": {
"mode": "radius",
"radius-server": {
"192.168.10.18": {
"key": "mysecret",
"port": "1812"
}
}
},
"mode": "local"
},
"client-ip-pool": {
"start": "10.2.2.1",
"stop": "10.2.2.253"
},
"dhcp-interface": "eth0",
"dns-servers": {
"server-1": "192.168.10.240",
"server-2": "8.8.8.8"
},
"ipsec-settings": {
"authentication": {
"mode": "pre-shared-secret",
"pre-shared-secret": "mysecret"
},
"ike-lifetime": "3600"
},
"mtu": "1412"
}
}
}