Frequently Asked Question
Αυτό το πρωτόκολλο VPN χρησιμοποιείται για συνδέσεις Site to Dynamic Site. Χρησιμοποιείται αντί του IPSec κυρίως για λόγους συμβατότητας από την μεριά του Client.
Για την δημιουργία του L2TP VPN ακολουθούμε τα εξής βήματα:
IPSec Phase 1
IPSec Phase 2
L2TP Phase
Routing Policy
Πρώτα πρέπει να ρυθμίζουμε το IPSec κομμάτι του VPN. Ρυθμίζεται με την ίδια λογική με το IPSec VPN, με Phase 1 και Phase 2.
Phase 1
Ακολουθώντας το Path Configuration> VPN> IPSec VPN> VPN Gateway και κάνουμε Add. Μας βγαίνει ο παρακάτω πίνακας. Τον συμπληρώνουμε όπως παρακάτω:
Α) Ονομάζουμε το VPN Gateway όπως θέλουμε και κάνουμε enable τον κανόνα.
Β) Στο πεδίο “My Address” διαλέγουμε την WAN μας.
Γ) Στο πεδίο «Peer Gateway Address» επιλέγουμε “Dynamic Address”.
Δ) Στο πεδίο “Authentication” συμπληρώνουμε ένα preshared key της επιλογής μας. (Το ίδιο preshared key πρέπει να μπει και από ton client του VPN!!).
Ε) Στο πεδίο Local ID Type βάζουμε την 0.0.0.0 και στο πεδίο Peer ID Type επιλέγουμε any και δεν συμπληρώνουμε τίποτα.
Στ) Στην συνέχεια ρυθμίζουμε στο Phase 1 τα Authentication – Encryption στοιχεία όπως ακριβώς είναι παραπάνω.
(ΠΡΟΣΟΧΗ--> Δεν θα πρέπει να βάλουμε άλλα Authentication – Encryption στοιχεία από τα παραπάνω γιατί δεν θα υπάρχει συμβατότητα για να ολοκληρωθεί το L2TP VPN ).
Phase 2
Στην συνέχεια ρυθμίζουμε την φάση 2 (Phase 2) πηγαίνοντας στο Path Configuration > VPN > IPSec VPN > VPN Connection και μετά πατάμε Add:
Α) Ονομάζουμε το VPN Connection όπως θέλουμε και κάνουμε enable τον κανόνα
Β) Επιλέγουμε το “Remote Access (Server Role)”
Γ) Στο VPN Gateway επιλέγουμε την Gateway που φτιάξαμε στο Phase 1.
Δ) Στο Policy, (σε αντίθεση με το configuration που κάνουμε σε κανονική IPSec VPN tunnel, όπου επιλέγουμε το εσωτερικό subnet με το οποίο θα επικοινωνεί το VPN) επιλέγουμε το WAN Interface το οποίο θα συμμετέχει στο VPN. Πρέπει να φτιάξουμε ένα object ώστε να ορίσουμε την WAN. Για να το κάνουμε αυτό θα πρέπει να κάνουμε “Create New Object -> IPv4 Address”
(Σημείωση ->Στο Encaptulation επιλέγουμε Transport εάν θέλουμε με συνδεθούμε από Windows L2TP Client).
E) Στην συνέχεια ρυθμίζουμε στο Phase 2 τα Authentication – Encryption στοιχεία όπως ακριβώς είναι παραπάνω.
(ΠΡΟΣΟΧΗ!!--> Δεν θα πρέπει να βάλουμε άλλα Authentication – Encryption στοιχεία από τα παραπάνω γιατί δεν θα υπάρχει συμβατότητα για να ολοκληρωθεί το L2TP VPN).
L2TP Phase
Μετά ρυθμίζουμε το ίδιο το L2TP VPN πηγαίνοντας στο Path Configuration > VPN > L2TPVPN:
Α) Ενεργοποιούμε το L2TP Over IPSec.
Β) Στο VPN Connection επιλέγουμε τον κανόνα που φτιάξαμε στο Phase 2.
Γ) Στο IP Address Pool επιλέγουμε ένα Private range IP ή subnet από το οποίο θα πάρει IP οποιοσδήποτε client είναι να συνδεθεί μέσω του VPN.
(ΠΡΟΣΟΧΗ!!--> Το έυρος των IP θα πρέπει να είναι διαφορετικό από τα private subnets που υπάρχουν εσωτερικά του δικτύου).
Δ) Στο Allowed Users επιλέγουμε τους χρήστες ή την ομάδα χρηστών που θα μπορούν να συνδεθούν μέσω του L2TP VPN. Για να το κάνουμε αυτό θα πρέπει να φτιάξουμε τον χρήστη ή την ομάδα χρηστών μέσα από το USG. Επιλέγουμε Create New Object -> User:
Συμπληρώνουμε το Username, τον τύπο του User (admin – guest..) και το password με το οποίο θα μπορεί ο χρήστης να μπαίνει στο L2TP VPN.
Εάν θέλουμε να φτιάξουμε ομάδα χρηστών πάμε από το κεντρικό μενού του USG στο Object -> User/Group -> Group και κάνουμε Add:
Έχοντας βάλει τους χρήστες που θέλουμε στην ομάδα πατάμε οκ.
Μετά τους συμπληρώνουμε στο πεδίο Allowed Users και πατάμε οκ.
Routing Policy
Σε περίπτωση που θέλουμε αυτοί που είναι συνδεδεμένοι στο L2TP VPN να θέλουν να βγουν και στο internet μέσω του L2TP VPN tunnel προσθέτουμε τον παρακάτω κανόνα:
Στο Next – HOP -> Type, μπορούμε να διαλέξουμε και την WAN από την οποία έχουμε πρόσβαση στο ίντερνετ. Διαλέγουμε Trunk εάν η συσκευή έχει δύο ή παραπάνω ενεργές WAN και θέλουμε να υπάρχει Load Balancing προς το internet.