[DrayOS5] VPN Host-LAN EasyVPN

Routery DrayTek z systemem DrayOS5 to m.in. Vigor C410ax, Vigor C510ax, seria Vigor 2136.

Routery Vigor obsługują różne protokoły VPN, w tym IPsec (IKEv1 PSK, IKEv1 XAuth, IKEv2 PSK, IKEv2 EAP), WireGuard i OpenVPN.
Przy wielu protokołach i opcjach, użytkownicy mogą napotkać trudności w wyborze odpowiedniego protokołu, podczas konfiguracji lub nawiązywania połączenia.
DrayTek opracował funkcję EasyVPN, dzięki której po skonfigurowaniu routera przez administratora:
-do nawiązania połączenie VPN wystarczy wpisać nazwę użytkownika i hasło lub otrzymać kod jednorazowy przez email
-użytkownicy nie muszą importować plików konfiguracyjnych WireGuard oraz OpenVPN, gdyż są one dostarczane automatycznie
-użytkownicy nie muszą zastanawiać się na wyborem protokołu VPN, gdyż administrator może określić preferencje
-jeśli z jakiegokolwiek powodu nie można nawiązać połączenia VPN, klient EasyVPN automatycznie przełączy się na kolejny dostępny protokół i spróbuje ponownie

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: automatyczny (IPsec, WireGuard, OpenVPN)
– autentykacja: nazwa użytkownika i hasło lub kod jednorazowy przez email
– Vigor router wykorzystuje certyfikat Let’s Encrypt
– adres WAN serwera VPN: domenowy – vigor.drayddns.com
– adres klienta VPN: zmienny

Serwer VPN – router Vigor

Przejdź do zakładki System Maintenance / Device Settings / Time.
Zweryfikuj aktualny czas routera.
Upewnij się, że router używa serwera czasu NTP.

Przejdź do zakładki Configuration / WAN / Dynamic DNS.
Sprawdź czy router ma prawidłowo skonfigurowaną usługę DrayDDNS wraz z certyfikatem Let’s Encrypt.

Utwórz DrayDDNS nawet jeśli router posiada stały publiczny IP.
Domena DrayDDNS zostanie użyta do wygenerowania certyfikatu Let’s Encrypt.
Zapoznaj się z przykładem [DrayOS 5] Dynamiczny DNS (DrayDDNS)

Utwórz certyfikat Let’s Encrypt.
Klient IKEv2 EAP weryfikuje certyfikat serwera VPN.
Zapoznaj się z przykładem [DrayOS 5] Certyfikat routera w oparciu o Let’s Encrypt

Przejdź do zakładki Configuration /Certificates / Local Certificates.
Sprawdź czy router posiada certyfikat Let’s Encrypt powiązany z domeną DrayDDNS.

Przejdź do zakładki VPN / General Setup / Access Control.
Sprawdź czy router akceptuje połączenia.

Przejdź do zakładki VPN / General Setup / IPsec.
Włącz usługę IPsec.
Wybierz certyfikat Let’s Encrypt powiązany z DrayDDNS.

Przejdź do zakładki VPN / General Setup / WireGuard.
Włącz usługę WireGuard.
Wygeneruj klucze (prywatny, publiczny).

Przejdź do zakładki VPN / General Setup / OpenVPN
Włącz usługę OpenVPN.
Wygeneruj certyfikaty.

Przejdź do zakładki VPN / General Setup / EasyVPN
Włącz usługę EasyVPN.
Określ port, którego będzie używała usługa.
Domyślna kolejność protokołów VPN: IPsec, WireGuard, OpenVPN.
Przejdź do zakładki VPN / Teleworker VPN.
Kliknij Add aby dodać nowy profil
Wpisz nazwę użytkownika w polu Username (możliwe są różne formaty np. jkowalski, j.kowlaski, jan.kowalski)
Wpisz hasło polu Password
W sekcji General upewnij się, że profil jest aktywny.
Wpisz adres email, który będzie wykorzystywany do otrzymywania kodów jednorazowych.
Ustawienia serwera email dostępne w Configuration / Notification Services/ SMTP Server.
W sekcji Teleworker VPN wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz IPsec (EAP, XAuth), OpenVPN, WireGuard
– Wygeneruj klucze Wireguard
– Określ podsieć LAN z której będzie przypisywany adres IP
– Wpisz statyczny adres IP, który jest wymagany do WireGuard

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN / VPN Connection Status / Teleworkers VPN.

Klient VPN – Windows

Przykład EasyVPN z Windows