Celem laboratoriów jest skonfigurowanie połączenia klienta (maszyny wirtualnej) do serwera VPN IKEv2 (bezpłatne konto firmy ProtonVPN). Konfiguracja połączenia VPN IKEv2 będzie przeprowadzana na mikrotiku, a ruch sieciowy z maszyny wirtualnej będzie tunelowany przez Mikrotik do serwera VPN IKEv2.
Przygotowania
Wykonaj restart do ustawień fabrycznych na mikrotiku R1. Dodaj 2 maszyny wirtualne c:\sk\win-01 i c:\sk\win-02 do VMware Workstation (z menu wybierz File / Open). Przywróć (Revert) maszyny wirtualne do migawki „Gotowa”.
1. UWAGA. Połącz pierwszy port swojej karty sieciowej (na krosownicy) do drugiego portu (ether2) mikrotika R1. Do pierwszego portu (ether1) Mikrotika podłącz internet (switch 48-portowy).
2. W przeglądarce internetowej uruchom adres https://protonvpn.com Link2. Kliknij link „Get Proton VPN” i załóż darmowe konto używając dowolnego adresu e-mail i własnego hasła. Adres może być dowolny, ale zapamiętaj go bo to twój login. Nie zamykaj okna przeglądarki. Wrócimy jeszcze to konta ProtonVPN.
3. Pobierz certyfikat klikając w link ProtonVPN IKEv2.
4. Z pomocą aplikacji WinBox połącz się z Mikrotikiem, korzystając z adresu IP. Wybierz z bocznego menu zakładkę Files, a następnie Upload. Wskaż ściągnięty certyfikat ProtonVPN_ike_root.der i potwierdź wybór. Zamknij okno File List. W ten sposób wrzuciłeś certyfikat na dysk mikrotika.
5. Wybierz z bocznego menu System / Certificates / Import. W polu Name wpisz ProtonVPN, w polu File Name wybierz certyfikat, który wrzuciłeś na dysk, zatwierdź przyciskiem Import. Zamknij okno Certificates. W ten sposób certyfikat został zaimportowany w Mikrotiku.
6. W programie VMware Workstation przypisz obydwu maszynom TAKĄ SAMĄ kartę sieciową Karta-Port1 (wskaż maszynę / Edit virtual machine settings / Network adapter / Custom: specific virtual network / Karta-Port1).
7. Uruchom obydwie maszyny wirtualne.
8. Z menu WinBoxa wybierz IP / DHCP Server. Przejdź do zakładki Leases. Powinieneś zobaczyć 3 dzierżawy adresów IP (spójrz na kolumnę Active Host): win-01 (maszyna wirtualna 1), win-02 (maszyna wirtualna 2), WI-30XWI1-KXX (pierwszy port karty sieciowej komputera z którego korzystasz). Jeżeli brakuje Ci której z dzierżaw, to wewnątrz maszyn wirtualnych pobierz ręcznie adres IP (polecenie ipconfig /renew).
9. Wskaż myszką dzierżawę win-01. Kliknij na nią prawym przyciskiem myszy i wybierz z menu „Make Static” (przypiszemy maszynie win-01 statyczny adres IP). Następnie kliknij dwukrotnie jeszcze raz na dzierżawę win-01 i przypisz adres 10.0.101.99. Zatwierdź zmianę dzierżawy klikając OK. Zauważ, że dzierżawa maszyny win-01 nie zmieniła się, bo na maszynie win-01 obowiązuje cały czas stara dzierżawa.
10. Przejdź do pulpitu maszyny wirtualnej win-01, otwórz wiersz poleceń i wykonaj polecenie ipconfig. Następnie wpisz polecenie ipconfig /renew, żeby pobrać nowy adres IP. Ponownie wykonaj polecenie ipconfig. Maszyna powinna mieć adres IP 10.0.101.99.
11. W WinBoxie wybierz IP / IPsec. Przejdź do zakładki Proposals. Wybierz +, a następnie w oknie „New IPsec Proposal:
– w polu Name wpisz „ProtonVPN„,
– odznacz sha1 (ten algorytm uwierzytelniania jest przestarzały),
– ZAZNACZ sha256,
– odznacz aes-128 cbc,
– odznacz aes-192 cbc (będziemy używać mocniejszego algorytmu szyfrowania aes-256 cbc)
– w PFS Group ustaw modp2048 (to grupa Diffiego-Hellmana, która będzie używana w fazie 2 połączenia IPSec).
Zatwierdź parametry klikając OK.
12. W zakładce Profiles wybierz +, a następnie w oknie „New IPsec Profile”:
– w polu Name wpisz „ProtonVPN„,
– w listwie rozwijanej „Hash Algorithms” wybierz sha256,
– odznacz 3des,
– odznacz aes-128,
– ZAZNACZ aes-256,
– w DPD Interval wybierz „disable DPD„.
Zatwierdź parametry klikając OK.
13. Wróć do okna przeglądarki w której jesteś zalogowany do konta ProtonVPN. Powinieneś znajdować się w opcji Downloads. Zjedź na dół do sekcji „OpenVPN configuration files”, a następnie do widoku krajów i serwerów. Wybierz sobie wiersz przedstawiający dowolny serwer, ale postaraj się żeby status oznaczający w procentach zajętość serwera był niski (taki serwer jest mało oblegany). Przy wybranym serwerze znajduje się przycisk Download. Rozwiń listę Download serwerów i kliknij wybrany serwer (jego nazwa skopiowana została do schowka).
14. W WinBoxie w oknie IPsec przejdź do zakładki Peers. Wybierz +, a następnie w oknie „New Ipsec Peer”:
– w polu Name wpisz ProtonVPN,
– w polu Address wklej skopiowany adres serwera ProtonVPN,
– w listwie rozwijanej Profile wybierz ProtonVPN,
– w polu Exchange Mode wybierz IKE2,
– odznacz pole „Send INITIAL_CONTACT„.
Zatwierdź parametry klikając OK.
15. W oknie IPsec przejdź do zakładki Groups. Wybierz +, a następnie w oknie „New IPsec Group” wpisz ProtonVPN w polu Name i zatwierdź klikając OK.
16. Przejdź do zakładki Policies. Wybierz +, a następnie w oknie „New IPsec Policy”:
– w listwie rozwijanej Peer wybierz ProtonVPN,
– w polu Src. Address wpisz 0.0.0.0/0,
– w polu Dst. Address wpisz 0.0.0.0/0,
Następnie ZAZNACZ pole Template (nic na razie nie zatwierdzaj, tylko dalej ustawiaj konfigurację).
– w listwie rozwijanej Group wybierz ProtonVPN.
Przejdź do zakładki Action:
– w listwie rozwijanej Proposal wybierz ProtonVPN.
Zatwierdź parametry klikając OK.
17. W WinBoxie wybierz IP / Firewall. Przejdź do zakładki „Address Lists”. Wybierz +, a następnie w oknie „New Firewall Address List”:
– w polu Name wpisz ProtonVPN,
– w polu Address wpisz 10.0.101.99.
Zatwierdź parametry klikając OK.
W tym miejscu można byłoby dodać inne adresy IP z taką samą nazwą (wtedy ruch z tych wszystkich wymienionych komputerów przechodziłby przez tunel VPN IKEv2).
18. W oknie IPsec przejdź do zakładki „Mode Configs”. Wybierz +, a następnie w oknie „New IPsec Mode Config”:
– w polu Name wpisz ProtonVPN,
– odznacz pole Responder,
– w listwie rozwijanej „Src. Address List” wybierz ProtonVPN.
Zatwierdź parametry klikając OK.
19. W oknie IPsec przejdź do zakładki „Identities”. Wybierz +, a następnie w oknie „New IPsec Identities”:
– w listwie rozwijanej Peer wybierz ProtonVPN,
– w listwie rozwijanej „Auth. Metdod” wybierz eap,
– w listwie rozwijanej „EAP Methods” wybierz MS-CHAPv2
Nie zatwierdzaj tego okna jeszcze, ale przejdź do okna przeglądarki w której jesteś zalogowany do konta ProtonVPN. Przejdź do opcji Account. Skopiuj swoją nazwę użytkownika znajdującą się w wierszu „OpenVPN / IKEv2 username”. Wróć do WinBoxa, do okna „New IPsec Identities”:
– w polu Username wpisz skopiowaną nazwę użytkownika ProtonVPN,
Ponownie przejdź do okna przeglądarki i skopiuj hasło użytkownika znajdującą się w wierszu „OpenVPN / IKEv2 password”. Wróć do WinBoxa, do okna „New IPsec Identities”:
– w polu Password wpisz skopiowane hasło użytkownika ProtonVPN,
– w listwie rozwijanej „Policy Template Group” wybierz ProtonVPN,
– w listwie rozwijanej „Mode Configuration” wybierz ProtonVPN,
– w listwie rozwijanej „Generate Policy” wybierz „port strict”.
Zatwierdź parametry klikając OK.
20. W oknie IPsec przejdź do zakładki „Active Peers”. Powinieneś zobaczyć parametry zestawionego połączenia VPN IKEv2. Jeżeli połączenie nie zostało zestawione to cofnij się i sprawdź wszystkie ustawiane parametry.
21. W maszynach wirtualnych uruchom przeglądarkę internetową i wpisz adres https://whatismyipaddress.com
Porównaj adresy IP zewnętrzne maszyn wirtualnych i ich geolokalizację. W maszynie win-01 łączysz się z internetem za pośrednictwem tunelu VPN IKEv2, natomiast maszyna win-02 korzysta bezpośrednio z twojego rzeczywistego dostawcy internetowego (ponieważ jej adres nie znajduje się na liście „Address Lists”).
ZANIM PRZEJDZIESZ DALEJ – zgłoś prowadzącemu skonfigurowane połączenie VPN IKEv2
Na koniec usuń utworzone konto ProtonVPN (w przeglądarce w której jesteś zalogowany do konta ProtonVPN wybierz Account i na samym dole kliknij „Delete your account” i potwierdź usunięcie). Uwaga nie usuwaj konta, zanim nie zgłosisz skonfigurowanie połączeń, usuwając konto – usuwasz swój dostęp do serwera ProtonVPN.