Mikrotik i ProtonVPN

Mikrotik ProtonVPN

Tak jak wspominałem już jakiś czas temu nie mam zaufania do bezpłatnych VPN, z jednym małym wyjątkiem jakim jest ProtonVPN. Korzystam z Proton Mail już od wielu lat, i prawie nigdy mnie nie zawiódł, dlatego, ze spokojnym sumieniem mogę polecić ich kolejną usługę jaką jest ProtonVPN.

Konfiguracja jest mocno zbliżona do NordVPN, dlatego nie powinno być większych problemów ze skonfigurowaniem IKEv2 na Mikrotiku. Dodatkowo ProtonVPN oferuje konfigurację za pomocą Wireguarda:) Podstawową konfigurację opierałem na tym tutorialu, jednak nie do końca chciało mi to zadziałać, dlatego musiałem nanieś małe poprawki, które macie poniżej.

Import Certyfikatu

Zaczynamy od pobrania certyfikatu CA ProtonVPN’a. Pobrany certyfikat za pomocą drag&drop wrzucamy do Files na Mikrotiku.

Mikrotik Certificates

Dodany certyfikat musimy zaimportować do RouterOS. Z bocznego menu wybieramy Certificates, a następnie Import.

  • Name: uzupełniamy dowolnie
  • File Name: wybieramy certyfikat wcześniej dodany

Konfiguracja IKEv2

Zaczynamy konfiguracje IPSec, przechodzimy na IP->IPSec i zaczynamy od zakładki Profiles.

IPSec Profile

  • Name: Ustawiamy dowolnie
  • Hash Algo.: wybieramy silniejszy algorytm szyfrowania SHA256
  • PRF Algo.: zostawiamy na auto
  • Encryption Algo.: zostawiamy aes-256
  • DH Group: modp1024, modp2048
  • DPD Interval: zmieniamy na disable DPD

Możemy także skorzystać z domyślnych ustawień, jednak zalecam używania bardziej złożonych algorytmów. Szczegółowy opis wspieranych modeli i rodzajów szyfrowania znajdziesz tutaj. Warto sprawdzić wspierane rodzaje szyfrowania przed zakupem Mikrotika.

Mikrotik IPSec Profiles

IPSec Proposal

W następnym kroku ustawiamy IPSec Phase 2, czyli wybieramy zakładkę Proposals.

  • Name: wybieramy dowolnie,
  • Auth Alog.: wybieramy sha256
  • Encr. Algo.: zostawiamy aes-256 cbc
  • Lifetime: zostawiamy na 00:30
  • PFS Group: ustawiamy na modp2048
Mikrotik IPSec Proposal

IPSec Policy i Policy Group

Przechodzimy do ustawień parametrów tunelu.

  • Src. Address: zostawiając 0.0.0.0/0 cały ruch zostanie przekierowany przez tunel, przy innych konfiguracjach lepiej sprawdza się modeconfig
  • Dst. Address: zostawiamy 0.0.0.0/0
  • Group: wybieramy ProtonVPN
  • Action: encrypt
  • IPsec Protocols: esp
  • Proposal: wybieramy ProtonVPN
Mikrotik IPSec Policy
Mikrotik IPSec Policy
Mikrotik IPSec Group

IPSec Modeconfig

Najważniejszym parametrem jest Connection Mark, dzięki któremu możemy oznaczyć jakie adresy IP mają zostać przekierowane przez tunel. W dalszej cześć wpisu przedstawie inny przykład wykorzystania Connection Mark. Przy tej konfiguracji pole zostawiamy puste, dzięki czemu cały ruch zostanie przekierowany na VPNa.

Mikrotik IPSec Modeconfig

IPSec Peer

Przy IPSec Peer wskazujemy adres serwera z jakim będziemy się łączyć oraz profil.

Mikrotik IPSec Peer

IPSec Identity

Pamiętasz wcześniej zapisane poświadczenia ze strony ProtonVPN, w tym miejscu należy je wpisać.

Mikrotik IPSec Identity

Materiał Video

Polecany sprzęt

Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.

Do domu i małej firmy(SOHO): hAP AC Lite , hAP AC2, RB4011, RB260GS, RB2011
hAP AC3 LTE

LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit

Extender/Repeater: mAP lite, mAP

POE: hEX PoE

LAB: hEX lite

Średnia/Duża firma: CCR1036-12G-4S

Add a Comment

Twój adres e-mail nie zostanie opublikowany.