In questa guida vi mostro come configurare una VPN NORDVPN su mikrotik, tramite il protocollo ikev2. Grazie a questa guida riuscirete a utilizzare la vpn senza più problemi di lentezza nel caricamento della pagina web della vpn, che causava appunto problemi con la guida presente nel sito ufficiale Nord VPN.
Cos’è una vpn?
Una Virtual Private Network (abbreviato VPN) è un tunnel criptato, che consente a un utente connesso di mantenere un anonimato online, garantendo una privacy durante l’utilizzo della navigazione. La vpn è molto utile se si utilizza una rete Wi-Fi pubblica, dove potrebbero esserci dei malintenzionati che potrebbero sferrare attacchi contro tale rete presente e magari eseguire attività maligne.
Cos’è ikve2?
L’Internet Key Exchange Version 2 è un protocollo criptato utilizzato dalle VPN in grado di dare protezione al traffico Internet in esecuzione sul dispositivo che si utilizza.
Installazione:
Prima di eseguire tale procedura posso garantirvi che questo metodo funziona su tutte le versioni Mikrotik da 6.47.2 in su. In quanto grazie a questa guida riusciamo a correggere un problema di lentezza di apertura delle pagine internet sotto VPN, in sostanza la VPN si collega ma delle volte o si scollega oppure riesce solo a eseguire le ricerche delle pagine Web, oppure le cariche ma è lentissimo a causa del MSS non preciso.
Procediamo con inserire il seguente comando che permette di scaricare dal sito NORDVPN il certificato, quindi aprite il terminale di winbox, e inserite questo comando:
/tool fetch url=”https://downloads.nordcdn.com/certificates/root.der”
ora procediamo con l’importazione del certificato tramite il seguente comando:
/certificate import file-name=root.der
apriamo ora il terminale e digitiamo i seguenti comandi nel terminale: (per ogni comando premiamo invio).
/ip ipsec profile add name=NORDVPN
/ip ipsec proposal add name=NORDVPN pfs-group=none
/ip ipsec policy group add name=NORDVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=NORDVPN proposal=NORDVPN src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config add connection-mark=VPN name=NORDVPN responder=no .
In questo comando ora scegliamo il server che vogliamo utilizzare nel mio caso utilizzo un server italiano di Milano:
/ip ipsec peer add address=it228.nordvpn.com exchange-mode=ike2 name=NORDVPN profile=NORDVPN .
Ora qui tramite questo comando dobbiamo inserire le nostre credenziali Username e Password presenti nel nostro account NordVPN:
/ip ipsec identity add auth-method=eap certificate=”” eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NORDVPN peer=NORDVPN policy-template-group=NORDVPN username=YourNordVPNServiceUsername password=YourNordVPNServicePassword .
Recatevi in IP —> DNSe inserite manualmente di NORDVPN.
Ora in Firewall inserite questo comando con l’ip gateway corrispondente alla vostra classe IP. Successivamente inserite gli altri comandi di seguito:
/ip firewall address-list add address=192.168.88.0/24 list=local
/ip ipsec mode-config set [ find name=NORDVPN ] src-address-list=local .
Ora la configurazione è terminata, adesso se vi recate su IP—> IPSEC poi su Active Peers vedrete ora che la vpn si continua a disconnettere se utilizzate la versione 6.47.2, oppure rimane connessa per pochi secondi. Adesso aggiornate la versione 6.47.2 all’ultima versione del firmware mikrotik quindi cliccate su Quick Set poi su Check for Updates. Terminato l’aggiornamento all’ultima versione entrate di nuovo in WinBox recatevi sul terminale e scrivete i seguenti comandi:
/ip firewall mangle add action=mark-connection chain=prerouting new-connection-mark=VPN passthrough=yes
correggiamo ora l’ MSS per i pacchetti in avanti:
/ip firewall mangle add action=change-mss chain=forward ipsec-policy=in,ipsec log-prefix=MSS new-mss=1382 passthrough=yes protocol=tcp tcp-flags=syn
se notate internet che non carica le pagine web come ad esempio speedtest.net o altri siti ufficiali, basta inserire questi comandi per risolvere tale problema:
/ip firewall mangle add action=sniff-tzsp chain=postrouting icmp-options=3:4 log=yes log-prefix=post-ICMP protocol=icmp sniff-target=192.168.21.177 sniff-target-port=37008
/ip ipsec policy move *ffffff destination=0
/ip ipsec policy add action=none dst-address=192.168.88.0/24 src-address=0.0.0.0/0 place-before=1 .
Adesso rimuovete nel menù IP—> FIREWALL FILTER RULES il file la rotta FASTTRACK.
Ho testato questo metodo su un router HEX Mikrotik versione Gigabit
ORA POTETE NOTARE CHE LA VPN È IN FUNZIONE CORRETTAMENTE BASTA TORNARE SU IP —> IPSEC E RECARSI SU ACTIVE PEERS IN UPTIME NOTATE IL TEMPO CHE É IN UTILIZZO LA VPN. SPERO CHE QUESTA GUIDA FUNZIONI ANCHE PER VOI, IL MIO TEST LO ESEGUITO SU UN ROUTER MIKROTIK SXT LTE6 KIT E SU UN ROUTER HEX MODELLO GIGABIT VERSION.