Setup VPN Client - Apple

A Meraki VPN needs to be running on the other end.

 

Setting up the VPN Client

To setup a VPN on the Mac you have to go to System Preferences > Network.

Here you can add a New VPN of the type "L2TP über IPSec" by clicking the + Symbol.

Now go to options > Send all traffic over VPN.

Now we have to enter the server and authentification informationen from the Meraki Portal.

Now you can connect to the Meraki VPN...

... by clicking on "connect".

 

Cheers,
Ori


Setup VPN Client - Windows

A Meraki VPN needs to be running on the other end.

 

Setting up the VPN Client

In Windows 10 you create a new VPN by going to "Prefferences > VPN > Add VPN-Connection".

Here you have to enter the detauls from the Meraki Portal.

This is not sufficient however.
In the network prefferences (Windows +R > ncpa.cpl) you have to go to the security tab of the VPN connection and choose "Unencrypted Password" over PAP and only use "MS-CHAP-v2".

Don't worry about the "unencrypted" part, the transfer of the unencrypted Password over the PAP protocol is happening inside the CHAPv2 encrypted handshake.

Now the VPN connection can be started.

Cheers,
Ori


VPN am Client einrichten - Linux

Dieser Artikel setzt voraus, dass auf der Gegenseite ein Meraki VPN eingerichtet wurde.

 

VPN am Client Einrichten – Linux (Ubuntu)

Leider bietet Ubuntu mit Bordmitteln nicht die Möglichkeit einen IPsec Tunnel mit PSK über die GUI einzurichten.

Ich bin also nach en Anleitungen von Psandford und hwdsl2 vorgegangen:
https://gist.github.com/psanford/42c550a1a6ad3cb70b13e4aaa94ddb1c
https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients.md#linux-vpn-clients

Öffnet mit STRG+T ein Terminal, aktualisiert die Paketquellen und Installiert strongswan und xl2tpd
sudo apt-get update && sudo apt-get install -y strongswan xl2tpd

- Strongswan ist ein Client für IPSec VPNs
- Xl2tpd ist ein Deamon um Layer 2 Traffic durch Tunnel zu routen

Basierend auf diesem Gist zeigt diese Grafik wo die Infos vom Meraki Portal eingetragen werden müssen.

/etc/ipsec.conf

Hier definiert ihr folgendermaßen eine weitere Verbindung:

conn meraki-vpn
keyexchange=ikev1
left=%defaultroute
auto=add
authby=secret
type=transport
leftprotoport=17/1701
rightprotoport=17/1701
right=<Hostname oder IP Adresse>

/etc/ipsec.secrets

Diese Datei besteht nur aus einer einzigen Zeile.

: PSK "zwischen diesen Anführungszeichen tragt ihr das Secret ein"

/etc/xl2tpd/xl2tpd.conf

[lac meraki-vpn]
lns = <Hostname oder IP>
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes

 

/etc/ppp/options.l2tpd.client 
ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000

 

Dieses ist das Script MerakiVPN.sh welches ich benutzte, um mich zu dem VPN zu verbinden.
Ihr könnt die Netzwerkinformationen auch direkt im Script hinterlegen.

Cheers,
Ori


VPN am Client einrichten - Apple

Dieser Artikel setzt voraus, dass auf der Gegenseite ein Meraki VPN eingerichtet wurde.

 

Client Einrichten

Um auf dem Mac ein VPN einzurichten, müsst Ihr in den Systemeinstellungen > Netzwerk öffnen.

Dort erstellt Ihr über das + Symbol ein neues VPN vom Typ "L2TP über IPSec".

Bei weitere Optionen muss nun der Haken gesetzt werden bei "Gesamten Verkehr über die VPN-Verbindung senden".

Nun müssen noch die Server und Authentifizierungsinformationen aus dem Meraki Portal eingetragen werden.

Und nun könnt Ihr eine Verbindung mit dem Meraki VPN herstellen.

... indem Ihr auf "Verbinden" klickt.

Cheers,
Ori


VPN am Client einrichten - Windows

Dieser Artikel setzt voraus, dass auf der Gegenseite ein Meraki VPN eingerichtet wurde.

 

Client Konfigurieren

Unter Windows 10 muss man ein neues VPN unter "Einstellungen > VPN > VPN-Verbindung hinzufügen" einrichten.

Hier müssen nun die Daten aus dem Meraki Portal eingetragen werden.

Dies reicht allerdings noch nicht aus.
In den Netzwerkeinstellungen (Windows +R > ncpa.cpl) müssen nun im Sicherheitsreiter der VPN Verbindung "Unverschlüsseltes Kennwort" über PAP und ausschließlich "MS-CHAP-v2" zugelassen werden.

Macht euch keine Sorgen wegen der Formulierung, die Übertragung des unverschlüsselten Passwortes mit dem Protokoll PAP verfolgt über eine verschlüsselte Verbindung mittels CHAP.

Jetzt kann die VPN Verbindung hergestellt werden.

Cheers,
Ori


Setup VPN

This article explains how to setup a VPN to a Meraki Network on the Example of a MX80 and connect a client to it.

Configuring the Meraki Portal

Since all Meraki devices are Cloud Managed you have to login to the Meraki Portal.
https://account.meraki.com/secure/login/dashboard_login

There the firewall has to be registrered (Placeholder for another Blogarticle), so it pulls the config changes.

Select the organisation and the network wählen that the firewall is a member of.
Afterwards you can add a VPN user by going to Security Appliance > Client VPN > "Add new user".

On the same configuration page the Client VPN Server has to be active and a seperate network for the users connecting via VPN has to be defined. This is a good thing to do in general not just with Meraki because it makes it easy to write firewall rules for VPN users.

At last you have to enter a PSK to the „Secret“ field.
This PSK, the username and the password will now be needed to setup the client.

 

Cheers,
Ori

 

 


VPN einrichten

In diesem Artikel soll es darum gehen, wie man in einem Netz mit einer Meraki Firewall, am Beispiel einer MX80, ein VPN einrichtet und einen Client damit verbindet.

Meraki Portal Konfigurieren

Als Erstes müsst Ihr euch am Meraki Portal anmelden
https://account.meraki.com/secure/login/dashboard_login

Alle Cisco Meraki Produkte werden primär über das Meraki Portal konfiguriert.
Dort muss die Firewall registriert (Platzhalter für weiteren Blogartikel) werden, damit sie sich Änderungen an der Config zieht.

Im Meraki Portal müsst Ihr die Organisation und das Netzwerk wählen, in welchem die Firewall Member ist.
Anschließend könnt ihr unter Security Appliance > Client VPN > "Add new user" einen neuen VPN Benutzer anlegen.

Auf derselben Seite muss der Client VPN Server aktiviert und ein separates Netz für die User, welche sich über VPN verbinden, definiert werden. Das ist auch prinzipiell nicht nur bei Meraki sinnvoll, da so leicht Firewallregeln für VPN User geschrieben werden können.

Abschließend muss bei „Secret“ noch ein PSK eingetragen werden.
Dieser PSK zusammen mit Hostname und Passwort werden nun beim Einrichten des Clients benötigt.

 

Cheers,
Ori