Réseau

Ubiquiti : Comment configurer un VPN L2TP/IPSEC sur UDM Pro et SE

Aujourd’hui nous verrons ensemble comment configurer un serveur VPN sur l’UDM Pro ou l’UDM Pro SE. Depuis quelque temps, l’UDM Pro SE propose deux possibilités pour monter un VPN, soit le traditionnel et bien connu VPN L2TP/IPSEC, soit WireGuard. C’est la première solution que je vais vous présenter aujourd’hui, cependant, je reviendrai rapidement avec un autre article concernant la mise en place d’un VPN avec WireGuard.

Ubiquiti Networks UniFi Dream Machine Pro All-in-One Gateway, UDM-Pro (All-in-One Gateway) Blanc
  • Nombre de ports de commutation de base RJ-45 Ethernet: 9
  • Ports Basic Type Switching RJ-45 Ethernet: Gigabit Ethernet (10/100/1000)
  • Nombre de machines à sous du module SFP +: 2
  • Support 10g: oui

Le VPN (Virtual Private Network) est un moyen de connecter vos périphériques (ordinateurs, tablettes, smartphone…) à distance sur votre réseau en utilisant une connexion sécurisée et privée. Cela vous permettra donc d’accéder à vos serveurs Windows, serveurs NAS ou encore vos périphériques d’impressions depuis l’extérieur en toute sécurité. L’un des protocoles VPN les plus utilisés est le L2TP/IPSEC, qui offre une combinaison de sécurité et de facilité d’utilisation. L2TP (Layer 2 Tunneling Protocol) a été créé par une collaboration entre Microsoft et Cisco Systems en 1999.

Configuration VPN L2TP/IPSEC sur Unifi

Attention, dans mon cas, l’UDM Pro étant derrière une Livebox, il est configuré en DMZ. c’est à dire que tous les ports sont ouverts vers l’UDM Pro, c’est ensuite celui-ci qui fera office de pare-feu et routeur. En fonction de votre configuration (si vous êtes en bridge par exemple), la procédure peut différer légèrement. Ce qu’il faut avoir en tête c’est que le protocole L2TP/IPsec utilise les ports UDP 500 et 4500. Il est donc nécessaire qu’ils soient ouverts. 

Du côté UDM, cela sera fait automatiquement, du côté de votre box, cela dépend de votre configuration. En Bridge, aucun port à ouvrir, si comme moi vous êtes en DMZ, pas de port à ouvrir non plus, si votre UDM n’est pas en DMZ, alors il faudra ouvrir ces ports et les redirigés vers votre UDM afin de faire du double NAT.

Si ce n’est pas clair, n’hésitez pas à utiliser les commentaires. Nous allons maintenant passer à la configuration du VPN.

Configuration VPN sur UDM (Pro et SE)

Depuis l’application Network de votre UDM Pro / SE, cliquez sur « Settings » puis dans la section « Teleport & VPN » cliquez sur « Create New » en face de « VPN Server« .

 Ici, si vous avez un UDMPRO en version « SE », sélectionner L2TP, nous verrons dans un prochain article la configuration avec WireGuard. Ajouter un nom à votre réseau VPN.
Vous pouvez récupérer la clé pré-partagée ou bien créer la vôtre, enfin, dans la partie « Server Address » , c’est l’IP WAN qui doit apparaitre, sauf si comme moi vous êtes en DMZ, alors ce sera l’IP de votre UDM sur le réseau de votre Box.
C’est ici que vous allez pouvoir également créer vos utilisateurs, pour cela cliquez sur « Create New User » .

 Créez ici vos utilisateurs pour leur octroyer le droit de connexion sur le VPN. Cliquez sur « Create User » pour valider.

 Vous allez ensuite pouvoir utiliser ce VPN tel quel, ou bien allez un peu plus loin dans la configuration en sélectionnant « Manual » dans la section « Advanced ».
Vous allez pouvoir notamment  changer le réseau utilisé par le VPN, ajouter vos DNS ou encore activer l’authentification forte pour l’utilisation du protocole MS-Chapv2 pour Windows.

 Les règles de pare-feu sont automatiquement créées sur UDM une fois le VPN créer.

Connexion au VPN Unifi UDM via Windows

Maintenant que notre VPN est installé et configuré, nous allons voir comment se connecter au VPN depuis l’extérieur avec Windows. Pensez bien à faire vos tests depuis l’extérieur de votre réseau (avec un partage de connexion par exemple). L’avantage du protocole L2TP/IPSEC c’est que nous n’aurons pas besoin d’installer d’application, c’est intégré à Windows.
Voici la méthode sur Windows 11 (cela reste très similaire à Windows 10) 

  1. Depuis les paramètres de Windows, cliquez sur « Réseau et Internet » puis sélectionner VPN
  2. Cliquez sur Ajouter un VPN
  3. Ici sélectionnez Windows (intégré) comme fournisseur VPN, ajouter un nom personnalisé pour votre VPN, l’adresse ip WAN de votre UDM ou son DNS personnalisé. 
    Sélectionner L2TP/IPsec avec clé pré-partagée puis entrez la clé prépartagé que vous aviez configurée dans le VPN de l’UDM.
  4. Terminez en ajoutant votre nom d’utilisateur ainsi que le mot de passe associé. Cliquez sur « Enregistrer pour terminer ».
  5. Nous devons activer maintenant MS Chap v2 sur notre carte réseau virtuel. 
  6. Effectuer un clic droit sur le menu démarrer puis sélectionner « Exécuter » (ou utiliser le raccourci « Win+R »)
  7. Lancer la commande ncpa.cpl ce qui vous permettra d’accéder directement à l’ensemble de vos cartes réseau.
  8. Accéder aux propriétés de la carte réseau virtuelle dédiée à votre VPN
  9. Dans l’onglet sécurité, cliquer sur « Autoriser ces protocoles » puis sélectionner « MS-CHAP v2 », valider en cliquant sur « OK ».

On a presque terminé. Si vous avez votre UDM en bridge, votre VPN devrait alors être déjà fonctionnel. Cependant si comme moi il est derrière du NAT (DMZ ou Double NAT), il est nécessaire d’ajouter une clé de registre afin que ce soit fonctionnel. (Plus d’infos ici)

Pour les UDM en NAT

Comme expliqué plus haut, si vous souhaitez utiliser Windows en tant que client VPN et que votre UDM est en NAT, alors il va falloir faire une petite modification dans la base de registre. Voici comment : 

  1. Sur votre ordinateur sous Windows, utilisez le raccourci « Win + R » afin de pouvoir exécuter la commande « Regedit ».
  2. Depuis la base de registre, recherchez puis sélectionnez-la sous clé de Registre suivante :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Ajouter une Valeur DWORD (32 bits) portant le nom AssumeUDPEncapsulationContextOnSendRule
  4. Donner la valeur « 2 »
  5. Redémarrez l’ordinateur (indispensable).

Maintenant que notre machine est configurée correctement, nous allons pouvoir lancer la connexion VPN. Pour ça, soit directement depuis les paramètres dans l’option « Réseaux ».

Soit directement depuis les actions rapides, vous devriez maintenant voir votre VPN. Cliquez simplement sur « Connecter » !

Un simple ipconfig vous permettra alors de vérifier que vous avez bien récupéré l’adresse IP de votre tunnel VPN.

 Voilà, vous devriez maintenant être capable de créer facilement une connexion VPN depuis votre UDM de chez Ubiquiti. Le L2TP étant un protocole reconnu, il est disponible sur tout type de périphérique, il sera donc possible de monter votre VPN également sur Linux, macOS ou encore votre smartphone.

Attention, par défaut une fois connecté à votre VPN, vous avez un accès complet à l’ensemble de votre réseau et de vos VLAN. Si vous avez besoin de bloquer l’accès à certaines adresses IP ou VLANs, il faudra créer des nouvelles règles de pare-feu « LAN OUT ». J’en parle dans ma vidéo, n’hésitez pas à y jeter un coup d’oeil si vous souhaitez approfondir le sujet.

Nous reviendrons rapidement avec un article pour expliquer comment mettre en place un VPN site à site, mais également un VPN via WireGuard. 

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 pour la société zerobug. Je partage mes connaissances, problèmes et solutions à travers articles ou tweets !

Articles similaires

6 commentaires

  1. Bonjour,
    J’ai une livebox pro V4 et UDM pro. J’ai bien mis l’adresse ip de ma UDM pro en DMZ dans la livebox mais la connexion ne s’établie pas malgré le paramétrage fait comme dans la vidéo.
    Je n’ai pas compris le double NAT avec les port 500 et 4500.
    pouvez-vous me dire le paramétrage à effectuer dans la live box
    je vous en remercie

    1. Bonjour Frédéric,
      Si ton UDM est bien dans la DMZ tu ne devrait donc rien avoir à configuré dans la livebox.
      Le double NAT est configuré automatiquement, puisque tu as ton UDM en DMZ.
      Si tu es sur Windows, as-tu suivi l’étape avec la clé à ajouté dans la base de registre ?
      Essaie également depuis un autre périphérique (Smartphone, ect..)

      1. Bonjour,
        Merci pour vos vidéos qui sont très bien faites. C’est bien le Windows qui posait problème. Mon poste sous Windows 11 ne se connecte pas mais un autre sous Windows 10 fonctionne parfaitement avec l’ajout de la clé dans la base de registre et paramétrage de la connexion VPN.
        Merci encore de m’avoir permis d’élargir les possibilités de mon UDM Pro.
        Continuez

  2. Bonjour
    Tout d’abord, félicitations pour ton travail, je regarde souvent tes vidéos! 🙂
    J’ai solutionné ce problème de vpn sous windows 10 (pas testé en windows 11)en rajoutant une 2e clé dans le regedit.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan
    Open the Edit menu > New submenu and click DWORD (32-bit) Value.
    Paste ProhibitIpSec as the value name.
    Right-click ProhibitIpSec and choose Modify.
    At Value data, type 0.
    Set Base to Hexadecimal.
    Click OK.

    Par contre je suis preneur pour des explications pour le vpn site to site avec deux UDM PRO en double NAT avec des livebox 5 fibre, je bute inlassablement!
    Cordialement

  3. Bonjour à tous
    J’ai un problème j’ai créé un VPN avec un UDMPRO et des utilisateur, jusque-là, tout va bien

    mais : quand je me connecte avec un ou plusieurs sous MAC pas de problème, tous les ordis se connectent très bien.

    Mais ce n’est pas la même chose avec Windows, on peut se connecter une machine après l’autre.

    En gros, impossible de connecter plusieurs ordinateurs Windows en même temps
    Pour information, nous sommes en win11

    quand je connecte une premier machine Windows au VPN, ça fonctionne mai si je connecte UN deuxième PC impossible de la connecter cette deuxième machine. Sauf si je Connect cette dernière en 4G c’est-à-dire sortir du réseau de l’entreprise

  4. Bonjour Mikael,

    Tout d’abord merci pour tes explications c’est top !

    Je me heurte malgrès tout à un problème.
    Je suis sur MBP et sur le réseau local pas de soucis dans la partie réseau sur FINDER je vois mon NAS.
    Par contre en VPN je ne vois rien sur le réseau. Ni NAS ni imprimante.

    J’ai suivi la procédure complète et connecté en VPN j’accède à mes appareils type NAS ou UDM PRO SE sur leur adresse local. Donc je suis bien connecté.

    Si tu as une idée pour que je puisse voir mon NAS à distance dans FINDER je suis preneur.

    Bon dimanche

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page