Escolar Documentos
Profissional Documentos
Cultura Documentos
CONFIGURACION DE
UNA RED VPN
OPENVPN
Introducción……………………………………………………………………….. 3
Marco Teórico…………………………………………………………………….. 4
Desarrollo…………………………………………………………………………. 6
Conclusiones……………………………………………………………………… 43
2
INTRODUCCION
En la extendida red del área geográfica del internet a miles de computadores interconectados
permitiendo a miles de usuarios hacer utilidad de cada uno de los servicios que ofrecen, pero
como se conectan las empresas que son de una misma organización, que están a diferentes
distancias y se quien comunicar de una forma segura sin que nadie tenga acceso a su
información. ?
Para este tipo de conexiones existe una solución las redes virtuales que son las que hoy en
día nos garantiza mayor seguridad de las comunicaciones entre organizaciones o usuarios.
En este pequeño documento vamos a ver como se configuran este tipo de redes.
3
MARCO TEORICO
VPN: Es la red que permite la conexión de redes locales utilizando una redes publica como lo
es internet, haciendo utilidad de túneles garantizando mayor seguridad de transferencias de
datos.
COEXION REMOTA: Es una tecnología que nos permite acceder a mi ordenador así este
fuera de nuestro alcance.
SSL VPN: Permite que las conexiones por internet sean seguras, este actúa sobre la capa
de transporte.
VYATTA: Vyatta esta bajo Linux, preparado especialmente para realizar funciones de routeo,
vpn, firewall e incluso para trabajar como maquina virtual.
PFSENSE: Firewall, router, punto de acceso inalámbrico, DHCP servidor, DNS del servidor,
VPN.
ISA SERVER: Permite proteger su las redes de las amenazas de Internet, además de
proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos.
4
L2TP: Crea un túnel utilizando PPP para enlaces telefónicos, este asegura nada mas los
puntos de finales del túnel, sin asegurar los datos del paquete.
NMAP: Es una herramienta open source, diseñada para explorar y para realizar auditorias de
seguridad en una red de computadoras.
PAT: Es una característica de una red de dispositivo que traduce TCP o UDP comunicaciones
entre los hosts de una red privada y los hosts en una red pública.
SSH: protocolo que permite acceder a una maquina remota de una red.
Webmin: Es una herramienta administrativa vía que nos permite la configuración de varios
servicios de red tales como firewall, servidor de correo, base de datos MYSQL, DHCP, DNS
entre otros y muchos que puede soportar Webmin.
Enmascaramiento: Es una serie de normas que permite el envió y filtrado de datos entre
dos redes.
Shorewall: Es una herramienta de código abierto cortafuegos para Linux que se basa en el
Netfilter (iptables / ipchains) sistema integrado en el kernel de Linux, por lo que es más fácil
de manejar esquemas de configuración más compleja.
5
Netfilter/iptables: Herramienta libre que crear cortafuegos para Linux El componente más
popular construido sobre Netfilter es iptables, una herramientas de cortafuegos que permite
no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT).
DESARROLLO
6
Entonces vamos a una un directorio de ejemplos de pvn y copiemos los las siguientes
carpetas.
> cd /user/share/doc/openvpn/examples/
>gunzip server.conf.gz
7
Vamos a al directorio
> cd easy-rsa/2.0
Para generar las variables que nos permiten crear nuestra entidad certificadora y los
certificados para el servidor y el cliente
a continuación vamos a ejecutar las siguientes variables para borrar otros registros y
comenzar uno nuevo.
> ./clean-all
>. ./vars
Ahora vamos a ejecutar la variable que nos permite crear nuestra entidad certificadora
>./build.ca
Ahora vamos a llenar los datos que nos piden, como lo muestra la siguiente imagen.
8
Vamos a crear los certificados, a continuación creamos el cerficado del servidor con
>./build-key-server nom_server
Aquí nos muestra un resumen del certificado y nos va a preguntar que si estamos seguros de
la configuración y que si esta creado correctamente aceptamos con una y.
9
Luego creamos el certificado del cliente
Ejecutamos la variable
>./build-key nom_client
Llenamos los datos que nos piden como lo muestra la siguiente imagen
10
Aquí nos muestra el resumen de el certificado y aceptamos las preguntas que nos aparece.
También vamos a generar el siguiente archivo que es el que nos permite generar cada uno
de los certificados creados.
>./build-dh
11
Vamos a copiar los certificados del servidor en el directorio de openvpn y los certificados del
cliente los pasamos al cliente marce.crt, marce.key y ca.crt
Vamos al directorio del openvpn y damos >ls para ver los archivos que copiamos
Ejecutamos el comando
>nano server.conf
El archivo de configuración tiene más líneas pero en este caso solo deje las líneas que
necesitamos para la configuración, entonces solo modificamos las líneas que nuestros en la
imagen
12
y ahora vamos a comprobar que nos quedo correctamente con el siguiente comando. El cual
nos permite ver cada una de las líneas que hemos configurado.
Al dar >ifconfig vemos que nos aparece una nueva interfaz llama tun esa es la interfaz de
13
túnel de nuestra VPN.
http://sourceforge.net/projects/securepoint/
14
Damos siguiente y captamos la licencias y siguiente.
15
De aquí en adelante damos siguiente por que cada una de las configuraciones viene por
defecto.
Esperamos que instale
16
Y vamos al final nos aparcera una ventana que nos dice que si queremos crear un nuevo
cliente y damos que si y ya hemos terminado con nuestra instalación.
Ya después de la instalación nos a perece una ventana para crear en nuevo cliente vpn
17
En esta ventana damos en New para configurar la conexión con el servidor.
Nota: este cliente reconoce solo los archivos en formato .cert .pem entonces debemos
cambiarle la extensión a nuestros certificados.
18
Entonces damos en examinar y buscamos los certificados con la extensión que le dimos.
19
Luego damos en conectar y cuando nos conecte nos muestra la dirección ip que le
asignamos a nuestro túnel vpn.
20
Para terminar de establecer nuestra conexión vpn vamos a comprobar que nuestro cliente
vea el servidor vpn dándole un ping a la dirección del servidor
>ping 10.11.0.1
21
INSTALACIÓN Y CONFIGURACIÓN WEBMIN
CENTOS + WEBMIN
FIREWALL
VPN
IP WAN
Cliente VPN 192.168.1.50
IP LAN LAN
IP:192.168.1.54 WAN 172.16.10.99
PC LAN
IP: 172.16.10.20
IP TUNEL VPN
10.0.8.11 CONEXIÓN VPN
22
rpm -ivh shorewall-perl-4.0.11-2.noarch.rpm shorewall-shell-4.0.11-2.noarch.rpm shorewall-4.0.11-
2.noarch.rpm
Luego de haber instalado los paquetes de firewall shorewall ingresamos a webmin para su
configuración. Cuando ingresamos en red cortafuego shorewall podemos ver las opciones
que podemos modificar.
Ingresamos a zona de red le damos en editar manualmente nombramos las zonas de nuestro
firewall salvamos y regresamos al menú principal del shorewall.
Ahora en interfaces de red a las zonas creadas anteriormente le asignaremos una interfaz
de red disponible en nuestro equipo salvar y regresar al menú de shorewall.
23
Ahora en políticas por defecto aremos una cuantas como lo muestra la siguiente imagen.
Por el momento en reglar de cortafuego agregaremos una sola regla de acceso para permitir
las conexiones de los clientes vpn que se aran por el protocolo UDP y por el puerto 1194
otras peticiones que se hagan al firewall por cualquier puerto y protocolo serán denegadas
las peticiones por las políticas por defecto.
24
Enmascaramientos de las interfaces red.
25
INSTALACION Y CONFIGURACION DE OPENVPN+CA
Lo primero que debemos hacer es descargar los paquetes necesarios para la instalación y
configuración de este.
Las librerías de openvpn el instalador .rpm y el modulo de webmin para openvpn.gz.
Luego de la instalación del paquete rpm de openvpn ingresamos vía web a webmin los la
dirección del o con un localhost:10000 puerto por donde escucha.
Podes encontrar lo archivos necesarios en esta url http://cid-
32f370d43eacab36.office.live.com/self.aspx/Webmin-.Openvpn/webmin%20openvpn.tar
26
Buscamos el modulo de openvpn para webmin que anteriormente hemos descargado y clic
en instalar
Instalación correcta, salimos de webmin dándole en view module’s logs o reiniciar webmin.
27
Llenamos los campos con las debías parámetros se pueden hacer keys zize (bits) de
1024,2048 y 4096 clic en salvar
28
Luego de esperar un buen rato por fin Certification Authority list damos en keys list.
Creamos la Key del servidor seleccionamos key Server server podemos por un tiempo
adecuado de expiración de la key en días y le damos salvar.
29
Creamos la key del cliente adicionalmente podemos poner una password a esta key server
seleccionamos client.
30
Lista de llaves de entidad certificadora.
31
Clic en regresar a openvpn administration y ingresamos a VPN List clic en New VPN Server.
Aquí se define servidor de vpn colocándole en el nombre y el puerto por donde va escuchar
las peticiones el modo si va hacer túnel o modo puente, asignarle el rango de dirección ip
que le va dar a nuestros clientes VPN y las de mas configuraciones las podemos hacer a
nuestro gusto según lo que necesitemos le puede otorgar mas seguridad a nuestra conexión
VPN.
Dándole yes o no las opciones que nos ofrece de configuración con estas se
32
33
Salvar y se creara nuestra VPN Server List clic en client List para crear nuestros usuarios
VPN.
34
Lista de clientes vpn dándole exportar nos dará un archivo .ZIP de todo lo necesario que
necesita el usuario para conectarse desde la extranet a la LAN de nuestra empresa.
Ahora para la entrega de este archivo hay varias formar una de ellas es entregarla
personalmente a cada unos de los usuarios y hacer varias talleres de cómo se debe instalar
y configurar el cliente VPN en la maquina que lo utilizaran o en cualquier otra, Enviarlo por
correo a los usuarios y anterior mente a verles explicado su uso adicional mandarles adjunto
un manual paso a paso de lo que deben hacer para conectarse exitosamente a el PC de la
empresa, uno de los métodos que se nos ocurrió era montar un ftp y hay montar los archivos
de cada cliente aunque es un poco inseguro por un ataque así el y robarse estos archivos
una de las opciones menos seguras es permitir desde la extranet que puedan ingresar vía
web a webmin y que cada usuario entre y baje su certificado pero en caso de ataque a esta
35
podrían tomar control de varios de nuestros servicios claro esta si los tenemos configurado
en el webmin en si son muchas posibilidades de entregar a cada usuario este .zip pero todos
abra un gran o pequeño riesgo nosotros optamos por enviarlo por correo claro ya que esto lo
hacemos en modo de prueba no creo que pase algo raro.
Bueno luego de a ver enviado los certificados a los cliente no se nos puede olvidar iniciar
nuestro servicio de openvpn+CA dando start OpenVPN.
Al recibir el correo junto a las indicaciones que hay que seguir procedemos a la ejecución de
estas.
36
Primero descargar openvpn de la url que nos enviaron descargamos en install.exe
37
Los componentes que deseamos instalar en nuestro caso los que aparecen por defecto todo
.
38
Segundo paso descargar el archivo comprimido con nuestro nombre y le damos extraer
39
Ya como tenemos instalado el openvpn en el icono del escritorio le damos doble clic para
iniciar el servicio.
Al iniciar el servicio aparece un nuevo icono en la barra de herramientas damos clic derecho
conectar.
40
Ahora nos pide la contraseña que le pusimos a la key de dicho usuario.
“Súper segura”
Y conectado exitosamente
Una prueba de fuego a ver si nuestra configuración esta correcta intentar conectarnos
remotamente a un equipo que se encuentra al otro lado de firewall
41
Y podemos trabajar tranquilamente desde la casa o desde cualquier parte del mundo.
42
CONCLUSIONES
Las conexiones vpn es una forma de permitir a usuarios de nuestra red que no están
constantemente en las oficinas de trabajo, y necesitan acceder a su información desde
cualquier parte de una forma segura y confiable en la que no expongan sus datos a
terceros.
También las VPN nos ayudan con la seguridad de nuestros datos de la empresa ya
que podemos hacer que solo se permitan conexiones remotas (VPN) y no exponer
nuestros servidores a internet.
Es más fácil y práctico hacer la instalación de openvpn con webmin ya que tiene una
interfaz grafica más amigable para administración y gestión de los usuarios VPN.
43