UNIVERSIDAD

NACIONAL
TECNOLOGICA DE LIMA SUR

Ingeniera Electrnica y Telecomunicaciones

Proyecto Final
Prueba real de enlace por VPN entre sedes para
comunicaciones VOIP ASTERISK
Alumnos:
Terrones Rabanal Marco Antonio
Quesquen Chilquillo Luis Denis
Curso

:
TRANSMISIN DE DATOS

Profesor:
Ing. Freddy Campos
Ciclo:

2015

VIII

Universidad Nacional Tecnolgica de Lima Sur.

Prueba real de enlace por VPN entre

sedes para comunicaciones VOIP
ASTERISK

Alumnos:
Terrones Rabanal, Marco Antonio.
Objetivos:
Poner en prctica los conocimientos de RUTEO, RISC, NATEO, ETC, generar enlaces
VPN entre dos sedes para tener acceso a la misma red de manera segura, poner en
prctica los conocimientos de configuracin de red y dems parmetros del SO LINUX
CENTOS 6, exponer los conocimientos de administracin y configuracin del software
ASTERISK en consola CLI y/o mediante SSH PUTTY.
Topologa:

Tecnologas:
Tecnologas de ruteo, Nat, tecnologa de tuneling VPN, Tecnologa de troncales SIP,
tecnologa de emulacin GNS3, etc.

Universidad Nacional Tecnolgica de Lima Sur.

EL PROBLEMA
Este proyecto de investigacin nace de la necesidad del ahorro en comunicaciones en las
grandes empresas y entidades del estado. Poniendo un ejemplo a la Superintendencia
Nacional de Fiscalizacin Tributaria, la cual tiene intendencias regionales a nivel nacional
en la cual los funcionarios y colaboradores se mantienen comunicados continuamente.
Para ello se debe emplear una solucin que tenga el menor costo mensual y menor
mantenimiento posible. Para las llamadas externas a SUNAFIL, hay que tener en cuenta
que en promedio se realizan unas 30 llamadas en entrantes y 30 llamadas salientes en
simultneo. Algunas de estas llamadas son a FIJOS, CELUAR CLARO, MOVISTAR,
ENTEL, etc. Todas las intendencias cuentan con conexin a internet de por lo menos 500
Kbps de upstream.

LA SOLUCIN PROPUESTA
Una nica central de comunicaciones en un punto fijo, e instalar anexos en cada
intendencia regional registrada a la central, la cual tendr una conexin totalmente segura
mediante enlace VPN. Las llamadas entre anexos a nivel nacional no tendrn ningn
costo, las llamadas salientes saldrn por una lnea primaria (2 lneas primarias para
llamadas entrantes y salientes).

Universidad Nacional Tecnolgica de Lima Sur.

VPN (VIRTUAL PRIVATE NETWORK)

Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network,
es una tecnologa de red que permite una extensin segura de la red local (LAN) sobre
una red pblica o no controlada como Internet. Permite que la computadora en la red enve
y reciba datos sobre redes compartidas o pblicas como si fuera una red privada con toda
la funcionalidad, seguridad y polticas de gestin de una red privada. Esto se realiza
estableciendo una conexin virtual punto a punto mediante el uso de conexiones
dedicadas, cifrado o la combinacin de ambos mtodos.

Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa

utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la
conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su
equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la
infraestructura de Internet.

La conexin VPN a travs de Internet es tcnicamente una unin wide area network (WAN)
entre los sitios pero al usuario le parece como si fuera un enlace privado de all la
designacin "virtual private network".

Tipos de VPN
VPN de acceso remoto
Es quizs el modelo ms usado actualmente, y consiste en usuarios o proveedores que se
conectan

con

la

empresa

desde

sitios

remotos

(oficinas

comerciales,

domicilios, hoteles, aviones preparados, etctera) utilizando Internet como vnculo de

acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red
local de la empresa. Muchas empresas han reemplazado con esta tecnologa su
infraestructura dial-up (mdems y lneas telefnicas).

VPN punto a punto

Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las
conexiones va Internet provenientes de los sitios y establece el tnel VPN. Los servidores

Universidad Nacional Tecnolgica de Lima Sur.

de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de

Internet, tpicamente mediante conexiones de banda ancha. Esto permite eliminar los
costosos vnculos punto a punto tradicional (realizados comnmente mediante conexiones
de cable fsicas entre los nodos), sobre todo en las comunicaciones internacionales. Es
ms comn el siguiente punto, tambin llamado tecnologa de tnel otunneling.

Tunneling
La tcnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo
de red encapsulador) creando un tnel dentro de una red de computadoras. El
establecimiento de dicho tnel se implementa incluyendo una PDU (unidades de datos de
protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un
extremo al otro del tnel sin que sea necesaria una interpretacin intermedia de
la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos
intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El tnel
queda definido por los puntos extremos y el protocolo de comunicacin empleado, que
entre otros, podra ser SSH.
El uso de esta tcnica persigue diferentes objetivos, dependiendo del problema que se
est tratando, como por ejemplo la comunicacin de islas en escenarios multicast, la
redireccin de trfico, etc.
Uno de los ejemplos ms claros de utilizacin de esta tcnica consiste en la redireccin de
trfico en escenarios IP Mvil. En escenarios de IP mvil, cuando un nodo-mvil no se
encuentra en su red base, necesita que su home-agent realice ciertas funciones en su
puesto, entre las que se encuentra la de capturar el trfico dirigido al nodo-mvil y
redirigirlo hacia l. Esa redireccin del trfico se realiza usando un mecanismo de
tunneling, ya que es necesario que los paquetes conserven su estructura y contenido
originales (direccin IP de origen y destino, puertos, etc.) cuando sean recibidos por el
nodo-mvil. Se maneja de manera remota.

VPN over LAN

Este esquema es el menos difundido pero uno de los ms poderosos para utilizar dentro
de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet
como medio de conexin, emplea la misma red de rea local (LAN) de la empresa. Sirve
para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente
para mejorar las prestaciones de seguridad de las redes inalmbricas (WiFi).
Un ejemplo clsico es un servidor con informacin sensible, como las nminas de sueldos,
ubicado detrs de un equipo VPN, el cual provee autenticacin adicional ms el agregado

Universidad Nacional Tecnolgica de Lima Sur.

del cifrado, haciendo posible que slo el personal de recursos humanos habilitado pueda
acceder a la informacin.
Otro ejemplo es la conexin a redes Wi-Fi haciendo uso de tneles cifrados IPSec o SSL
que adems de pasar por los mtodos de autenticacin tradicionales (WEP, WPA,
direcciones MAC, etc.) agregan las credenciales de seguridad del tnel VPN creado en la
LAN interna o externa.

Para este proyecto, el servidor VPN se encuentra en una oficina ubicada en

Jess Mara Lima, y el cliente lo tendremos en mi laptop y haremos la prueba
de la conexin VPN desde cualquier parte para las comunicaciones VoIP.

OPENVPN EN CENTOS (SERVIDOR)

Como el usuario root, desde una terminal, descargue el archivo AL-Server.repo:

wget O /etc/yum.repos.d/AL-Server.repo \
http://www.alcancelibre.org/al/server/AL-Server.repo

Instalar los paquetes necesarios:

yum y install openvpn shorewall

Procedimientos.

Universidad Nacional Tecnolgica de Lima Sur.

Si fuera necesario, cambiarse al usuario root utilizando el siguiente mandato:

su l

Cambie al directorio /etc/openvpn:

cd /etc/openvpn/

NOTA: Todos los procedimientos necesarios para configurar un servidor con OpenVPN se
realizan sin salir de/etc/openvpn/. Por favor, evite cambiar de directorio hasta haber
finalizado los procedimientos descritos en este documento.
A fin de facilitar los procedimientos, se copiarn los archivos openssl1.0.0.cnf, whichopensslcnf, pkitool y vars que se localizan dentro del
directorio /usr/share/easy-rsa/ dentro del directorio /etc/openvpn/:

cp
cp
cp
cp

/usr/share/easy-rsa/openssl-1.0.0.cnf ./
/usr/share/easy-rsa/whichopensslcnf ./
/usr/share/easy-rsa/pkitool ./
/usr/share/easy-rsa/vars ./

Utilizar el editor de texto y abrir el archivo /etc/openvpn/vars:

vi /etc/openvpn/vars

De este archivo slo hay que editar las ltimas lneas, que corresponden a algo similar a lo
siguiente:

export
export
export
export
export
export
export

KEY_SIZE=1024
KEY_COUNTRY="US"
KEY_PROVINCE="CA"
KEY_CITY="SanFrancisco"
KEY_ORG="Fort-Funston"
KEY_EMAIL="me@myhost.mydomain"
KEY_EMAIL=mail@host.domain

Universidad Nacional Tecnolgica de Lima Sur.

export KEY_CN=changeme
export KEY_NAME=chanegme
export KEY_OU=changeme

Hay que establecer el certificado a 2048 bits para mayor seguridad, reemplazar los valores
predeterminados por los que se consideren pertinentes sin utilizar acentos o tildes y
eliminar la lnea repetida que define el correo electrnico predeterminado. Ejemplo:
export
export
export
export
export
export
export
export
export

KEY_SIZE=2048
KEY_COUNTRY="MX"
KEY_PROVINCE="DF"
KEY_CITY="Mexico"
KEY_ORG="Mi Empresa, S.A. de C.V."
KEY_EMAIL="fulanito@mi-dominio.com"
KEY_CN=servidor.mi-dominio.com
KEY_NAME=servidor
KEY_OU=Sistemas

Se requiere ejecutar del siguiente modo el archivo /etc/openvpn/vars a fin de que carguen
las variables de entorno que se acaban de configurar.

source /etc/openvpn/./vars

Cada vez que se vayan a generar nuevos certificados, debe ejecutarse el mandato anterior a
fin de que carguen las variables de entorno definidas.
Se ejecuta el archivo /usr/share/easy-rsa/clean-all a fin de limpiar cualquier firma digital
que accidentalmente estuviera presente.

sh /usr/share/easy-rsa/clean-all

Lo anterior realiza un rm -fr (eliminacin recursiva) sobre el directorio /etc/openvpn/keys,

por lo que se eliminarn todas los certificados y firmas digitales que hubieran existido con
anterioridad.
A fin de crear el certificado del servidor, se crea un certificado:

sh /usr/share/easy-rsa/build-ca

Universidad Nacional Tecnolgica de Lima Sur.

Se crear el archivo dh2048.pem, el cual contendr las opciones del protocolo Diffie-Hellman,
de 2048 bits:

sh /usr/share/easy-rsa/build-dh

El protocolo Diffie-Hellman permite el intercambio secreto de claves entre dos partes que sin
que stas hayan tenido contacto previo, utilizando un canal inseguro y de manera annima
(sin autenticar). Se emplea generalmente como medio para acordar claves simtricas que
sern empleadas para el cifrado de una sesin, como es el caso de una conexin VPN.

Nota: Este paso puede demorar varios, pero varios minutos, paciencia.
Para generar la firma digital, se utilizan el siguiente mandato:

sh /usr/share/easy-rsa/build-key-server server

Finalmente se crean los certificados para los clientes. En el siguiente ejemplo se crean los
certificados para cliente1:

sh /usr/share/easy-rsa/build-key cliente1

A fin de utilizar los certificados y que se configure el sistema, se crea con el editor de texto
el archivo/etc/openvpn/server.conf:

vi /etc/openvpn/server.conf

Para la VPN se recomienda utilizar una red privada que sea poco usual, a fin de poder
permitir a los clientes conectarse sin conflictos de red. Un ejemplo de una red poco utilizada
sera 192.168.37.0/255.255.255.0, lo cual permitir conectarse a la VPN a 253 clientes.
Tomando en cuenta lo anterior, el contenido del archivo/etc/openvpn/server.conf debe ser el
siguiente:

10

Universidad Nacional Tecnolgica de Lima Sur.

port 1194
proto udp
dev tun
#----- Seccin de firma y certificados ----ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
#------------------------------------------server 192.168.37.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn.log
verb 3

Si SELinux est activo, es necesario que el directorio /etc/openvpn y sus contenidos tengan
los contextos apropiados de esta implementacin de seguridad. Ejecute restorecon con la
opcin -r y /etc/openvpn como argumento:

NOTA: Se recomienda tener el SELinux desactivado.

restorecon R /etc/openvpn/

Genere los archivos /etc/openvpn/ipp.txt y /var/log/openvpn.log ejecutando lo siguiente:

touch /etc/openvpn/ipp.txt
touch /var/log/openvpn.log

Si se tiene activo SELinux, se requiere asignar contexto de lectura y escritura

(openvpn_etc_rw_t) al archivo /ertc/openvpn/ipp.txt:

chcon chcon -t openvpn_etc_rw_t /etc/openvpn/ipp.txt

11

Universidad Nacional Tecnolgica de Lima Sur.

Ejecute lo siguiente slo si utiliza CentOS 7 o Red Hat Enterprise Linux 7 o versiones
posteriores:

ln s /lib/Dystem/system/openvpn\@.service \
/etc/Dystem/system/multi-user.target.wants/openvpn\@server.service

Ejecute lo siguiente para aadir el servicio al arranque del sistema si utiliza CentOS 6 o Red
Hat Enterprise Linux 6:

chkconfig openvpn on

Ejecute en su lugar lo siguiente si utiliza CentOS 7 o Red Hat Enterprise Linux 7:

systemctl -f enable openvpn@server

Ejecute lo siguiente para iniciar el servicio si utiliza CentOS 6 o Red Hat Enterprise Linux
6:

service openvpn start

Ejecute en su lugar lo siguiente si utiliza CentOS 7 o Red Hat Enterprise Linux 7:

systemctl start openvpn@server

PROBLEMAS PRESENTADOS EN LA INSTALACION DEL OPENVPN SERVIDOR:

Al levantar el servicio de OPENVPN en CENTOS de manera remota (por
Putty), necesito que el SELinux est desactivado ya que cuando est activado
las polticas no permiten conexiones por putty, lo que me pas es que active el

12

Universidad Nacional Tecnolgica de Lima Sur.

SELinux para ver la diferencias entre activado y desactivado y perd la
conexin, por lo que tuve que hacerme un viaje desde mi casa hasta la oficina
donde se aloja el servidor para nuevamente desactivar el SELinux.
Al configurar el servicio de OPENVPN en remoto no encontr la forma de
copiar los archivos .crt necesarios para el enlace SERVIDOR/CLIENTE en la
maquina WINDOWS, ya que todos los procesos en putty se hacen con cdigo
Linux, tuve que ir a la oficina a hacer las copias de los certificados. Luego se
descubri que hay una manera de copiarlos en un usb de manera remota.

OPENVPN EN WINDOWS (CLIENTE)

Instalar el paquete de OpenVPN para Windows desde http://openvpn.net/index.php/opensource/downloads.html.
Crear el archivo cliente1-udp-1194.ovpn, con el siguiente contenido, donde es importante
que las rutas definidas sean las correctas y las diagonales invertidas sean dobles:

client
dev tun
proto udp
remote dominio-o-ip.del.servidor.vpn 1194
float
resolv-retry infinite
nobind
persist-key
persist-tun
#------ SECCION DE LLAVES -------ca "C:\\Archivos de Programa\\OpenVPN\\config\\ca.crt"
cert "C:\\Archivos de Programa\\OpenVPN\\config\\cliente1.crt"
key "C:\\Archivos de Programa\\OpenVPN\\config\\cliente1.key"
ns-cert-type server
#--------------------------------comp-lzo
verb 3

PROBLEMAS PRESENTADOS EN LA INSTALACION DEL OPENVPN CLIENTE:

Se recomienda abrir el OPENVPN GUI en ejecutar como administrador,
ya que si no se hace de ese modo, Windows no permite el ruteo necesario para
conexin VPN. Se recomienda contar con una conexin de internet con un
ancho de banda de subida regular, ya que en la llamada se necesita
downstream y upstream. Se recomiendo guardar muy bien los certificados de

13

Universidad Nacional Tecnolgica de Lima Sur.

comunicacin VPN ya que con ellos cualquier usuario puede tener acceso a tu
red.

Zoiper Free Softphone

Es un softhphone gratuito que permite conexiones SIP, IAX y XMPP con centrales
telefnicas IP. Soporta cdecs como G.711 (64 Kbps), G.726 (32 Kbps), GSM (13 Kbps),
Ilbc (15.2 Kbps), Speex (22.4 Kbps). Los parmetros que necesita de nuestra central
Asterisk son el host, el anexo y la contrasea.