Vous êtes sur la page 1sur 43

2010

CONFIGURACION DE
UNA RED VPN
OPENVPN

Diana Marcela Quintero Duque


SENA
22/07/2010
CONTENIDO

Introducción……………………………………………………………………….. 3

Marco Teórico…………………………………………………………………….. 4

Desarrollo…………………………………………………………………………. 6

Configuración de VPN con OpenVpn…………………………………………... 6

Instalación y Configuración del cliente VPN en Windows………………… 14

Configuración del Cliente………………………………………………………... 16

Instalación y configuración Webmin…………………………………………. 22

Instalación y configuración de firewall shorewall…………………………… 22

Instalación y configuración de openvpn+CA en Webmin………………...... 26

Instalación y configuración de cliente openvpn…………………………….. 36

Conclusiones……………………………………………………………………… 43

2
INTRODUCCION

En la extendida red del área geográfica del internet a miles de computadores interconectados
permitiendo a miles de usuarios hacer utilidad de cada uno de los servicios que ofrecen, pero
como se conectan las empresas que son de una misma organización, que están a diferentes
distancias y se quien comunicar de una forma segura sin que nadie tenga acceso a su
información. ?

Para este tipo de conexiones existe una solución las redes virtuales que son las que hoy en
día nos garantiza mayor seguridad de las comunicaciones entre organizaciones o usuarios.

En este pequeño documento vamos a ver como se configuran este tipo de redes.

3
MARCO TEORICO

VPN: Es la red que permite la conexión de redes locales utilizando una redes publica como lo
es internet, haciendo utilidad de túneles garantizando mayor seguridad de transferencias de
datos.

COEXION REMOTA: Es una tecnología que nos permite acceder a mi ordenador así este
fuera de nuestro alcance.

SEGURIDAD PERIMETRAL: Se encarga de controlar y proteger todo el tráfico o contenido


de los puntos de entrada y salida de una conexión.

ROAD WARRIOR: Acceso remoto, conexión de usuarios o proveedores con la empresa


remotamente desde cualquier lugar.

TUNNELING: Consiste en encapsular un protocolo de red sobre otro (protocolo de red


encapsulador) creando un túnel dentro de una red de computadoras. Haciendo que el
contenido de los paquetes no se pueda ver.

SSL VPN: Permite que las conexiones por internet sean seguras, este actúa sobre la capa
de transporte.

VPN appliance: es un equipo de seguridad con características de seguridad mejoradas que


es mas cono sida como SSL.

VYATTA: Vyatta esta bajo Linux, preparado especialmente para realizar funciones de routeo,
vpn, firewall e incluso para trabajar como maquina virtual.

PFSENSE: Firewall, router, punto de acceso inalámbrico, DHCP servidor, DNS del servidor,
VPN.

IPCOP: Es un firewall de una distribución de Linux.

SMOOTHWALL: Es una distribución de Linux que nos permite proporcionar un firewall.

ISA SERVER: Permite proteger su las redes de las amenazas de Internet, además de
proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos.

CERTIFICADOS DIGITALES: Es un documento que esta registrado ante un tercero que


autoriza la vinculación entre una entidad de un sujeto, una entidad y su calve publica.

PKI: Es una combinación de hardware y software, políticas y procedimientos de seguridad


que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la
firma digital o el no repudio de transacciones electrónicas, permite a los usuarios autenticarse
frente a otros usuarios y usar la información de los certificados de identidad, para cifrar y
descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y
otros usos.

4
L2TP: Crea un túnel utilizando PPP para enlaces telefónicos, este asegura nada mas los
puntos de finales del túnel, sin asegurar los datos del paquete.

IPSEC: Asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando o


cifrando cada paquete IP en un flujo de datos.

INTRUSO INFORMATICO: Son aquellos que pretenden invadir la privacidad de nuestro


datos de la red o de mi ordenador.

MODELOS OSI: Es un marco de referencia para la definición de arquitecturas de


interconexión de sistemas de comunicaciones.

NMAP: Es una herramienta open source, diseñada para explorar y para realizar auditorias de
seguridad en una red de computadoras.

ACL: Se trata de los permisos de acceso a determinados objetos o aplicaciones, este


controla el tráfico de las redes informáticas.

PAT: Es una característica de una red de dispositivo que traduce TCP o UDP comunicaciones
entre los hosts de una red privada y los hosts en una red pública.

NAT: Traducciones de direcciones IP que permite la transición de datos entre redes


diferentes.

FORWARDING: Permite el reenvió de correo de una dirección a otra.

PPTP: Es un protocolo que fue diseñado para la implementación de un red privada


asegurando la conexión punto a punto.

SSH: protocolo que permite acceder a una maquina remota de una red.

WIRESHARK: Es un analizador de protocolos permite analizar el tráfico de una red y


solucionar problemas.

Webmin: Es una herramienta administrativa vía que nos permite la configuración de varios
servicios de red tales como firewall, servidor de correo, base de datos MYSQL, DHCP, DNS
entre otros y muchos que puede soportar Webmin.

Enmascaramiento: Es una serie de normas que permite el envió y filtrado de datos entre
dos redes.

Shorewall: Es una herramienta de código abierto cortafuegos para Linux que se basa en el
Netfilter (iptables / ipchains) sistema integrado en el kernel de Linux, por lo que es más fácil
de manejar esquemas de configuración más compleja.

5
Netfilter/iptables: Herramienta libre que crear cortafuegos para Linux El componente más
popular construido sobre Netfilter es iptables, una herramientas de cortafuegos que permite
no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT).

DESARROLLO

CONFIGURACION DE VPN CON OPENVPN

Primero descargamos el paquete con el siguiente comando como lo muestra la imagen.

> Apt-get install openvpn

El directorio de vpn que da en la siguiente ruta


>cd /etc/openvpn/

Cuando damos ls vemos que no hay ningún archivo de configuración

6
Entonces vamos a una un directorio de ejemplos de pvn y copiemos los las siguientes
carpetas.
> cd /user/share/doc/openvpn/examples/

Luego vamos a copiar los archivos de configuración del nuestra vpn.

> cp -r easy-rsa /etc/openvpn/

>cp -r server.conf.gz /etc/openvpn/

Vamos al directorio de openvpn y descomprimimos el archivo server.conf.gz

>gunzip server.conf.gz

Vemos que ya tenemos el archivo de configuración de nuestro servidor

7
Vamos a al directorio
> cd easy-rsa/2.0

Para generar las variables que nos permiten crear nuestra entidad certificadora y los
certificados para el servidor y el cliente

a continuación vamos a ejecutar las siguientes variables para borrar otros registros y
comenzar uno nuevo.

> ./clean-all
>. ./vars

Ahora vamos a ejecutar la variable que nos permite crear nuestra entidad certificadora

>./build.ca

Ahora vamos a llenar los datos que nos piden, como lo muestra la siguiente imagen.

8
Vamos a crear los certificados, a continuación creamos el cerficado del servidor con

>./build-key-server nom_server

Como lo muestra la imagen

Aquí nos muestra un resumen del certificado y nos va a preguntar que si estamos seguros de
la configuración y que si esta creado correctamente aceptamos con una y.

9
Luego creamos el certificado del cliente

Ejecutamos la variable

>./build-key nom_client

Llenamos los datos que nos piden como lo muestra la siguiente imagen

10
Aquí nos muestra el resumen de el certificado y aceptamos las preguntas que nos aparece.

También vamos a generar el siguiente archivo que es el que nos permite generar cada uno
de los certificados creados.

>./build-dh

Vamos al directorio >/etc/openvpn/easy-rsa/2.0/keys/ y damos >ls para ver los certificados


como lo muestro en la imagen.

11
Vamos a copiar los certificados del servidor en el directorio de openvpn y los certificados del
cliente los pasamos al cliente marce.crt, marce.key y ca.crt

>cp -r diana.crt diana.key ca.crt /etc/openvpn/

También copiamos el siguiente archivo

>cp dh1024.pem /etc/openvpn/

Vamos al directorio del openvpn y damos >ls para ver los archivos que copiamos

Ahora vamos a modificar el archivo de configuración del openvpn.

Ejecutamos el comando

>nano server.conf

El archivo de configuración tiene más líneas pero en este caso solo deje las líneas que
necesitamos para la configuración, entonces solo modificamos las líneas que nuestros en la
imagen

12
y ahora vamos a comprobar que nos quedo correctamente con el siguiente comando. El cual
nos permite ver cada una de las líneas que hemos configurado.

>openvpn - -config server.conf

No nos salió ningún error.

Reiniciamos el servicio de openvpn con:

>servicie openvpn restart

Al dar >ifconfig vemos que nos aparece una nueva interfaz llama tun esa es la interfaz de

13
túnel de nuestra VPN.

INSTALACION Y CONFEGURACION DEL CLIENTE VPN EN WINDOWS

Vamos a descargar el cliente vpn para nuestro Windows

http://sourceforge.net/projects/securepoint/

Después de la descarga procedemos a la instalación

14
Damos siguiente y captamos la licencias y siguiente.

Seleccionamos el all user y damos siguiente

15
De aquí en adelante damos siguiente por que cada una de las configuraciones viene por

defecto.
Esperamos que instale

16
Y vamos al final nos aparcera una ventana que nos dice que si queremos crear un nuevo
cliente y damos que si y ya hemos terminado con nuestra instalación.

CONFIGURACION DEL CLIENTE

Ya después de la instalación nos a perece una ventana para crear en nuevo cliente vpn

17
En esta ventana damos en New para configurar la conexión con el servidor.

Vamos a poner la dirección del servidor vpn el puerto y el protocolo

Vamos a exportar los certificados.

Nota: este cliente reconoce solo los archivos en formato .cert .pem entonces debemos
cambiarle la extensión a nuestros certificados.

18
Entonces damos en examinar y buscamos los certificados con la extensión que le dimos.

Quitamos la selección de ingreso con autenticación y damos siguiente.

En la siguiente imagen siguiente nos muestra el resumen de la configuración que le hicimos


a nuestro cliente luego de esto damos en finalizar y que da la configuración de nuestros
cliente.

19
Luego damos en conectar y cuando nos conecte nos muestra la dirección ip que le
asignamos a nuestro túnel vpn.

20
Para terminar de establecer nuestra conexión vpn vamos a comprobar que nuestro cliente
vea el servidor vpn dándole un ping a la dirección del servidor

>ping 10.11.0.1

Como podemos ver ya tenemos una conexión por VPN.

21
INSTALACIÓN Y CONFIGURACIÓN WEBMIN

DIAGRAMA SIMPLE DE LA RED


DIRECTORIO ACTIVO
DNS
DHCP
IP: 172.16.10.1

CENTOS + WEBMIN
FIREWALL
VPN

IP WAN
Cliente VPN 192.168.1.50
IP LAN LAN
IP:192.168.1.54 WAN 172.16.10.99
PC LAN
IP: 172.16.10.20
IP TUNEL VPN
10.0.8.11 CONEXIÓN VPN

La instalación de webmin podemos descargan el paquete de la pagina oficial


http://www.webmin.com/download.html que necesitemos según la distribución que estemos
utilizando en nuestro caso centos el paquete correspondiente es .rpm cuando haya acabado
la instalación podemos ingresar a webmin vía web con la dirección del servidor o un localhost
por el puerto 10000 por donde escucha por defecto. Para ingresar entramos con el usuario
de sistema y su respetiva contraseña.

INSTALACION Y CONFIGURACION DE FIREWALL SHOREWALL

Para la descargar de firewall shorewall desde la terminal ejecutamos los siguientes


comandos.
wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-4.0.11-
2.noarch.rpm
wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-perl-4.0.11-
2.noarch.rpm
wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-
2.noarch.rpm
luego este comando para la instalación de de los paquetes descargados .

22
rpm -ivh shorewall-perl-4.0.11-2.noarch.rpm shorewall-shell-4.0.11-2.noarch.rpm shorewall-4.0.11-
2.noarch.rpm
Luego de haber instalado los paquetes de firewall shorewall ingresamos a webmin para su
configuración. Cuando ingresamos en red cortafuego shorewall podemos ver las opciones
que podemos modificar.

Ingresamos a zona de red le damos en editar manualmente nombramos las zonas de nuestro
firewall salvamos y regresamos al menú principal del shorewall.

Ahora en interfaces de red a las zonas creadas anteriormente le asignaremos una interfaz
de red disponible en nuestro equipo salvar y regresar al menú de shorewall.

23
Ahora en políticas por defecto aremos una cuantas como lo muestra la siguiente imagen.

Por el momento en reglar de cortafuego agregaremos una sola regla de acceso para permitir
las conexiones de los clientes vpn que se aran por el protocolo UDP y por el puerto 1194
otras peticiones que se hagan al firewall por cualquier puerto y protocolo serán denegadas
las peticiones por las políticas por defecto.

24
Enmascaramientos de las interfaces red.

25
INSTALACION Y CONFIGURACION DE OPENVPN+CA

Lo primero que debemos hacer es descargar los paquetes necesarios para la instalación y
configuración de este.
Las librerías de openvpn el instalador .rpm y el modulo de webmin para openvpn.gz.
Luego de la instalación del paquete rpm de openvpn ingresamos vía web a webmin los la
dirección del o con un localhost:10000 puerto por donde escucha.
Podes encontrar lo archivos necesarios en esta url http://cid-
32f370d43eacab36.office.live.com/self.aspx/Webmin-.Openvpn/webmin%20openvpn.tar

Cargaremos el modulo de la siguiente forma en webmin/configuración de webmin módulos


de webmin.

26
Buscamos el modulo de openvpn para webmin que anteriormente hemos descargado y clic
en instalar

Instalación correcta, salimos de webmin dándole en view module’s logs o reiniciar webmin.

Ingresar a webmin en servidores/openvpn+CA primero crearemos Certificación Authority List .

27
Llenamos los campos con las debías parámetros se pueden hacer keys zize (bits) de
1024,2048 y 4096 clic en salvar

28
Luego de esperar un buen rato por fin Certification Authority list damos en keys list.

Creamos la Key del servidor seleccionamos key Server server podemos por un tiempo
adecuado de expiración de la key en días y le damos salvar.

29
Creamos la key del cliente adicionalmente podemos poner una password a esta key server
seleccionamos client.

30
Lista de llaves de entidad certificadora.

31
Clic en regresar a openvpn administration y ingresamos a VPN List clic en New VPN Server.

Aquí se define servidor de vpn colocándole en el nombre y el puerto por donde va escuchar
las peticiones el modo si va hacer túnel o modo puente, asignarle el rango de dirección ip
que le va dar a nuestros clientes VPN y las de mas configuraciones las podemos hacer a
nuestro gusto según lo que necesitemos le puede otorgar mas seguridad a nuestra conexión
VPN.
Dándole yes o no las opciones que nos ofrece de configuración con estas se

32
33
Salvar y se creara nuestra VPN Server List clic en client List para crear nuestros usuarios
VPN.

New client podemos la dirección externa de nuestro servidor y salvar

34
Lista de clientes vpn dándole exportar nos dará un archivo .ZIP de todo lo necesario que
necesita el usuario para conectarse desde la extranet a la LAN de nuestra empresa.

Ahora para la entrega de este archivo hay varias formar una de ellas es entregarla
personalmente a cada unos de los usuarios y hacer varias talleres de cómo se debe instalar
y configurar el cliente VPN en la maquina que lo utilizaran o en cualquier otra, Enviarlo por
correo a los usuarios y anterior mente a verles explicado su uso adicional mandarles adjunto
un manual paso a paso de lo que deben hacer para conectarse exitosamente a el PC de la
empresa, uno de los métodos que se nos ocurrió era montar un ftp y hay montar los archivos
de cada cliente aunque es un poco inseguro por un ataque así el y robarse estos archivos
una de las opciones menos seguras es permitir desde la extranet que puedan ingresar vía
web a webmin y que cada usuario entre y baje su certificado pero en caso de ataque a esta

35
podrían tomar control de varios de nuestros servicios claro esta si los tenemos configurado
en el webmin en si son muchas posibilidades de entregar a cada usuario este .zip pero todos
abra un gran o pequeño riesgo nosotros optamos por enviarlo por correo claro ya que esto lo
hacemos en modo de prueba no creo que pase algo raro.
Bueno luego de a ver enviado los certificados a los cliente no se nos puede olvidar iniciar
nuestro servicio de openvpn+CA dando start OpenVPN.

Emplo de envio certificado al cliente.

Configuración del cliente VPN

Al recibir el correo junto a las indicaciones que hay que seguir procedemos a la ejecución de
estas.

36
Primero descargar openvpn de la url que nos enviaron descargamos en install.exe

Al descargar lo ejecutamos y procedemos a la instalación en en mensaje de bienvenidad clic


en next.

Aceptamos los términos de la licencia clic en I Agree.

37
Los componentes que deseamos instalar en nuestro caso los que aparecen por defecto todo
.

38
Segundo paso descargar el archivo comprimido con nuestro nombre y le damos extraer

Lo podemos extraer directamente a la siguiente ruta Mipc/archivos de


programas/openvpn/config o también copiando la carpeta que sale del .Zip en
inicio/todosprogramas/openvpn/shortcuts/openvpn configuration file directory
S ho rtcuts

39
Ya como tenemos instalado el openvpn en el icono del escritorio le damos doble clic para
iniciar el servicio.

Al iniciar el servicio aparece un nuevo icono en la barra de herramientas damos clic derecho
conectar.

40
Ahora nos pide la contraseña que le pusimos a la key de dicho usuario.

“Súper segura”

Y conectado exitosamente

Una prueba de fuego a ver si nuestra configuración esta correcta intentar conectarnos
remotamente a un equipo que se encuentra al otro lado de firewall

Y afortunadamente se conecto a nuestro equipo en la LAN iniciamos sesión

41
Y podemos trabajar tranquilamente desde la casa o desde cualquier parte del mundo.

42
CONCLUSIONES

Las conexiones vpn es una forma de permitir a usuarios de nuestra red que no están
constantemente en las oficinas de trabajo, y necesitan acceder a su información desde
cualquier parte de una forma segura y confiable en la que no expongan sus datos a
terceros.

También las VPN nos ayudan con la seguridad de nuestros datos de la empresa ya
que podemos hacer que solo se permitan conexiones remotas (VPN) y no exponer
nuestros servidores a internet.

Es más fácil y práctico hacer la instalación de openvpn con webmin ya que tiene una
interfaz grafica más amigable para administración y gestión de los usuarios VPN.

Se recomienda entrar de una forma segura los certificados de los usuarios.

43

Vous aimerez peut-être aussi