OPENVPN: Instalando el sistema abierto para acceso seguro a nuestra red

Ejemplo Openvpn FireOS SAS
Ejemplo Openvpn FireOS SAS

OpenVPN es una distribución opensource de un servidor-cliente VPN, que nos permite un acceso seguro (encriptado) a los recursos de una red local corporativa, haciendo uso de internet.

Una VPN permite establecer una especie de tubo por internet, que nos permite tener los recursos de mi empresa en cualquier lugar de forma segura.

Este artículo muestra los pasos para instalar OpenVPN en servidor y un  cliente, ambos corriendo Ubuntu , aunque el procedimiento es muy parecido en otras distribuciones de Linux.

Para el caso del cliente en Windows, el único prerequisito es instalar el cliente OPENVPN desde la página oficial https://openvpn.net.


Primero definamos algunos elementos de esta configuración:

Servidor OPENVPN: Es el equipo que aceptará las conexiones de los clientes a través de la VPN. En este ejemplo usaremos la IP pública 190.158.199.92.
PC Remoto: Es el equipo que se conectará al servidor a través de la VPN.

Red privada: Es la red local que  definiremos para conectar nuestra VPN,  usaremos la red 172.18.1.0/24, por lo que internamente tendremos IP’s locales como 172.18.1.1, 172.18.1.1, etc.
Todos los comandos en Ubuntu deben ser ejecutados por el usuario root o con otro usuario con privilegios sudo.

Primero tenemos que instalar  OpenVPN con:

sudo apt-get install openvpn

OpenVPN se debe instalar  tanto en el cliente como en el servidor,  el archivo de configuración que se usará para iniciar  la VPN identificará los roles de servidor y cliente.

Se comentan todas las líneas en /etc/default/openvpn y se añade:

AUTOSTART="openvpn"

Esto le dice a OpenVPN cuál es el archivo de configuración predeterminado a usar al iniciar el servidor.

Los archivos de configuración se almacenan en /etc/openvpn, con  extensión .conf, así que la instrucción de arriba le dice a OPENVPN que use el archivo  /etc/openvpn/openvpn.conf, para iniciarse automáticamente.

Así pues el servicio OpenVPN se puede gestionar con los siguientes comandos:

Iniciar OpenVPN:

/etc/init.d/openvpn start

Detener OpenVPN:

 /etc/init.d/openvpn stop

Reiniciar OpenVPN:

 /etc/init.d/openvpn restart

Cada vez que se cambian parámetros en el archivo /etc/openvpn/openvpn.conf se debe reiniciar OpenVPN.

Crear claves y certificados OPENVPN

Ahora se crean los certificados y claves de seguridad. Con el usuario root se ejecuta:

cd /etc/openvpn/

Y ahora se debe copiar el directorio easy-rsa a /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ .

Editamos el archivo vars:

nano easy-rsa/vars

Comentamos  la línea:

#export D=pwd

Agregamos esta línea:

 export D=/etc/openvpn/easy-rsa

Y modificamos los parámetros que vienen a continuación, en la medida que vaya preguntando, bajo las condiciones propias de cada cual:

export KEY_COUNTRY=CO
 export KEY_PROVINCE=CU
 export KEY_CITY=Bogota
 export KEY_ORG="FireOS SAS"
 export KEY_EMAIL="fireos@fireos.com.co"

Guardamos y cerramos el archivo.

Ahora ejecutamos:

. ./vars

Muy importante, en el anterior comando se tiene un punto, un espacio y al final otro punto.

En seguida se introduce el siguiente comando:

 ./clean-all

Ahora instalamos OpenSSL:

sudo apt-get install openssl

Con el siguiente comando se crea la autoridad de certificados (CA) con los parámetros definidos más arriba, se debe añadir solamente el Common Name.

 

./build-ca

En este punto se crean las claves para el servidor:

./build-key-server server

En este comando, cuando se solicite Common Name, se introduce el primer parámetro anteriormente ingresado, en este ejemplo “server”.

Ahora se responde “y” a las siguientes preguntas:

Sign the certificate? [y/n] y 1 out of 1 certificate requests certified, commit? [y/n]

Ahora se crea la clave OPENVPN para el PC remoto, que en este ejemplo se llama client1:

./build-key <client1>

Cuando pregunte por el Common Name, se introduce el mismo valor del primer parámetro como en el caso de la clave de servidor.

Este paso se repite tantas veces se quiera, de acuerdo a la cantidad de clientes remotos que vayan a usar la VPN.

Se generan los parámetros Diffie Hellman:

./build-dh

A partir de todos estos pasos, ya tenemos un directorio /etc/openvpn/easy-rsa/keys con claves y certificados de nuestros clientes remotos en el servidor.

El cliente remoto, entonces debe tener los siguientes archivos disponibles para poderse conectar por medio de OPENVPN, donde clien1.crt y clien1.key son los archivos específicos del cliente de este ejemplo:

 ca.crt
 client1.crt
 client1.key
 ta.key

Para el caso del cliente en Ubunu, los archivos se deben copiar en la carpeta /etc/openvpn.

Cuando es un cliente Windows, también se deben copiar en la carpeta de certificados de OPENVPN C:\Archivos de programa\OpenVPN\config.

En este paso se debe crear el archivo de de cliente: <cliente>.ovpn, con la siguiente información:

##############################################
 # Sample client-side OpenVPN 2.0 config file #
 # for connecting to multi-client server.     #
 #                                            #
 # This configuration can be used by multiple #
 # clients, however each client should have   #
 # its own cert and key files.                #
 #                                            #
 # On Windows, you might want to rename this  #
 # file so it has a .ovpn extension           #
 ##############################################

# Specify that we are a client and that we
 # will be pulling certain config file directives
 # from the server.
 client

# Use the same setting as you are using on
 # the server.
 # On most systems, the VPN will not function
 # unless you partially or fully disable
 # the firewall for the TUN/TAP interface.
 ;dev tap
 dev tun

# Windows needs the TAP-Win32 adapter name
 # from the Network Connections panel
 # if you have more than one.  On XP SP2,
 # you may need to disable the firewall
 # for the TAP adapter.
 ;dev-node MyTap

# Are we connecting to a TCP or
 # UDP server?  Use the same setting as
 # on the server.
 proto tcp
 ;proto udp

# The hostname/IP and port of the server.
 # You can have multiple remote entries
 # to load balance between the servers.
 remote 190.158.199.92 1194
 ;remote my-server-2 1194

# Choose a random host from the remote
 # list for load-balancing.  Otherwise
 # try hosts in the order specified.
 ;remote-random

# Keep trying indefinitely to resolve the
 # host name of the OpenVPN server.  Very useful
 # on machines which are not permanently connected
 # to the internet such as laptops.
 resolv-retry infinite

# Most clients don't need to bind to
 # a specific local port number.
 nobind

# Downgrade privileges after initialization (non-Windows only)
 ;user nobody
 ;group nobody

# Try to preserve some state across restarts.
 persist-key
 persist-tun

# If you are connecting through an
 # HTTP proxy to reach the actual OpenVPN
 # server, put the proxy server/IP and
 # port number here.  See the man page
 # if your proxy server requires
 # authentication.
 ;http-proxy-retry # retry on connection failures
 ;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
 # of duplicate packets.  Set this flag
 # to silence duplicate packet warnings.
 ;mute-replay-warnings

# SSL/TLS parms.
 # See the server config file for more
 # description.  It's best to use
 # a separate .crt/.key file pair
 # for each client.  A single ca
 # file can be used for all clients.
 ca ca.crt
 cert client1.crt
 key client1.key

# Verify server certificate by checking
 # that the certicate has the nsCertType
 # field set to "server".  This is an
 # important precaution to protect against
 # a potential attack discussed here:
 #  http://openvpn.net/howto.html#mitm
 #
 # To use this feature, you will need to generate
 # your server certificates with the nsCertType
 # field set to "server".  The build-key-server
 # script in the easy-rsa folder will do this.
 ;ns-cert-type server

# If a tls-auth key is used on the server
 # then every client must also have the key.
 tls-auth ta.key 1

# Select a cryptographic cipher.
 # If the cipher option is used on the server
 # then you must also specify it here.
 ;cipher x

# Enable compression on the VPN link.
 # Don't enable this unless it is also
 # enabled in the server config file.
 comp-lzo

# Set log file verbosity.
 verb 3

# Silence repeating messages
 ;mute 20

Aquí se debe poner la IP pública y los nombres de los archivos de claves y certificados (marcados arriba en color rojo y en negrilla)

Devuelta en el servidor se crea el archivo /etc/openvpn/openvpn.conf con los siguientes datos:

dev tun
 port 1194 ## default openvpn port
 proto tcp

persist-key
 persist-tun

#certificates and encryption
 ca ca.crt
 cert server.crt
 key server.key  # This file should be kept secret
 dh dh1024.pem
 tls-auth ta.key 0 # This file is secret
 #cipher BF-CBC        # Blowfish (default)
 comp-lzo

user nobody
 group nogroup
 server 10.8.0.0 255.255.255.0

push "route 192.168.0.0 255.255.255.0"
 push "route 172.18.1.0 255.255.255.0"

persist-key
 persist-tun

status openvpn-status.log
 verb 3
 tls-server
 client-to-client

log-append /var/log/openvpn.log

Aquí se deben tener en cuenta las direcciones IP de la red (marcados en color rojo), en este ejemplo:

10.8.0.0 : Red que se le asigna a la VPN

192.168.0.0: Red del router IP.

172.18.1.0: Red local a donde nos queremos conectar.

Finalmente se debe permitir IP forwarding en el servidor:

echo 1 > /proc/sys/net/ipv4/ip_forward

Y también NAT en iptables

Y finalmente configura IP forwarding e iptables para NAT en el servidor:

sudo iptables -t nat -A POSTROUTING -s 172.18.1.0/24 -o eth0 -j MASQUERADE

Ojo!!! es muy importante esta línea para que haya internet en los clientes remotos.

Para que quede persistente el NAT en iptables, agregamos la línea en rc.local:

sudo nano /etc/rc.local
sudo iptables -t nat -A POSTROUTING -s 172.18.1.0/24 -o eth0 -j MASQUERADE
exit 0

O mediante el servicio iptables-persistent:

service iptables-persistent save

Para verificar que la regla del firewall fue correctamente ingresada, introducimos el siguiente comando:

sudo iptables -L -t nat

Si los equipos remotos usan VPN, se debe desactivar temporalmente para probar que la configuración funcione normalmente, para luego hacer la excepción para el puerto TCP 1194, que es el que usa la VPN.

Si durante la creación de las reglas del firewall se cometió algún error, se pueden usar los siguientes comandos:

Para vaciar toda la tabla de reglas de firewall:

sudo iptables -F -t nat

Ahora se reinicia OPENVPN en los equipos cliente y servidor bajo Ubuntu, para poder realizar las pruebas de conexión respectivas.

Ahora si se introducen los comandos  ifconfig o  route -n podemos notar una nueva interfaz de red llamada, tun0, tanto en en cliente y servidor; que son las que usa OPENVPN.

Finalmente se prueba la conexión desde la máquina remota, a una de las máquinas locales con:

ping 172.18.1.2

Es posible que se deba habilitar el port forwarding en el router de internet, para que el tráfico entrante por el puerto 1194, termine en la máquina donde está instalado el servicio OPENVPN, en este ejemplo sería:

 Local IP              Start Port       End  Port       Protocl      Enabled
 192.168.0.29          1194             1194            TCP          OK 

Nota: La IP de los equipos detrás del router ADSL tienen que tener sus direcciones IP dentro de su rango de DHCP,  porque sino no pasa el tráfico de datos.

Ahora el PC remoto está conectado al servidor de la oficina a través de OpenVPN y es posible conectarse a los recursos de la oficina, desde un sitio remoto, de manera segura con certificados SSL.

Este artículo hace parte del sistema de divulgación de conocimiento de FireOS SAS.

Si te gustó este artículo, por favor no olvides compartirlo en las redes sociales. 😉

Comentarios

Por favor comenta aquí

Deja un comentario