Este documento describe cómo configurar una conexión VPN Road Warrior utilizando OpenVPN. Explica los pasos para instalar y configurar OpenVPN en un servidor y generar certificados para el servidor y clientes. Luego detalla cómo configurar archivos para el servidor y clientes para permitir que los clientes remotamente autenticados se conecten de forma segura a la red local a través de Internet.
Seguridad de las Redes
Universidad Nacional Experimental Rafael María Baralt
Estudiante de PNF informática
Trayecto 2-2 Sección 11
Jose Hernandez
C.I: 29.999.727
Seguridad de las Redes
Universidad Nacional Experimental Rafael María Baralt
Estudiante de PNF informática
Trayecto 2-2 Sección 11
Jose Hernandez
C.I: 29.999.727
Instalación de Servidores GNU/Linux - PROXY SQUID (parte 3)Max Morales
3ra. parte de instalación de Servidor proxy SQUID, que es ademas un firewall básico. ANDINUX es la primera Distribución boliviana de GNU/Linux. Edmundo Morales Ariñez y Max Morales Escobar
Instalación de Servidores GNU/Linux - PROXY SQUID (parte 3)Max Morales
3ra. parte de instalación de Servidor proxy SQUID, que es ademas un firewall básico. ANDINUX es la primera Distribución boliviana de GNU/Linux. Edmundo Morales Ariñez y Max Morales Escobar
Servicio VPN con OpenVPN y Latch sobre Raspberry PiTelefónica
Trabajo de Fin de Máster de los alumnos de la Universidad Europea de Madrid Álvaro Núñez-Romero Casado, Javier José Pecete García, Alejandro Amorín Niño y Juan Antonio Baeza Miralles que describe cómo montar un servicio de VPNs personal sobre una Raspberry Pi usando OpenVPN y Latch.
Redes Privadas Virtuales y cómo configurar routers de TeltonikaMonolitic, S.A.
En esta nota de aplicación te explicamos en qué se basan las redes privadas virtuales y cómo configurar cualquier router de Teltonika (RUT500, RUT900, RUT950, etc...).
Contacta con nosotros para más información: info@monolitic.com
El siguiente laboratorio tiene como objetivo aprender como generar los certificados digitales propios con la herramienta opnessl, en un servidor en debian implementando el CMS Joomla
Implantación de un entorno de trabajo con cortafuegos + openldap + ftp + openfire + joomla simulando asi el funcionamiento de una pequeña empresa de RRHH informáticamente hablando.
En esta presentación se habla sobre la Seguridad de las Redes, junto con las distintas configuraciones de proxy, firewalls y restricciones que se pueden utilizar, además de como configurar un servidor kerberos
Convocatoria de becas de Caja Ingenieros 2024 para cursar el Máster oficial de Ingeniería de Telecomunicacion o el Máster oficial de Ingeniería Informática de la UOC
Se denomina motor de corriente alterna a aquellos motores eléctricos que funcionan con alimentación eléctrica en corriente alterna. Un motor es una máquina motriz, esto es, un aparato que convierte una forma determinada de energía en energía mecánica de rotación o par.
2. Una red privada virtual, VPN es una tecnología de red que permite una extensión
segura de la red local (LAN) sobre una red pública o no controlada como Internet.
Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o
públicas como si fuera una red privada con toda la funcionalidad, seguridad y
políticas de gestión de una red privada. Esto se realiza estableciendo una conexión
virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la
combinación de ambos métodos.
VPN
3. OpenVPN
Es una implementación de VPN SSL la cual usa las extensiones OSI layer 2 ó 3,
soporta diferentes medios de autenticación como certificados,
usuarios/contraseñas, y permite políticas de control de acceso para usuarios o
grupos usando reglas de firewall aplicadas a las interfaces virtuales de la VPN.
4. TIPOS DE CONFIGURACIÓN UTILIZANDO OPENVPN
1. Host a Host (Sitio a sitio)
Es el método más simple, nos permite encriptar la comunicación entre dos PC las
cuales deberán solamente tener conexión; es decir: ambas PC deben poderse
enviar paquetes directamente ya sea porque estén conectadas en la misma red
local, o porque ambas estén conectadas a la internet y sean alcanzables entre sí.
5. TIPOS DE CONFIGURACIÓN UTILIZANDO OPENVPN
2. Road Warrior (Sitio-Multisitio)
Es una de las formas más utilizadas. Es el permitir que una máquina de alguien
que esté fuera de nuestra red (de forma temporal o permanente) pueda
comunicarse con el servidor OpenVPN de nuestra red y una vez autenticado
pueda entrar a ver y acceder los recursos de nuestra red local. En verdad es un
caso especial de la conexión Red a Red.
6. TIPOS DE CONFIGURACIÓN UTILIZANDO OPENVPN
3. Red a Red
Uno de los métodos más usados. Mediante ésta forma dos redes separadas en el
espacio pueden comunicarse como si estuvieran unidas por un cable virtual, la
comunicación entre ambas redes viajará encriptada una vez salgan de los
servidores de openvpn y hasta que lleguen a su otro extremo.
8. PASO 1: Instalación del OpenVPN
Instalar Openvpn en nuestro Linux CentOS es realmente fácil. Previamente a
la instalación de Openvpn se debe tener instalado el Repositorio Epel.
#wgethttp://download.fedoraproject.org/pub/epel/6/i386/epelrelease68.n
oarch.rm
# rpm -ivh epel-release-6-8.noarch.rpm
Luego para la instalación de Openvpn emitimos el comando :
#yum install openvpn
9. PASO 2: Configuración del Servidor
Previamente se debe realizar las siguientes configuraciones de no serlo a si la vpn no
hará ping hacia las redes internas.
En el servidor de openvpn se debe activar el ip_forwarding:
#vi /etc/sysctl.conf
Cambiar ip_forwarding a 1 (está normalmente en 0).
# net.ipv4.ip_forward = 0
10. Ejcutamos el comando
#sysctl –p
La versión de Openvpn 2.3 para CentOS 6, no incluye el paquete easy-rsa que es
un conjunto de herramientas que me permitirán generar los certificados, por lo
cual se debe instalar.
# yum install easy-rsa
Contamos con una serie de scripts en el directorio /usr/share/easy-rsa/2.0/ los
cuales nos ayudarán mucho a ejecutar ésta tarea inicial.
Primero cambiamos al directorio.
# cd /usr/share/easy-rsa/2.0
11. Creando el CA
Una vez dentro de éste directorio procedemos a ejecutar los siguientes
pasos:
#. Vars
#sh clean-all
# sh build-ca
Con ellos lo que haremos es:
Inicializar variables de ambiente para poder trabajar con los scripts de shell
para generar las variables
Inicializamos el directorio de las claves (borrando potenciales archivos viejos)
build-ca: procedemos a generar el certificado CA
12. En éste último paso se nos pedirá una serie de información sobre nuestra
red/empresa que debemos llenar lo más fielmente posible:
Se pone un nombre pero
debe estar seguido de ca
Ejemplo
openvpn ca
13. Generación del certificado y de la clave de encriptación para el servidor Siguiente a
la generación del Certificado de autoridad, procedemos a crear el certificado del
servidor y de su clave de encriptación:
#sh build-key-server server
No repetir el nombre del
certificado anterior
14.
15. Generación de certificados y claves privadas para los clientes
Cada cliente debe tener su propio certificado y clave de seguridad, para cada cliente
que tengamos deberemos repetir el siguiente paso.
#sh build-key client1
16.
17. Debemos notar que al ejecutar el programa sh build-key, le pasamos como
parámetro el nombre del cliente (client1 en el ejemplo anterior) el cual debe ser
diferente para cada cliente. En el common name ponemos el nombre del cliente
(client1 en éste ejemplo) tal y como le pasamos de parámetro.
Se puede crear el número de claves que sean necesarias de acuerdo al número de
clientes:
#sh build-key client2
#sh build-key client3
18. Generando parámetros de Diffie-Hellman
El parámetro de Diffie-Hellman debemos generarlo de la siguiente manera:
#sh build-dh
[root@servidor 2.0]# sh build-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
..............+........................+..............................................................................+.............
............+.........................................................................................................................
...............................................+......................................................................................
.......................................................................................................................................
.................+.......................................................+.............................................
19. Archivos a copiar al servidor
Con los comandos ejecutados anteriormente se generan los siguientes archivos que
deberán se copiados al servidor hacia el directorio /etc/openvpn del servidor .
ca.crt
ca.key
server.key
server.crt
dh2048.pem
20. Estos archivos están presentes en: /usr/share/easy-rsa/2.0/keys/
# cd /usr/share/easy-rsa/2.0/keys/
# cp -a ca.crt ca.key server.key server.crt dh2048.pem /etc/openvpn
NOTA: Fijarse en el número que se genera en los certificados para la trasferencia
del archivo dh2048.pem ya que puede variar.
[root@servidor 2.0]# sh build-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
21. Archivos a copiar al cliente
Hacia el directorio /etc/openvpn de cada cliente copiamos los siguientes archivos:
ca.crt
clientX.crt
clientX.key
Tenga en cuenta que X es un número que se corresponde con el cliente (para el cliente
1 sería: client1.crt y client1.key por ejemplo).
# cd /usr/share/easy-rsa/2.0/keys/
# scp ca.crt client1.crt client1.key root@192.168.1.11:/etc/openvpn
Ejecutamos el siguiete commando.
# vi /etc/openvpn/server.conf
22. port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
#Direcciones que se asignaran a los
#clientes, el server es .1
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
#Aquí debe especificarse la LAN detrás de tu servidor
#En este ejemplo supongo que TU LAN es 192.168.1.0/24
#Cambiala a la verdadera LAN de tu servidor
push "route 192.168.89.0 255.255.255.192"
push "redirect-gateway def1 bypass-dhcp"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 4
23. PASO 3 Configuración del cliente
En el caso del cliente, así quedaría el archivo de configuración:
#vi /etc/openvpn/client1.conf
client
dev tun
proto udp
#Aqui debo especificar la IP de la WAN de tu servidor OpenVPN
remote 192.168.89.128 1194
resolv-retry infinite
nobind
#Las dos siguientes opciones no van en windows
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 4
SE DEBE CAMBIAR DE ACUERDO AL
NUEMRO DE CLIENTES
24. PASO 4 Iniciar openVPN
Iniciamos con los siguientes comandos
#service openvpn start
#chkconfig --level 2345 openvpn on
PASO 5 Comprobación del funcionamiento
Una vez iniciado en ambos lados podemos comprobar la creación del túnel con el
comando ifconfig
27. Para comprobar podemos hacer ping hacia el tun
Desde el cliente
ping 10.8.0.1
Desde el servidor
ping 10.8.0.6
En caso de que falle la configuración se podría desactivar los firewall
service iptables stop
chkconfig iptables off
chkconfig ip6tables off
service ip6tables stop
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERAD
service iptables save
service iptables restart