WEBMIN

OPENVPN+CA


Este manual de configuracin de openvpn+CA fue realizado bajo centos con las
aplicacin de webmin y su excelente facilidad de manejo va web y su gran
repertorio de servicios que soporta para su administracin

2010

Z3l0g6er
19/11/2010


DIAGRAMA SIMPLE DE LA RED
PC LAN
IP: 172.16.10.20
WAN
LAN
Cliente VPN
IP:192.168.1.54
DIRECTORIO ACTIVO
DNS
DHCP
IP: 172.16.10.1
CENTOS + WEBMIN
FIREWALL
VPN
IP WAN
192.168.1.50
IP LAN
172.16.10.99
CONEXIN VPN
IP TUNEL VPN
10.0.8.11

La instalacin de webmin podemos descargan el paquete de la pagina oficial
http://www.webmin.com/download.html que necesitemos segn la distribucin
que estemos utilizando en nuestro caso centos el paquete correspondiente es
.rpm cuando haya acabado la instalacin podemos ingresar a webmin va web
con la direccin del servidor o un localhost por el puerto 10000 por donde
escucha por defecto. Para ingresar entramos con el usuario de sistema y su
respetiva contrasea.

Para la descargar de firewall shorewall desde la terminal ejecutamos los
siguientes comandos.
wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-4.0.11-
2.noarch.rpm
wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-perl-
4.0.11-2.noarch.rpm
wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-
4.0.11-2.noarch.rpm
luego este comando para la instalacin de de los paquetes descargados .


rpm -ivh shorewall-perl-4.0.11-2.noarch.rpm shorewall-shell-4.0.11-2.noarch.rpm shorewall-
4.0.11-2.noarch.rpm
Luego de haber instalado los paquetes de firewall shorewall ingresamos a
webmin para su configuracin. Cuando ingresamos en red cortafuego
shorewall podemos ver las opciones que podemos modificar.


Ingresamos a zona de red le damos en editar manualmente nombramos las
zonas de nuestro firewall salvamos y regresamos al men principal del
shorewall.




Ahora en interfaces de red a las zonas creadas anteriormente le asignaremos
una interfaz de red disponible en nuestro equipo salvar y regresar al men de
shorewall.

Ahora en polticas por defecto aremos una cuantas como lo muestra la
siguiente imagen.




Por el momento en reglar de cortafuego agregaremos una sola regla de acceso
para permitir las conexiones de los clientes vpn que se aran por el protocolo
UDP y por el puerto 1194 otras peticiones que se hagan al firewall por cual
quier puerto y protocolo sern denegadas las peticiones por las polticas por
defecto.

Enmascaramientos de las interfaces de red.




CONFIGURACION DE OPENVPN+CA
Lo primero que debemos hacer es descargar los paquetes necesarios para la
instalacin y configuracin de este.
Las libreras de openvpn el instalador .rpm y el modulo de webmin para
openvpn.gz.
Luego de la instalacin del paquete rpm de openvpn ingresamos va web a
webmin los la direccin del o con un localhost:10000 puerto por donde
escucha.
Podes encontrar lo archivos necesarios en esta url http://cid-
32f370d43eacab36.office.live.com/self.aspx/Webmin-
Openvpn/webmin%20openvpn.tar


Cargaremos el modulo de la siguiente forma en webmin/configuracin de
webmin mdulos de webmin.




Buscamos el modulo de openvpn para webmin que anteriormente hemos
descargado y clic en instalar

Instalacin correcta, salimos de webmin dndole en view modules logs o
reiniciar webmin.

Ingresar a webmin en servidores/openvpn+CA primero crearemos Certificacin
Authority List .



Llenamos los campos con las debas parmetros se pueden hacer keys zize
(bits) de 1024,2048 y 4096 clic en salvar






Luego de esperar un buen rato por fin Certification Authority list damos en keys
list.

Creamos la Key del servidor seleccionamos key Server server podemos por un
tiempo adecuado de expiracin de la key en das y le damos salvar.




Creamos la key del cliente adicionalmente podemos poner una password a
esta key server seleccionamos client




Lista de llaves de entidad certificadora.



Clic en regresar a openvpn administration y ingresamos a VPN List clic en New
VPN Server


Aqu se define servidor de vpn colocndole en el nombre y el puerto por donde
va escuchar las peticiones el modo si va hacer tnel o modo puente, asignarle
el rango de direccin ip que le va dar a nuestros clientes VPN y las de mas
configuraciones las podemos hacer a nuestro gusto segn lo que necesitemos
le puede otorgar mas seguridad a nuestra conexin VPN.


Dndole yes o no las opciones que nos ofrece de configuracin con estas se






Salvar y se creara nuestra VPN Server List clic en client List para crear
nuestros usuarios VPN.

New client podemos la direccin externa de nuestro servidor y salvar



Lista de clientes vpn dndole exportar nos dar un archivo .ZIP de todo lo
necesario que necesita el usuario para conectarse desde la extranet a la LAN
de nuestra empresa.



Ahora para la entrega de este archivo hay varias formar una de ellas es
entregarla personalmente a cada unos de los usuarios y hacer varias talleres
de cmo se debe instalar y configurar el cliente VPN en la maquina que lo
utilizaran o en cualquier otra, Enviarlo por correo a los usuarios y anterior
mente a verles explicado su uso adicional mandarles adjunto un manual paso a
paso de lo que deben hacer para conectarse exitosamente a el PC de la
empresa, uno de los mtodos que se nos ocurri era montar un ftp y hay
montar los archivos de cada cliente aunque es un poco inseguro por un ataque
as el y robarse estos archivos una de las opciones menos seguras es permitir
desde la extranet que puedan ingresar va web a webmin y que cada usuario
entre y baje su certificado pero en caso de ataque a esta podran tomar control
de varios de nuestros servicios claro esta si los tenemos configurado en el
webmin en si son muchas posibilidades de entregar a cada usuario este .zip
pero todos abra un gran o pequeo riesgo nosotros optamos por enviarlo por
correo claro ya que esto lo hacemos en modo de prueba no creo que pase algo
raro.
Bueno luego de a ver enviado los certificados a los cliente no se nos puede
olvidar iniciar nuestro servicio de openvpn+CA dando start OpenVPN





Emplo de envio certificado al cliente.

Configuracin del cliente VPN
Al recibir el correo junto a las indicaciones que hay que seguir procedemos a la
ejecucin de estas.

Primero descargar openvpn de la url que nos enviaron descargamos en
install.exe




Al descargar lo ejecutamos y procedemos a la instalacin en en mensaje de
bienvenidad clic en next.

Aceptamos los trminos de la licencia clic en I Agree.












Los componentes que deseamos instalar en nuestro caso los que aparecen por
defecto todo.





Segundo paso descargar el archivo comprimido con nuestro nombre y le
damos extraer

Lo podemos extraer directamente a la siguiente ruta Mipc/archivos de
programas/openvpn/config o tambin copiando la carpeta que sale del .zip en
inicio/todosprogramas/openvpn/shortcuts/openvpn configuration file directory
Sho rtcuts





Ya como tenemos instalado el openvpn en el icono del escritorio le damos
doble clic para iniciar el servicio.

Al iniciar el servicio aparece un nuevo icono en la barra de herramientas damos
clic derecho conectar.

Ahora nos pide la contrasea que le pusimos a la key de dicho usuario.

Sper segura



Y conectado exitosamente


Una prueba de fuego a ver si nuestra configuracin esta correcta intentar
conectarnos remotamente a un equipo que se encuentra al otro lado de firewall


Y afortunadamente se conecto a nuestro equipo en la LAN iniciamos sesin




Y podemos trabajar tranquilamente desde la casa o desde cualquier parte del
mundo.