CON OPENVPN 1. INTRODUCCION OpenVPN es una solucin de conectividad basada sobre equipamiento lgico (software): SSL (Secure Socets La!er) VPN (Virtual Private Networ o red virtual privada)" OpenVPN ofrece conectividad punto#a#punto con validacin" $er%rquica de usuarios ! &ost conectados remotamente" resulta una mu! buena opcin en tecnolog'as (i#)i (redes inal%mbricas **+ ,-./00) ! soporta una amplia configuracin" entre 1stas el balanceo de cargas" entre otras muc&as cosas m%s/ 2. DESCRIPCION DEL LA RED Y PROGRAMAS A USAR La 2ed Privada Virtual (2PV)" en ingl1s Virtual Private Networ (VPN)" es una red virtual que se crea 3dentro4 de otra red" como por e$emplo +nternet/ 5eneralmente las redes privadas se crean en redes p6blicas" en las que se quiere crear un entorno confidencial ! privado/ La VPN nos permitir% traba$ar como si estuvi1semos en la red local" es totalmente transparente para el usuario/ Cmo crear una VPN? Primero crearemos el servidor *stando en el servidor o bien remotamente por ss& tendremos que instalar ! configurar varios arc&ivos" claves" etc/ Si se desea crear la red por ss& tendremos que e$ecutar una comanda de mas para establecer la cone7in (Se recomienda crearla por ss&" !a que asi nos evitaremos tener que ir al servidor ! volver al cliente cada ve8 que tengamos que a9adir algo" modificarlo" etc/) VPN tipo Intranet *ste tipo de redes es creado entre una oficina central (servidor) ! una o varias oficinas remotas (clientes)/ *l acceso viene del e7terior/ Se utili8a este tipo de VPN cuando se necesita enla8ar a los sitios que son parte de una compa9'a" en nuestro caso ser% compuesto por un servidor :entral que conectar% a muc&os clientes VPN entre si/ La informacin ! aplicaciones a las que tendr%n acceso los directivos mviles en el VPN" no ser%n las mismas que aquellas en donde pueden acceder los usuarios que efect6an actividades de mantenimiento ! soporte" esto como un e$emplo de lo que se podr% reali8ar con esta configuracin ;demas de que podr% conectarse a trav1s de <erminal Server (en el caso de clientes Linu7) a terminales (indows de la red VPN as' como de :lientes (indows a computadoras con el mismo sistema operativo (mediante 2=P)/ Nota +mportante: *nfocado a esta configuracin // >na ve8 que los clientes ((indows?Linu7) se conecten a la red VPN quedar%n autom%ticamente sin cone7in a +nternet" lo cual NO podr%n acceder a la red mundial/ *sto puede ser modificable en el servidor VPN/ *l servidor VPN &ace de pasarela para que todos los clientes ((indows?Linu7) puedan estar comunicados a trav1s del t6nel OpenVPN" estos al conectarse por medio de +nternet al t6nel autom%ticamente quedan sin lineaa la red mundial quedando como una red local" esto claro esta a trav1s de la VPN/ :ada cliente se encuentra en lugares diferentes (ciudad?estado?pa's) con diferentes tipos de segmento de red" al estar conectados mediante el t6nel VPN se crea un red virtual ! se asigna un nuevo segmento de red proporcionada por el servidor principal en este caso con segmento (por e$emplo 0-/0-/-/-?.@@/.@@/.@@/-no 0A./0B,/CD/-?.@@/.@@/.@@/-)/ 3. INSTALACIN DEL EQUIPAMIENTO LGICO NECESARIO. *l siguiente procedimiento solo es necesario para :entOS @/ Instalacin !n C!ntOS ". :omo el usuario root" desde una terminal" crear el arc&ivo ?etc?!um/repos/d?;L#Server/repo" utili8ando cualquier editor de te7to/ *n el siguiente e$emplo se utili8a vi/ ;9adir a este nuevo arc&ivo el siguiente contenido: vi /etc/yum.repos.d/AL-Server.repo [AL-Server] nme!AL Server pr "nterprise Linu# $re%esever mirror%ist!&ttp'//(((.%cnce%i)re.or*/%/e%$re%esever/%-server *p*c&ec+!, *p*+ey!&ttp'//(((.%cnce%i)re.or*/%/AL-R-.-/"0 +mportar la firma digital de ;lcance Libre e$ecutando lo siguiente desde la terminal: Luego de importar la firma digital de ;lcance Libre" instalar el equipamiento lgico (software) necesario con el mandato !um/ Se requieren los paquetes 2PE de OpenVPN" S&orewall ! vim#en&anced (la versin me$orada de Vi): P#$c!%i&i!nt$s. Si fuera necesario" cambiarse al usuario root utili8ando el siguiente mandato: s' (l ; fin de poder utili8ar inmediatamente la versin me$orada de Vi (instalado con el paquete vim#en&anced)" e$ecutar desde la terminal lo siguiente: alias )i*+)i&+ :ambiarse al directorio" desde la terminal" e$ecutar lo siguiente para cambiarse al directorio ?etc?openvpn: c% ,!tc,$-!n)-n, NO<;: <odos los procedimientos necesarios para configurar un servidor con OpenVPN se reali8an sin salir de ?etc?openvpn?/ Por favor" evite cambiar de directorio &asta &aber finali8ado los procedimientos descritos en este documento/ ; fin de facilitar los procedimientos" se copiar%n dentro del directorio ?etc?openvpn? los arc&ivos openssl/cnf" w&ic&opensslcnf" pitool ! vars" que se locali8an en ?etc?openvpn?eas!#rsa?./-?: c- ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,$-!nssl.cn2 ., c- ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,3.ic.$-!nsslcn2 ., c- ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,-4it$$l ., rpm --import http://www.alcancelibre.org/al/AL-RPM-KEY yum -y inst%% openvpn s&ore(%% vim-en&nced c- ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,)a#s ., >tili8ar el editor de te7to ! abrir el arc&ivo ?etc?openvpn?vars: )i ,!tc,$-!n)-n,)a#s =e este arc&ivo" solamente editar las 6ltimas l'neas" que corresponden a lo siguiente: !5-$#t 6EY7COUNTRY*+US+ !5-$#t 6EY7PROVINCE*+CA+ !5-$#t 6EY7CITY*+San8#ancisc$+ !5-$#t 6EY7ORG*+8$#t(8'nst$n+ !5-$#t 6EY7EMAIL*&!9&/.$st.&/%$&ain 2eempla8ar por valores reales" como los del siguiente e$emplo: !5-$#t 6EY7COUNTRY*+M:+ !5-$#t 6EY7PROVINCE*+D8+ !5-$#t 6EY7CITY*+M!5ic$+ !5-$#t 6EY7ORG*+s!#)i%$#.&i(%$&ini$.c$&+ !5-$#t 6EY7EMAIL*2'lanit$9&i(%$&ini$.c$& Se requiere e$ecutar del siguiente modo el arc&ivo ?etc?openvpn?vars a fin de que carguen las variables de entorno que se acaban de configurar/ s$'#c! ,!tc,$-!n)-n,.,)a#s :ada ve8 que se va!an a generar nuevos certificados" debe e$ecutarse el mandato anterior a fin de que carguen las variables de entorno definidas/ Se e$ecuta el arc&ivo ?usr?s&are?openvpn?eas!#rsa?./-?clean#all a fin de limpiar cualquier firma digital que accidentalmente estuviera presente/ s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,cl!an(all Lo anterior reali8a un rm #fr (eliminacin recursiva) sobre el directorio ?etc?openvpn?e!s" por lo que se eliminar%n todas los certificados ! firmas digitales que &ubieran e7istido con anterioridad/ ; fin de crear el certificado del servidor" se crea un certificado: s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(ca Se crea el arc&ivo d&0-.F/pem" el cual contendr% los par%metros del protocolo =iffie#Gellman" de 0-.F bits: s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(%. *l protocolo =iffie#Gellman permite el intercambio secreto de claves entre dos partes que sin que 1stas &a!an tenido contacto previo" utili8ando un canal inseguro ! de manera annima (sin autenticar)/ Se emplea generalmente como medio para acordar claves sim1tricas que ser%n empleadas para el cifrado de una sesin" como es el caso de una cone7in VPN/ Para generar la firma digital" se utili8an el siguiente mandato: s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/(s!#)!# s!#)!# )inalmente se crean los certificados para los clientes/ *n el siguienteC e$emplo se crean los certificados para cliente0" cliente." clienteC" clienteF" cliente@ ! clienteB: s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!< s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!0 s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!= s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!> s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!" s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!? ; fin de utili8ar los certificados ! que se configure el sistema" se crea con el editor de te7to el arc&ivo ?etc?openvpn?servidorvpn#udp#00AF/conf" donde servidorvpn se reempla8a por el nombre de anfitrin del sistema: vi /etc/openvpn/servidorvpn-udp-,,12.con3 Para la VPN se recomienda utili8ar una red privada que sea poco usual" a fin de poder permitir a los clientes conectarse sin conflictos de red/ >n e$emplo de una red poco utili8ada ser'a 0A./0B,/CD/-?.@@/.@@/.@@/-" lo cual permitir% conectarse a la VPN a .@C clientes/ <omando en cuenta lo anterior" el contenido del arc&ivo ?etc?openvpn?servidorvpn#udp#00AF/conf" debe ser el siguiente: -$#t <<@> -#$t$ '%- %!) t'n A(((( S!cci$n %! lla)!s ((((( ca 4!/s,ca.c#t c!#t 4!/s,s!#)!#.c#t 4!/ 4!/s,s!#)!#.4!/ %. 4!/s,%.<10>.-!& A(((((((((((((((((((((((((((( s!#)!# <@0.<?B.=C.1 0"".0"".0"".1 i2c$n2iD(-$$l(-!#sist i--.t5t 4!!-ali)! <1 <01 c$&-(lE$ -!#sist(4!/ -!#sist(t'n stat's $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D )!#; = Descripcin de los parmetros anteriores: -ort: *specifica el puerto que ser% utili8ado para que los clientes vpn puedan conectarse al servidor/ -roto: tipo de protocolo que se emplear% en a cone7in a trav1s de VPN dev: <ipo de interfa8 de cone7in virtual que se utili8ar% el servidor openvpn/ c: *specifica la ubicacin e7acta del arc&ivo de ;utoridad :ertificadora H/caI/ cert: *specifica la ubicacin del arc&ivo H/crtI creado para el servidor/ +ey: *specifica la ubicacin de la llave H/e!I creada para el servidor openvpn/ d&: 2uta e7acta del arc&ivo H/pemI el cual contiene el formato de =iffie Gellman (requirerido para ##tls#serversolamente)/ server: Se asigna el rango +P virtual que se utili8ar% en la red del t6nel VPN/ I3con3i*-poo%-persist: ;rc&ivo en donde quedar%n registrado las direcciones +P de los clientes que se encuentran conectados al servidor OpenVPN/ /eep%ive ,4 ,54 : *nv'a los paquetes que se mane$an por la red una ve8 cada 0- segundosJ ! asuma que el acoplamiento es aba$o si ninguna respuesta ocurre por 0.- segundos/ comp-%6o: *specifica los datos que recorren el t6nel vpn ser% compactados durante la trasferencia de estos paquetes/ persist-+ey: *sta opcin soluciona el problema por llaves que persisten a trav1s de los rea$ustes S+5>S20" as' que no necesitan ser rele'dos/ -ersist-tun: Permite que no se cierre ! re#abre los dispositivos <;P?<>N al correr los guiones up?down sttus: arc&ivo donde se almacenar% los eventos ! datos sobre la cone7in del servidor H/logI ver): Nivel de informacin (defaultK0)/ :ada nivel demuestra todo el +nfo de los niveles anteriores/ Se recomienda el nivel C si usted desea un buen resumen de qu1 est% sucediendo/ - ##No muestra una salida e7cepto errores fatales/ 0 to F L2ango de uso normal/ @ ##Salida 2! (caracteres en la consola par los paquetes de lectura ! escritura" ma!6sculas es usada por paquetes <:P?>=P min6sculas es usada para paquetes <>N?<;P/ Si S*Linu7 est% activo" es necesario que el directorio ?etc?openvpn ! sus contenidos" tengan los conte7tos apropiados de esta implementacin de seguridad (s!stemMu:ob$ectMr:openvpnMetcMrwMt para ipp/t7t ! openvpn#status#servidorvpn# udp#00AF/log ! s!stemMu:ob$ectMr:openvpnMetcMt para el resto del contenido del directorio)/ Se utili8a luego el mandato restorecon sobre el directorio ?etc?openvpn a fin de asignar los conte7tos adecuados/ #!st$#!c$n (R ,!tc,$-!n)-n, Se crean los arc&ivos ipp/t7t ! openvpn#status#servidorvpn#udp#00AF/log: c% ,!tc,$-!n)-n, t$'c. i--.t5t t$'c. $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D Si se tiene activo S*Linu7" estos 6ltimos dos arc&ivos requieren se les asigne conte7to de lectura ! escritura (openvpnMetcMrwMt)/ c% ,!tc,$-!n)-n, c.c$n (' s/st!&7' i--.t5t c.c$n (' s/st!&7' $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D c.c$n (# $;F!ct7# i--.t5t c.c$n (# $;F!ct7# $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D c.c$n (t $-!n)-n7!tc7#37t i--.t5t c.c$n (t $-!n)-n7!tc7#37t $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D Los anterior cambia los conte7tos a usuario de sistema (s!stemMu)" rol de ob$eto (ob$ectMr) ! tipo configuracin de OpenVPN de lectura ! escritura (openvpnMetcMrwMt)/ Para iniciar el servicio" se utili8a el mandato service del siguiente modo: s!#)ic! $-!n)-n sta#t Para que el servicio de OpenVPN est1 activo en el siguiente inicio del sistema" se utili8a el mandato c&config de la siguiente forma: c.4c$n2iD $-!n)-n $n C$n2iD'#acin %! &'#$ c$#ta2'!D$s c$n S.$#!3all. *l siguiente procedimiento considera que se &a configurado un muro cortafuegos apropiadamente" de acuerdo a las indicaciones descritas en el documento titulado :mo configurar un muro cortafuegos con S&orewall ! tres interfaces de red/ +ndependientemente del contenido" en el arc&ivo ?etc?s&orewall?8ones" se a9ade la 8ona rem con el tipo ipvF" antes de la 6ltima l'nea/ A O-!nVPN (((( #!& i-)> ALAST LINE (( ADD YOUR ENTRIES GE8ORE THIS ONE (( DO NOT REMOVE +ndependientemente del contenido" en el arc&ivo ?etc?s&orewall?interfaces" se a9ade la 8ona rem asociada a la interfa8 tun-" con la opcin detect" para detectar autom%ticamente el n6mero de direccin +P de difusin (broadcast) ! la opcin d&cp/ <ambi1n debe definirse antes de la 6ltima l'nea del arc&ivo/ A O-!nVPN (((( #!& t'n1 %!t!ct %.c- ALAST LINE (( ADD YOUR ENTRIES GE8ORE THIS ONE (( DO NOT REMOVE +ndependientemente del contenido" en el arc&ivo ?etc?s&orewall?polic!" se a9ade la pol'tica deseada para permitir el acceso de los miembros de la VPN &acia las 8onas que se consideren apropiadas/ *n el siguiente e$emplo" se define una pol'tica que permite el acceso de las cone7iones originadas desde la 8ona rem &acia el cortafuegos" la red p6blica ! la red local/ <odo debe definirse antes de la 6ltima l'nea del arc&ivo/ 23 all ACCEPT l$c all ACCEPT A O-!nV-n (((( #!& 23 ACCEPT #!& n!t ACCEPT #!& l$c ACCEPT A (((((((((((( n!t all DROP in2$ all all REIECT in2$ 7LAST LIN" -- A88 0O9R "NTRI"S B"FOR" T:IS ON" -- 8O NOT R".O;" +ndependientemente del contenido" en el arc&ivo ?etc?s&orewall?rules" se debe abrir en el cortafuegos el puerto 00AF por >=P" para todas las 8onas desde las cuales se pretenda conectar clientes a la VPN/ ACCEPT n!t 23 '%- <<@> ALAST LINE (( ADD YOUR ENTRIES GE8ORE THIS ONE (( DO NOT REMOVE )inalmente" se edita el arc&ivo ?etc?s&orewall?tunnels a fin de definir el t6nel SSL que ser% utili8ado para el servidor de VPN ! que permita conectarse desde cualquier ubicacin/ ATYPE JONE GATEKAY GATEKAY A JONE $-!n)-ns!#)!#L<<@> #!& 1.1.1.1,1 ALAST LINE (( ADD YOUR ENTRIES GE8ORE THIS ONE (( DO NOT REMOVE *n lugar de -/-/-/-?-" se puede especificar una direccin +P o bien una red desde la cual se quiera establecer las cone7iones VPN/ Para aplicar los cambios" es necesario reiniciar s&orewall con el mandato service" del siguiente modo: s!#)ic! s.$#!3all #!sta#t C$n2iD'#acin %! cli!nt!s Kin%$3s. ; trav1s de OpenVPN 5>+/ +nstalar OpenVPN 5>+ desde &ttp:??openvpn/se?/ Se requiere instalar la versin de desarrollo 0/-/C de OpenVPN 5>+" compatible con OpenVPN ./0/7/ *l cliente es estable" siempre que se verifique que funcione adecuadamente la configuracin utili8ada antes de poner en marc&a en un entorno productivo/ :rear el arc&ivo cliente0#udp#00AF/ovpn" con el siguiente contenido" donde es importante que las rutas definidas sean las correctas ! las diagonales invertidas sean dobles: cli!nt %!) t'n -#$t$ '%- #!&$t! %$&ini$($(i-.%!l.s!#)i%$#.)-n <<@> 2l$at #!s$l)(#!t#/ in2init! n$;in% -!#sist(4!/ -!#sist(t'n A(((((( SECCION DE LLAVES (((((((( ca +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMca.c#t+ c!#t +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMcli!nt!<.c#t+ 4!/ +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMcli!nt!<.4!/+ ns(c!#t(t/-! s!#)!# A((((((((((((((((((((((((((((((((( c$&-(lE$ )!#; = =escripcin de los par%metros anteriores: c%ient: *specifica el tipo de configuracin" en este caso tipo cliente OpenVPN/ -ort: *specifica el puerto que ser% utili8ado para que los clientes VPN puedan conectarse al servidor/ -roto' tipo de protocolo que se emplear% en a cone7in a trav1s de VPN dev' <ipo de interfa8 de cone7in virtual que se utili8ar% el servidor openvpn/ remote' Gost remoto o direccin +P en el cliente" el cual especifica al servidor OpenVPN/ *l cliente OpenVPN puede tratar de conectar al servidor con &ost:port en el orden especificado de las opciones de la opcin ##remote/ 3%ot' *ste le dice a OpenVPN aceptar los paquetes autenticados de cualquier direccin" no solamente la direccin cu%l fue especificado en la opcin ##remote/ reso%v-retry' Si la resolucin del nombre del anfitrin (&ostname) falla para ## remote" la resolucin antes de fallar &ace una re#comprobacin de n segundos/ no)ind' No agrega bind a la direccin local ! al puerto/ c' *specifica la ubicacin e7acta del arc&ivo de ;utoridad :ertificadora H/caI/ cert' *specifica la ubicacin del arc&ivo H/crtI creado para el servidor/ +ey' *specifica la ubicacin de la llave H/e!I creada para el servidor OpenVPN/ remote' *specifica el dominio o +P del servidor as' como el puerto que escuc&ara las peticiones para servicio VPN/ comp-%6o' *specifica los datos que recorren el t6nel VPN ser% compactados durante la trasferencia de estos paquetes/ persist-+ey: *sta opcin soluciona el problema por llaves que persisten a trav1s de los rea$ustes S+5>S20" as' que no necesitan ser rele'dos/ -ersist-tun' Permite que no se cierre ! re#abre los dispositivos <;P?<>N al correr los guiones up?down ver)' Nivel de informacin (defaultK0)/ :ada nivel demuestra toda la +nformacin de los niveles anteriores/ Se recomienda el nivel C si usted desea un buen resumen de qu1 est% sucediendo/ 4 ##No muestra una salida e7cepto errores fatales/ 0 to F L2ango de uso normal/ @ ##Salida 2! (caracteres en la consola par los paquetes de lectura ! escritura" ma!6sculas es usada por paquetes <:P?>=P min6sculas es usada para paquetes <>N?<;P/ *l cliente necesitar% que los arc&ivos ca/crt" cliente0/crt" cliente0/e! ! cliente0# udp#00AF/ovpn est1n presentes en el directorio N::O;rc&ivos de ProgramaOOpenVPNOconfigON/ *stos arc&ivos fueron creados" a trav1s de un procedimiento descrito en este documento" dentro del directorio ?etc?openvpn?e!s? del servidor/ Si se quiere que los clientes de la VPN se puedan conectar a la red local" es importante considerar las implicaciones de seguridad que esto conlleva si alguno de los certificados es robado o bien el cliente se ve comprometido en su seguridad por una intrusin" virus" tro!ano o gusano/ *s preferible que la red de la VPN sea independiente a la red local ! cualquier otra red" uniendo los servidores ! clientes a la VPN" independientemente de si 1stos est%n en la red local o una red p6blica/ Si es imperativo &acer que los clientes de la VPN se conecten a la red local" la red desde la cual se conectan los clientes debe ser diferente a la red utili8ada en la red local/ Por e$emplo: si la red local detr%s del servidor de VPN es 0A./0B,/-/-?.@@/.@@/.@@/-" 0-/-/-/-?.@@/-/-/- o 0D./0B/-/-?.@@/.@@/-/-" los clientes que se conecten a la VPN detr%s de un modem ;=SL o :able e intenten establecer cone7iones con la red local" mu! seguramente tendr%n conflictos de red/ Para permitir a los clientes de la VPN poder establecer cone7iones &acia la red local" se a9aden las siguientes l'neas en el arc&ivo de configuracin de OpenVPN para los clientes ! que definen la ruta para la red local ! un servidor =NS que debe estar presente ! configurado para permitir consultas recursivas a la red de la VPN: #$'t! <@0.<?B.1.1 0"".0"".0"".1 %.c-($-ti$n DNS <@0.<?B.1.< Opcionalmente" tambi1n se puede definir un servidor (ins/ d&cp-option <INS ,15.,=>.5=., *$emplo" considerando que la red local es 0A./0B,/.B/-?.@@/.@@/.@@/-: cli!nt %!) t'n -#$t$ '%- #!&$t! %$&ini$($(i-.%!l.s!#)i%$#.)-n <<@> 2l$at #!s$l)(#!t#/ in2init! n$;in% -!#sist(4!/ -!#sist(t'n #$'t! <@0.<?B.0?.1 0"".0"".0"".1 %.c-($-ti$n DNS <@0.<?B.0?.< %.c-($-ti$n KINS <@0.<?B.0?.< A(((((( SECCION DE LLAVES (((((((( ca +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMca.c#t+ c!#t +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMcli!nt!<.c#t+ 4!/ +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMcli!nt!<.4!/+ ns(c!#t(t/-! s!#)!# A((((((((((((((((((((((((((((((((( c$&-(lE$ )!#; = Cli!nt!s GNU,Lin'5. ; trav1s del servicio openvpn/ *ste es el m1todo que funcionar% en pr%cticamente todas las distribuciones de de 5N>?Linu7 basadas sobre 2ed Gat" :entOS ! )edora/ Se requiere instalar el paquete openvpn: /'& (/ install $-!n)-n Para :entOS @" se requiere &aber configurado previamente el depsito de ;L Server" descrito con anterioridad en este mismo documento/ Para los clientes con 5N>?Linu7 utili8ando el servicio openvpn" b%sicamente se utili8a el mismo arc&ivo para OpenVPN 5>+ para (indows" pero definiendo rutas en el sistema de arc&ivos de 5N>?Linu7/ *$emplo: cli!nt %!) t'n -#$t$ '%- #!&$t! %$&ini$($(i-.%!l.s!#)i%$#.)-n <<@> 2l$at #!s$l)(#!t#/ in2init! n$;in% -!#sist(4!/ -!#sist(t'n A(((((( SECCION DE LLAVES (((((((( ca ,!tc,$-!n)-n,4!/s,ca.c#t c!#t ,!tc,$-!n)-n,4!/s,cli!nt!<.c#t 4!/ ,!tc,$-!n)-n,4!/s,cli!nt!<.4!/ ns(c!#t(t/-! s!#)!# A((((((((((((((((((((((((((((((((( c$&-(lE$ )!#; = *ste arc&ivo se guarda como ?etc?openvpn?cliente0#udp#00AF/ovpn/ 2equiere que los certificados definidos en la configuracin est1n en las rutas especificadas dentro del directorio ?etc?openvpn?e!s?/ Para iniciar la cone7in &acia la VPN" simplemente se inicia el servicio openvpn: s!#)ic! $-!n)-n sta#t Para que la cone7in se estable8ca autom%ticamente cada ve8 que se inicie el sistema" se utili8a el mandado c&config de la siguiente manera: c.4c$n2iD $-!n)-n $n A t#a)Ns %! N!t3$#4ManaD!#. NetworEanager es una implementacin que permite a los usuarios configurar interfaces de red de todos los tipos" sin necesidad de contar con privilegios de administracin en el sistema/ *s la forma m%s fle7ible" sencilla ! pr%ctica de conectarse a una red VPN/ Se requiere que los clientes Linu7 tengan instalado el paquete NetworEanager# openvpn" mismo que debe estar incluido en los depsitos Pum de )edora A en adelante ! distribuciones recientes de 5N>?Linu7/ :entOS @ carece del soporte para utili8ar NetworEanager#openvpn" por lo que solo podr% conectarse a la VPN a trav1s del m1todo anterior" con el servicio openvpn/ Para instalar a trav1s del mandato !um en distribuciones basadas sobre )edora A en adelante" se &ace de la siguiente manera: /'& (/ install N!t3$#4ManaD!#($-!n)-n Se puede reiniciar el sistema para que tengan efectos los cambios o simplemente reiniciar el servicio NetworEanager: s!#)ic! N!t3$#4ManaD!# #!sta#t Lo anterior cerrar% ! volver% a establecer las cone7iones de red e7istentes/ ;l igual que el m1todo anterior" para los clientes con 5N>?Linu7 con NetworEanager" b%sicamente se utili8a el mismo arc&ivo para OpenVPN 5>+ para (indows" pero definiendo rutas en el sistema de arc&ivos de 5N>?Linu7/ *$emplo: cli!nt %!) t'n -#$t$ '%- #!&$t! %$&ini$($(i-.%!l.s!#)i%$#.)-n <<@> 2l$at #!s$l)(#!t#/ in2init! n$;in% -!#sist(4!/ -!#sist(t'n A(((((( SECCION DE LLAVES (((((((( ca ,!tc,$-!n)-n,4!/s,ca.c#t c!#t ,!tc,$-!n)-n,4!/s,cli!nt!<.c#t 4!/ ,!tc,$-!n)-n,4!/s,cli!nt!<.4!/ ns(c!#t(t/-! s!#)!# A((((((((((((((((((((((((((((((((( c$&-(lE$ )!#; = *ste arc&ivo se puede utili8ar con la interfa8 gr%fica de NetworEanager/ Solo &a! que &acer clic sobre el icono en el Qrea de notificacin del panel de 5NOE* ! luego &acer clic en :onfigurar VPN/ *n la ventana que abre a continuacin" &a! un botn que permite importar el arc&ivo de configuracin Si los certificados ! firma digital son colocados en la ruta ?etc?openvpn?e!s? con S*Linu7 activo" 1stos funcionar%n adecuadamente/ Si los certificados ! firma digital son almacenados dentro del directorio de inicio del usuarios" es necesario establecer la pol'tica openvpnMenableM&omedirs con valor 0 (que equivale a on o activa): s!ts!;$$l (P $-!n)-n7!na;l!7.$&!%i#s < Personalmente recomiendo crear una configuracin nueva desde la interfa8 de NetworEanager/ =esde la ventana de redes VPN de la interfa8 de NetworEanager" &acer clic en ;9adir/ ;parecer% un di%logo donde se debe seleccionar que se trata de una VPN con OpenVPN/ *n la siguiente ventana de di%logo" se define el nombre de la cone7in" direccin +P o nombre del servidor donde est% instalado OpenVPN ! los certificados a utili8ar/ Si se siguieron los procedimientos de ese documento" se de$a en blanco el campo :ontrase9a de clave privada/ Luego" se &ace clic en ;van8ado para especificar que se utili8ar% compresin LRO/ Para evitar conflictos de conectividad" se &ace clic en la pesta9a ;$ustes +PVF ! se define un servidor =NS que permita al cliente navegar a trav1s de +nternet ! dentro de la red de la VPN/ Se &ace clic en 2utas para abrir otra ventana de di%logo ! se seleccionan las casillas de las opciones +gnorar las rutas obtenidas autom%ticamente ! >sar esta cone7in solo para los recursos de su red/ Opcionalmente se pueden a9adir las rutas est%ticas para tener conectividad con la red local detr%s del servidor de VPN" tomando en cuenta que la red local desde la cual se est% conectado el cliente debe ser diferente a la de la red local detr%s del servidor de VPN" a fin de evitar conflictos de red/ )inalmente se &ace clic en aplicar/ Para conectarse a la red VPN" solo basta &acer clic sobre el icono de NetworEanager en el Qrea de notificacin del panel de 5NOE* ! seleccionar la red VPN reci1n configurada/