TRABAJO FINAL

TEORA Y OPERACIN DE UNA RED PRIVAD VIRTUAL (VPN)

CON OPENVPN
1. INTRODUCCION
OpenVPN es una solucin de conectividad basada sobre equipamiento lgico
(software): SSL (Secure Socets La!er) VPN (Virtual Private Networ o red virtual
privada)" OpenVPN ofrece conectividad punto#a#punto con validacin" $er%rquica
de usuarios ! &ost conectados remotamente" resulta una mu! buena opcin en
tecnolog'as (i#)i (redes inal%mbricas **+ ,-./00) ! soporta una amplia
configuracin" entre 1stas el balanceo de cargas" entre otras muc&as cosas m%s/
2. DESCRIPCION DEL LA RED Y PROGRAMAS A USAR
La 2ed Privada Virtual (2PV)" en ingl1s Virtual Private Networ (VPN)" es una red
virtual que se crea 3dentro4 de otra red" como por e$emplo +nternet/ 5eneralmente
las redes privadas se crean en redes p6blicas" en las que se quiere crear un
entorno confidencial ! privado/ La VPN nos permitir% traba$ar como si
estuvi1semos en la red local" es totalmente transparente para el usuario/
Cmo crear una VPN?
Primero crearemos el servidor
*stando en el servidor o bien remotamente por ss& tendremos que instalar !
configurar varios arc&ivos" claves" etc/
Si se desea crear la red por ss& tendremos que e$ecutar una comanda de mas
para establecer la cone7in (Se recomienda crearla por ss&" !a que asi nos
evitaremos tener que ir al servidor ! volver al cliente cada ve8 que tengamos que
a9adir algo" modificarlo" etc/)
VPN tipo Intranet
*ste tipo de redes es creado entre una oficina central (servidor) ! una o varias
oficinas remotas (clientes)/ *l acceso viene del e7terior/ Se utili8a este tipo de VPN
cuando se necesita enla8ar a los sitios que son parte de una compa9'a" en nuestro
caso ser% compuesto por un servidor :entral que conectar% a muc&os clientes
VPN entre si/
La informacin ! aplicaciones a las que tendr%n acceso los directivos mviles en el
VPN" no ser%n las mismas que aquellas en donde pueden acceder los usuarios
que efect6an actividades de mantenimiento ! soporte" esto como un e$emplo de lo
que se podr% reali8ar con esta configuracin
;demas de que podr% conectarse a trav1s de <erminal Server (en el caso de
clientes Linu7) a terminales (indows de la red VPN as' como de :lientes
(indows a computadoras con el mismo sistema operativo (mediante 2=P)/
Nota +mportante: *nfocado a esta configuracin // >na ve8 que los clientes
((indows?Linu7) se conecten a la red VPN quedar%n autom%ticamente sin
cone7in a +nternet" lo cual NO podr%n acceder a la red mundial/ *sto puede ser
modificable en el servidor VPN/
*l servidor VPN &ace de pasarela para que todos los clientes
((indows?Linu7) puedan estar comunicados a trav1s del t6nel
OpenVPN" estos al conectarse por medio de +nternet al t6nel
autom%ticamente quedan sin lineaa la red mundial quedando como
una red local" esto claro esta a trav1s de la VPN/
:ada cliente se encuentra en lugares diferentes (ciudad?estado?pa's)
con diferentes tipos de segmento de red" al estar conectados mediante
el t6nel VPN se crea un red virtual ! se asigna un nuevo segmento de
red proporcionada por el servidor principal en este caso con segmento
(por e$emplo 0-/0-/-/-?.@@/.@@/.@@/-no 0A./0B,/CD/-?.@@/.@@/.@@/-)/
3. INSTALACIN DEL EQUIPAMIENTO LGICO NECESARIO.
*l siguiente procedimiento solo es necesario para :entOS @/
Instalacin !n C!ntOS ".
:omo el usuario root" desde una terminal" crear el arc&ivo
?etc?!um/repos/d?;L#Server/repo" utili8ando cualquier editor de te7to/ *n el
siguiente e$emplo se utili8a vi/
;9adir a este nuevo arc&ivo el siguiente contenido:
vi /etc/yum.repos.d/AL-Server.repo
[AL-Server]
nme!AL Server pr "nterprise Linu# $re%esever
mirror%ist!&ttp'//(((.%cnce%i)re.or*/%/e%$re%esever/%-server
*p*c&ec+!,
*p*+ey!&ttp'//(((.%cnce%i)re.or*/%/AL-R-.-/"0
+mportar la firma digital de ;lcance Libre e$ecutando lo siguiente desde la
terminal:
Luego de importar la firma digital de ;lcance Libre" instalar el equipamiento
lgico (software) necesario con el mandato !um/ Se requieren los paquetes
2PE de OpenVPN" S&orewall ! vim#en&anced (la versin me$orada de Vi):
P#$c!%i&i!nt$s.
Si fuera necesario" cambiarse al usuario root utili8ando el siguiente mandato:
s' (l
; fin de poder utili8ar inmediatamente la versin me$orada de Vi (instalado con el
paquete vim#en&anced)" e$ecutar desde la terminal lo siguiente:
alias )i*+)i&+
:ambiarse al directorio" desde la terminal" e$ecutar lo siguiente para cambiarse al
directorio ?etc?openvpn:
c% ,!tc,$-!n)-n,
NO<;: <odos los procedimientos necesarios para configurar un servidor con
OpenVPN se reali8an sin salir de ?etc?openvpn?/ Por favor" evite cambiar de
directorio &asta &aber finali8ado los procedimientos descritos en este documento/
; fin de facilitar los procedimientos" se copiar%n dentro del directorio ?etc?openvpn?
los arc&ivos openssl/cnf" w&ic&opensslcnf" pitool ! vars" que se locali8an en
?etc?openvpn?eas!#rsa?./-?:
c- ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,$-!nssl.cn2 .,
c- ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,3.ic.$-!nsslcn2 .,
c- ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,-4it$$l .,
rpm --import http://www.alcancelibre.org/al/AL-RPM-KEY
yum -y inst%% openvpn s&ore(%% vim-en&nced
c- ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,)a#s .,
>tili8ar el editor de te7to ! abrir el arc&ivo ?etc?openvpn?vars:
)i ,!tc,$-!n)-n,)a#s
=e este arc&ivo" solamente editar las 6ltimas l'neas" que corresponden a lo
siguiente:
!5-$#t 6EY7COUNTRY*+US+
!5-$#t 6EY7PROVINCE*+CA+
!5-$#t 6EY7CITY*+San8#ancisc$+
!5-$#t 6EY7ORG*+8$#t(8'nst$n+
!5-$#t 6EY7EMAIL*&!9&/.$st.&/%$&ain
2eempla8ar por valores reales" como los del siguiente e$emplo:
!5-$#t 6EY7COUNTRY*+M:+
!5-$#t 6EY7PROVINCE*+D8+
!5-$#t 6EY7CITY*+M!5ic$+
!5-$#t 6EY7ORG*+s!#)i%$#.&i(%$&ini$.c$&+
!5-$#t 6EY7EMAIL*2'lanit$9&i(%$&ini$.c$&
Se requiere e$ecutar del siguiente modo el arc&ivo ?etc?openvpn?vars a fin de que
carguen las variables de entorno que se acaban de configurar/
s$'#c! ,!tc,$-!n)-n,.,)a#s
:ada ve8 que se va!an a generar nuevos certificados" debe e$ecutarse el mandato
anterior a fin de que carguen las variables de entorno definidas/
Se e$ecuta el arc&ivo ?usr?s&are?openvpn?eas!#rsa?./-?clean#all a fin de limpiar
cualquier firma digital que accidentalmente estuviera presente/
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,cl!an(all
Lo anterior reali8a un rm #fr (eliminacin recursiva) sobre el directorio
?etc?openvpn?e!s" por lo que se eliminar%n todas los certificados ! firmas digitales
que &ubieran e7istido con anterioridad/
; fin de crear el certificado del servidor" se crea un certificado:
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(ca
Se crea el arc&ivo d&0-.F/pem" el cual contendr% los par%metros del protocolo
=iffie#Gellman" de 0-.F bits:
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(%.
*l protocolo =iffie#Gellman permite el intercambio secreto de claves entre dos
partes que sin que 1stas &a!an tenido contacto previo" utili8ando un canal
inseguro ! de manera annima (sin autenticar)/ Se emplea generalmente como
medio para acordar claves sim1tricas que ser%n empleadas para el cifrado de una
sesin" como es el caso de una cone7in VPN/
Para generar la firma digital" se utili8an el siguiente mandato:
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/(s!#)!# s!#)!#
)inalmente se crean los certificados para los clientes/ *n el siguienteC e$emplo se
crean los certificados para cliente0" cliente." clienteC" clienteF" cliente@ ! clienteB:
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!<
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!0
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!=
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!>
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!"
s. ,'s#,s.a#!,$-!n)-n,!as/(#sa,0.1,;'il%(4!/ cli!nt!?
; fin de utili8ar los certificados ! que se configure el sistema" se crea con el editor
de te7to el arc&ivo ?etc?openvpn?servidorvpn#udp#00AF/conf" donde servidorvpn se
reempla8a por el nombre de anfitrin del sistema:
vi /etc/openvpn/servidorvpn-udp-,,12.con3
Para la VPN se recomienda utili8ar una red privada que sea poco usual" a fin de
poder permitir a los clientes conectarse sin conflictos de red/ >n e$emplo de una
red poco utili8ada ser'a 0A./0B,/CD/-?.@@/.@@/.@@/-" lo cual permitir% conectarse a
la VPN a .@C clientes/ <omando en cuenta lo anterior" el contenido del arc&ivo
?etc?openvpn?servidorvpn#udp#00AF/conf" debe ser el siguiente:
-$#t <<@>
-#$t$ '%-
%!) t'n
A(((( S!cci$n %! lla)!s (((((
ca 4!/s,ca.c#t
c!#t 4!/s,s!#)!#.c#t
4!/ 4!/s,s!#)!#.4!/
%. 4!/s,%.<10>.-!&
A((((((((((((((((((((((((((((
s!#)!# <@0.<?B.=C.1 0"".0"".0"".1
i2c$n2iD(-$$l(-!#sist i--.t5t
4!!-ali)! <1 <01
c$&-(lE$
-!#sist(4!/
-!#sist(t'n
stat's $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D
)!#; =
Descripcin de los parmetros anteriores:
-ort: *specifica el puerto que ser% utili8ado para que los clientes vpn
puedan conectarse al servidor/
-roto: tipo de protocolo que se emplear% en a cone7in a trav1s de
VPN
dev: <ipo de interfa8 de cone7in virtual que se utili8ar% el servidor
openvpn/
c: *specifica la ubicacin e7acta del arc&ivo de ;utoridad
:ertificadora H/caI/
cert: *specifica la ubicacin del arc&ivo H/crtI creado para el servidor/
+ey: *specifica la ubicacin de la llave H/e!I creada para el servidor
openvpn/
d&: 2uta e7acta del arc&ivo H/pemI el cual contiene el formato de =iffie
Gellman (requirerido para ##tls#serversolamente)/
server: Se asigna el rango +P virtual que se utili8ar% en la red del t6nel
VPN/
I3con3i*-poo%-persist: ;rc&ivo en donde quedar%n registrado las
direcciones +P de los clientes que se encuentran conectados al
servidor OpenVPN/
/eep%ive ,4 ,54 : *nv'a los paquetes que se mane$an por la red una
ve8 cada 0- segundosJ ! asuma que el acoplamiento es aba$o si
ninguna respuesta ocurre por 0.- segundos/
comp-%6o: *specifica los datos que recorren el t6nel vpn ser%
compactados durante la trasferencia de estos paquetes/
persist-+ey: *sta opcin soluciona el problema por llaves que
persisten a trav1s de los rea$ustes S+5>S20" as' que no necesitan ser
rele'dos/
-ersist-tun: Permite que no se cierre ! re#abre los dispositivos
<;P?<>N al correr los guiones up?down
sttus: arc&ivo donde se almacenar% los eventos ! datos sobre la
cone7in del servidor H/logI
ver): Nivel de informacin (defaultK0)/ :ada nivel demuestra todo el
+nfo de los niveles anteriores/ Se recomienda el nivel C si usted desea
un buen resumen de qu1 est% sucediendo/
- ##No muestra una salida e7cepto errores fatales/ 0 to F L2ango de
uso normal/ @ ##Salida 2! (caracteres en la consola par los paquetes
de lectura ! escritura" ma!6sculas es usada por paquetes <:P?>=P
min6sculas es usada para paquetes <>N?<;P/
Si S*Linu7 est% activo" es necesario que el directorio ?etc?openvpn ! sus
contenidos" tengan los conte7tos apropiados de esta implementacin de seguridad
(s!stemMu:ob$ectMr:openvpnMetcMrwMt para ipp/t7t ! openvpn#status#servidorvpn#
udp#00AF/log ! s!stemMu:ob$ectMr:openvpnMetcMt para el resto del contenido del
directorio)/
Se utili8a luego el mandato restorecon sobre el directorio ?etc?openvpn a fin de
asignar los conte7tos adecuados/
#!st$#!c$n (R ,!tc,$-!n)-n,
Se crean los arc&ivos ipp/t7t ! openvpn#status#servidorvpn#udp#00AF/log:
c% ,!tc,$-!n)-n,
t$'c. i--.t5t
t$'c. $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D
Si se tiene activo S*Linu7" estos 6ltimos dos arc&ivos requieren se les asigne
conte7to de lectura ! escritura (openvpnMetcMrwMt)/
c% ,!tc,$-!n)-n,
c.c$n (' s/st!&7' i--.t5t
c.c$n (' s/st!&7' $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D
c.c$n (# $;F!ct7# i--.t5t
c.c$n (# $;F!ct7# $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D
c.c$n (t $-!n)-n7!tc7#37t i--.t5t
c.c$n (t $-!n)-n7!tc7#37t $-!n)-n(stat's(s!#)i%$#)-n('%-(<<@>.l$D
Los anterior cambia los conte7tos a usuario de sistema (s!stemMu)" rol de ob$eto
(ob$ectMr) ! tipo configuracin de OpenVPN de lectura ! escritura
(openvpnMetcMrwMt)/
Para iniciar el servicio" se utili8a el mandato service del siguiente modo:
s!#)ic! $-!n)-n sta#t
Para que el servicio de OpenVPN est1 activo en el siguiente inicio del sistema" se
utili8a el mandato c&config de la siguiente forma:
c.4c$n2iD $-!n)-n $n
C$n2iD'#acin %! &'#$ c$#ta2'!D$s c$n S.$#!3all.
*l siguiente procedimiento considera que se &a configurado un muro cortafuegos
apropiadamente" de acuerdo a las indicaciones descritas en el documento titulado
:mo configurar un muro cortafuegos con S&orewall ! tres interfaces de red/
+ndependientemente del contenido" en el arc&ivo ?etc?s&orewall?8ones" se a9ade la
8ona rem con el tipo ipvF" antes de la 6ltima l'nea/
A O-!nVPN ((((
#!& i-)>
ALAST LINE (( ADD YOUR ENTRIES GE8ORE THIS ONE (( DO NOT REMOVE
+ndependientemente del contenido" en el arc&ivo ?etc?s&orewall?interfaces" se
a9ade la 8ona rem asociada a la interfa8 tun-" con la opcin detect" para detectar
autom%ticamente el n6mero de direccin +P de difusin (broadcast) ! la opcin
d&cp/ <ambi1n debe definirse antes de la 6ltima l'nea del arc&ivo/
A O-!nVPN ((((
#!& t'n1 %!t!ct %.c-
ALAST LINE (( ADD YOUR ENTRIES GE8ORE THIS ONE (( DO NOT REMOVE
+ndependientemente del contenido" en el arc&ivo ?etc?s&orewall?polic!" se a9ade la
pol'tica deseada para permitir el acceso de los miembros de la VPN &acia las
8onas que se consideren apropiadas/ *n el siguiente e$emplo" se define una
pol'tica que permite el acceso de las cone7iones originadas desde la 8ona rem
&acia el cortafuegos" la red p6blica ! la red local/ <odo debe definirse antes de la
6ltima l'nea del arc&ivo/
23 all ACCEPT
l$c all ACCEPT
A O-!nV-n ((((
#!& 23 ACCEPT
#!& n!t ACCEPT
#!& l$c ACCEPT
A ((((((((((((
n!t all DROP in2$
all all REIECT in2$
7LAST LIN" -- A88 0O9R "NTRI"S B"FOR" T:IS ON" -- 8O NOT R".O;"
+ndependientemente del contenido" en el arc&ivo ?etc?s&orewall?rules" se debe abrir
en el cortafuegos el puerto 00AF por >=P" para todas las 8onas desde las cuales
se pretenda conectar clientes a la VPN/
ACCEPT n!t 23 '%- <<@>
ALAST LINE (( ADD YOUR ENTRIES GE8ORE THIS ONE (( DO NOT REMOVE
)inalmente" se edita el arc&ivo ?etc?s&orewall?tunnels a fin de definir el t6nel SSL
que ser% utili8ado para el servidor de VPN ! que permita conectarse desde
cualquier ubicacin/
ATYPE JONE GATEKAY GATEKAY
A JONE
$-!n)-ns!#)!#L<<@> #!& 1.1.1.1,1
ALAST LINE (( ADD YOUR ENTRIES GE8ORE THIS ONE (( DO NOT REMOVE
*n lugar de -/-/-/-?-" se puede especificar una direccin +P o bien una red desde
la cual se quiera establecer las cone7iones VPN/
Para aplicar los cambios" es necesario reiniciar s&orewall con el mandato service"
del siguiente modo:
s!#)ic! s.$#!3all #!sta#t
C$n2iD'#acin %! cli!nt!s Kin%$3s.
; trav1s de OpenVPN 5>+/
+nstalar OpenVPN 5>+ desde &ttp:??openvpn/se?/ Se requiere instalar la versin de
desarrollo 0/-/C de OpenVPN 5>+" compatible con OpenVPN ./0/7/ *l cliente es
estable" siempre que se verifique que funcione adecuadamente la configuracin
utili8ada antes de poner en marc&a en un entorno productivo/
:rear el arc&ivo cliente0#udp#00AF/ovpn" con el siguiente contenido" donde es
importante que las rutas definidas sean las correctas ! las diagonales invertidas
sean dobles:
cli!nt
%!) t'n
-#$t$ '%-
#!&$t! %$&ini$($(i-.%!l.s!#)i%$#.)-n <<@>
2l$at
#!s$l)(#!t#/ in2init!
n$;in%
-!#sist(4!/
-!#sist(t'n
A(((((( SECCION DE LLAVES ((((((((
ca +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMca.c#t+
c!#t +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMcli!nt!<.c#t+
4!/ +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMcli!nt!<.4!/+
ns(c!#t(t/-! s!#)!#
A(((((((((((((((((((((((((((((((((
c$&-(lE$
)!#; =
=escripcin de los par%metros anteriores:
c%ient: *specifica el tipo de configuracin" en este caso tipo cliente OpenVPN/
-ort: *specifica el puerto que ser% utili8ado para que los clientes VPN puedan
conectarse al servidor/
-roto' tipo de protocolo que se emplear% en a cone7in a trav1s de VPN
dev' <ipo de interfa8 de cone7in virtual que se utili8ar% el servidor openvpn/
remote' Gost remoto o direccin +P en el cliente" el cual especifica al servidor
OpenVPN/
*l cliente OpenVPN puede tratar de conectar al servidor con &ost:port en el orden
especificado de las opciones de la opcin ##remote/
3%ot' *ste le dice a OpenVPN aceptar los paquetes autenticados de cualquier
direccin" no solamente la direccin cu%l fue especificado en la opcin ##remote/
reso%v-retry' Si la resolucin del nombre del anfitrin (&ostname) falla para ##
remote" la resolucin antes de fallar &ace una re#comprobacin de n segundos/
no)ind' No agrega bind a la direccin local ! al puerto/
c' *specifica la ubicacin e7acta del arc&ivo de ;utoridad :ertificadora H/caI/
cert' *specifica la ubicacin del arc&ivo H/crtI creado para el servidor/
+ey' *specifica la ubicacin de la llave H/e!I creada para el servidor OpenVPN/
remote' *specifica el dominio o +P del servidor as' como el puerto que escuc&ara
las peticiones para servicio VPN/
comp-%6o' *specifica los datos que recorren el t6nel VPN ser% compactados
durante la trasferencia de estos paquetes/
persist-+ey: *sta opcin soluciona el problema por llaves que persisten a trav1s
de los rea$ustes S+5>S20" as' que no necesitan ser rele'dos/
-ersist-tun' Permite que no se cierre ! re#abre los dispositivos <;P?<>N al correr
los guiones up?down
ver)' Nivel de informacin (defaultK0)/ :ada nivel demuestra toda la +nformacin
de los niveles anteriores/ Se recomienda el nivel C si usted desea un buen
resumen de qu1 est% sucediendo/
4 ##No muestra una salida e7cepto errores fatales/ 0 to F L2ango de uso normal/ @
##Salida 2! (caracteres en la consola par los paquetes de lectura ! escritura"
ma!6sculas es usada por paquetes <:P?>=P min6sculas es usada para paquetes
<>N?<;P/
*l cliente necesitar% que los arc&ivos ca/crt" cliente0/crt" cliente0/e! ! cliente0#
udp#00AF/ovpn est1n presentes en el directorio N::O;rc&ivos de
ProgramaOOpenVPNOconfigON/ *stos arc&ivos fueron creados" a trav1s de un
procedimiento descrito en este documento" dentro del directorio
?etc?openvpn?e!s? del servidor/
Si se quiere que los clientes de la VPN se puedan conectar a la red local" es
importante considerar las implicaciones de seguridad que esto conlleva si alguno
de los certificados es robado o bien el cliente se ve comprometido en su seguridad
por una intrusin" virus" tro!ano o gusano/ *s preferible que la red de la VPN sea
independiente a la red local ! cualquier otra red" uniendo los servidores ! clientes
a la VPN" independientemente de si 1stos est%n en la red local o una red p6blica/
Si es imperativo &acer que los clientes de la VPN se conecten a la red local" la red
desde la cual se conectan los clientes debe ser diferente a la red utili8ada en la
red local/ Por e$emplo: si la red local detr%s del servidor de VPN es
0A./0B,/-/-?.@@/.@@/.@@/-" 0-/-/-/-?.@@/-/-/- o 0D./0B/-/-?.@@/.@@/-/-" los
clientes que se conecten a la VPN detr%s de un modem ;=SL o :able e intenten
establecer cone7iones con la red local" mu! seguramente tendr%n conflictos de
red/
Para permitir a los clientes de la VPN poder establecer cone7iones &acia la red
local" se a9aden las siguientes l'neas en el arc&ivo de configuracin de OpenVPN
para los clientes ! que definen la ruta para la red local ! un servidor =NS que debe
estar presente ! configurado para permitir consultas recursivas a la red de la VPN:
#$'t! <@0.<?B.1.1 0"".0"".0"".1
%.c-($-ti$n DNS <@0.<?B.1.<
Opcionalmente" tambi1n se puede definir un servidor (ins/
d&cp-option <INS ,15.,=>.5=.,
*$emplo" considerando que la red local es 0A./0B,/.B/-?.@@/.@@/.@@/-:
cli!nt
%!) t'n
-#$t$ '%-
#!&$t! %$&ini$($(i-.%!l.s!#)i%$#.)-n <<@>
2l$at
#!s$l)(#!t#/ in2init!
n$;in%
-!#sist(4!/
-!#sist(t'n
#$'t! <@0.<?B.0?.1 0"".0"".0"".1
%.c-($-ti$n DNS <@0.<?B.0?.<
%.c-($-ti$n KINS <@0.<?B.0?.<
A(((((( SECCION DE LLAVES ((((((((
ca +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMca.c#t+
c!#t +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMcli!nt!<.c#t+
4!/ +CLMMA#c.i)$s %! P#$D#a&aMMO-!nVPNMMc$n2iDMMcli!nt!<.4!/+
ns(c!#t(t/-! s!#)!#
A(((((((((((((((((((((((((((((((((
c$&-(lE$
)!#; =
Cli!nt!s GNU,Lin'5.
; trav1s del servicio openvpn/
*ste es el m1todo que funcionar% en pr%cticamente todas las distribuciones de de
5N>?Linu7 basadas sobre 2ed Gat" :entOS ! )edora/ Se requiere instalar el
paquete openvpn:
/'& (/ install $-!n)-n
Para :entOS @" se requiere &aber configurado previamente el depsito de ;L
Server" descrito con anterioridad en este mismo documento/
Para los clientes con 5N>?Linu7 utili8ando el servicio openvpn" b%sicamente se
utili8a el mismo arc&ivo para OpenVPN 5>+ para (indows" pero definiendo rutas
en el sistema de arc&ivos de 5N>?Linu7/ *$emplo:
cli!nt
%!) t'n
-#$t$ '%-
#!&$t! %$&ini$($(i-.%!l.s!#)i%$#.)-n <<@>
2l$at
#!s$l)(#!t#/ in2init!
n$;in%
-!#sist(4!/
-!#sist(t'n
A(((((( SECCION DE LLAVES ((((((((
ca ,!tc,$-!n)-n,4!/s,ca.c#t
c!#t ,!tc,$-!n)-n,4!/s,cli!nt!<.c#t
4!/ ,!tc,$-!n)-n,4!/s,cli!nt!<.4!/
ns(c!#t(t/-! s!#)!#
A(((((((((((((((((((((((((((((((((
c$&-(lE$
)!#; =
*ste arc&ivo se guarda como ?etc?openvpn?cliente0#udp#00AF/ovpn/ 2equiere que
los certificados definidos en la configuracin est1n en las rutas especificadas
dentro del directorio ?etc?openvpn?e!s?/
Para iniciar la cone7in &acia la VPN" simplemente se inicia el servicio openvpn:
s!#)ic! $-!n)-n sta#t
Para que la cone7in se estable8ca autom%ticamente cada ve8 que se inicie el
sistema" se utili8a el mandado c&config de la siguiente manera:
c.4c$n2iD $-!n)-n $n
A t#a)Ns %! N!t3$#4ManaD!#.
NetworEanager es una implementacin que permite a los usuarios configurar
interfaces de red de todos los tipos" sin necesidad de contar con privilegios de
administracin en el sistema/ *s la forma m%s fle7ible" sencilla ! pr%ctica de
conectarse a una red VPN/
Se requiere que los clientes Linu7 tengan instalado el paquete NetworEanager#
openvpn" mismo que debe estar incluido en los depsitos Pum de )edora A en
adelante ! distribuciones recientes de 5N>?Linu7/ :entOS @ carece del soporte
para utili8ar NetworEanager#openvpn" por lo que solo podr% conectarse a la VPN
a trav1s del m1todo anterior" con el servicio openvpn/
Para instalar a trav1s del mandato !um en distribuciones basadas sobre )edora A
en adelante" se &ace de la siguiente manera:
/'& (/ install N!t3$#4ManaD!#($-!n)-n
Se puede reiniciar el sistema para que tengan efectos los cambios o simplemente
reiniciar el servicio NetworEanager:
s!#)ic! N!t3$#4ManaD!# #!sta#t
Lo anterior cerrar% ! volver% a establecer las cone7iones de red e7istentes/
;l igual que el m1todo anterior" para los clientes con 5N>?Linu7 con
NetworEanager" b%sicamente se utili8a el mismo arc&ivo para OpenVPN 5>+
para (indows" pero definiendo rutas en el sistema de arc&ivos de 5N>?Linu7/
*$emplo:
cli!nt
%!) t'n
-#$t$ '%-
#!&$t! %$&ini$($(i-.%!l.s!#)i%$#.)-n <<@>
2l$at
#!s$l)(#!t#/ in2init!
n$;in%
-!#sist(4!/
-!#sist(t'n
A(((((( SECCION DE LLAVES ((((((((
ca ,!tc,$-!n)-n,4!/s,ca.c#t
c!#t ,!tc,$-!n)-n,4!/s,cli!nt!<.c#t
4!/ ,!tc,$-!n)-n,4!/s,cli!nt!<.4!/
ns(c!#t(t/-! s!#)!#
A(((((((((((((((((((((((((((((((((
c$&-(lE$
)!#; =
*ste arc&ivo se puede utili8ar con la interfa8 gr%fica de NetworEanager/ Solo &a!
que &acer clic sobre el icono en el Qrea de notificacin del panel de 5NOE* !
luego &acer clic en :onfigurar VPN/
*n
la ventana que abre a continuacin" &a! un botn que permite importar el arc&ivo
de configuracin
Si los certificados ! firma digital son colocados en la ruta ?etc?openvpn?e!s? con
S*Linu7 activo" 1stos funcionar%n adecuadamente/ Si los certificados ! firma
digital son almacenados dentro del directorio de inicio del usuarios" es necesario
establecer la pol'tica openvpnMenableM&omedirs con valor 0 (que equivale a on o
activa):
s!ts!;$$l (P $-!n)-n7!na;l!7.$&!%i#s <
Personalmente recomiendo crear una configuracin nueva desde la interfa8 de
NetworEanager/ =esde la ventana de redes VPN de la interfa8 de
NetworEanager" &acer clic en ;9adir/
;parecer% un di%logo donde se debe seleccionar que se trata de una VPN con
OpenVPN/
*n la siguiente ventana de di%logo" se define el nombre de la cone7in" direccin
+P o nombre del servidor donde est% instalado OpenVPN ! los certificados a
utili8ar/ Si se siguieron los procedimientos de ese documento" se de$a en blanco el
campo :ontrase9a de clave privada/
Luego" se &ace clic en ;van8ado para especificar que se utili8ar% compresin
LRO/
Para evitar conflictos de conectividad" se &ace clic en la pesta9a ;$ustes +PVF ! se
define un servidor =NS que permita al cliente navegar a trav1s de +nternet ! dentro
de la red de la VPN/
Se &ace clic en 2utas para abrir otra ventana de di%logo ! se seleccionan las
casillas de las opciones +gnorar las rutas obtenidas autom%ticamente ! >sar esta
cone7in solo para los recursos de su red/ Opcionalmente se pueden a9adir las
rutas est%ticas para tener conectividad con la red local detr%s del servidor de VPN"
tomando en cuenta que la red local desde la cual se est% conectado el cliente
debe ser diferente a la de la red local detr%s del servidor de VPN" a fin de evitar
conflictos de red/
)inalmente se &ace clic en aplicar/ Para conectarse a la red VPN" solo basta &acer
clic sobre el icono de NetworEanager en el Qrea de notificacin del panel de
5NOE* ! seleccionar la red VPN reci1n configurada/