Acerca de...

● OpenVPN, es un producto de software creado por James Yonan en el año 2001 y que
ha estado mejorando desde entonces.
● Ninguna otra solución ofrece una mezcla semejante de seguridad a nivel
empresarial, seguridad, facilidad de uso y riqueza de características.
● Es una solución multiplataforma que ha simplificado mucho la configuración de
VPN's dejando atrás los tiempos de otras soluciones difíciles de configurar como
IPsec y haciéndola más accesible para gente inexperta en este tipo de tecnología.
Usos de las VPN's

● Conexión entre diversos puntos de una organización a través de Internet

● Conexiones de trabajadores domésticos o de campo con IP's dinámicas
● Soluciones extranet para clientes u organizaciones asociadas con los cuales se
necesita intercambiar cierta información en forma privada pero no se les debe dar
acceso al resto de la red interna.
● Además brinda una excelente fiabilidad en la comunicación de usuarios móviles así
como también al unir dos puntos distantes como agencias de una empresa dentro
de una sola red unificada.
Formas de trabajo de OpenVPN

1. Host a Host: Es el método más simple, nos permite encriptar la comunicación entre dos PC
las cuales deberán solamente tener conexión; es decir: ambas PC deben poderse enviar
paquetes directamente ya sea porque estén conectadas en la misma red local, o porque ambas
estén conectadas a la internet y sean alcanzables entre sí.
2. Road Warrior: Es una de las formas más utilizadas y solicitadas por los estudiantes.
Es el permitir que una máquina de alguien que esté fuera de nuestra red (de forma
temporal o permanente) pueda comunicarse con el servidor OpenVPN de nuestra red y
una vez autenticado pueda entrar a ver y acceder los recursos de nuestra red local.
3. Red a Red: Uno de los métodos más usados. Mediante ésta forma dos redes separadas en el
espacio pueden comunicarse como si estuvieran unidas por un cable virtual (de ahí la V de
VPN); la comunicación entre ambas redes viajará encriptada una vez salgan de los servidores
de openvpn y hasta que lleguen a su otro extremo.

Mediante OpenVPN podemos hacer que ambas redes puedan verse. Es decir, por ejemplo, que
podamos hacer ping entre máquinas de la LAN1 y de la LAN2 (por ejemplo: 192.168.1.6
haciendo ping a 192.168.2.78 sin inconveniente alguno).
 Ejemplo de Configuración

dev tun *redirect-gateway = Usar el servidor VPN como gateway a Internet

proto tcp
port 1194
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/servidor.crt
key /etc/openvpn/keys/servidor.key
dh /etc/openvpn/keys/dh2048.pem
user nobody
* ca, cert, key y dh = son la entidad, el certificados, la llave del servidor.
* server 10.6.0.0 255.255.255.0 = es el rango de ip que usara la vpn,
* ifconfig-pool-persist ipp.txt = guarda a quien se le asigno cada ip en
la vpn
●
* proto y port = protocolo y puerto, se puede usar tcp y utp..
●

* duplicate-cn = permite que se use el mismo certificado y llave en

group nogroup varios clientes al mismo tiempo.
server 10.6.0.0 255.255.255.0
* client-to-client = es para evitar que los usuario de la vpn se vean
ifconfig-pool-persist /etc/openvpn/clients.txt entre si, según el caso es útil.
status /etc/openvpn/status.txt
* comp-lzo = compresión, comprime todo el trafico de la vpn.
persist-key
persist-tun * verb 3 = aumenta o disminuye los detalles de error en el server.

push "redirect-gateway def1"

*max-clients 30 = cantidad máxima de usuarios conectados
push "route 192.168.0.0 255.255.255.0" simultáneamente al servidor, se puede aumentar o disminuir.
keepalive 10 120
* push route = permite ver o estar en la red detras del vpn server
verb 3 .

comp-lzo
max-clients 3

Archivo de configuración Servidor Significado

 Ejemplo de Configuración

client
dev tun ● Dev = interfase
proto tcp
remote plasmaticus.sytes.net 1194
● Proto = protocolo
resolv-retry infinite ● Remote = servidor
nobind
#user nobody
#group nobody
persist-key
persist-tun
ca ca.crt
cert invitado.crt
key invitado.key
comp-lzo
tun-mtu 1500
keepalive 10 120
verb 4

Archivo de configuración Cliente Significado

Seguridad

OpenVPN es una implementación que usa las extensiones OSI capa 2 (Enlace) ó capa
3 (Red) para asegurar redes la cual usa los estándares SSL/TLS, soporta diferentes
medios de autenticación como certificados, smart cards, y/o usuarios/contraseñas, y
permite políticas de control de acceso para usuarios o grupos usando reglas de
firewall aplicadas a las interfaces virtuales de la VPN.

Para la practica se utilizó SSL/TLS para cifrado asimétrico usando certificados y

claves RSA.
● Crear RSA de 2048 bits.
● Crear la Entidad emisora de certificados.
● Crear los Certificados y llaves del servidor.
● Crear los certificados y llaves de cada usuario.
Ejemplo de cifrado asimétrico:
OpenVPN y Windows

OpenVPN puede trabajar tanto como cliente como servidor en máquinas windows y
linux. Es decir puede quedar cualquier combinación: windows-windows, windows-
linux, linux-windows o la mejor: linux-linux.

En el caso de windows los archivos de configuración deben ir en:

C:\program files\openvpn\config
Ventajas
● Posibilidad de implementar dos modos básicos, en capa 2 o capa 3, con lo que se logran
túneles capaces de enviar información en otros protocolos no-IP como IPX o broadcast
(NETBIOS).
● Protección de los usuarios remotos. Una vez que OpenVPN ha establecido un túnel el firewall
de la organización protegerá la computadora remota aun cuando no es un equipo de la red
local. Por otra parte, solo un puerto de red podrá ser abierto hacia la red local por el remoto
asegurando protección en ambos sentidos.
● Conexiones OpenVPN pueden ser realizadas a través de casi cualquier firewall. Si se posee
acceso a Internet y se puede acceder a sitios HTTPS, entonces un túnel OpenVPN debería
funcionar sin ningún problema.
● Soporte para proxy. Funciona a través de proxy y puede ser configurado para ejecutar como un
servicio TCP o UDP y además como servidor (simplemente esperando conexiones entrantes) o
como cliente (iniciando conexiones).
● Solo un puerto en el firewall debe ser abierto para permitir conexiones, dado que desde
OpenVPN 2.0 se permiten múltiples conexiones en el mismo puerto TCP o UDP.
● Las interfaces virtuales (tun0, tun1, etc.) permiten la implementación de reglas de firewall muy
específicas.
● Todos los conceptos de reglas, restricciones, reenvío y NAT10 pueden ser usados en túneles
OpenVPN.
● Alta flexibilidad y posibilidades de extensión mediante scripting. OpenVPN ofrece numerosos
puntos para ejecutar scripts individuales durante su arranque.

● Soporte transparente para IPs dinámicas. Se elimina la necesidad de usar direcciones IP

estáticas en ambos lados del túnel.

● Ningún problema con NAT. Tanto los clientes como el servidor pueden estar en la red usando
solamente IPs privadas.

● Instalación sencilla en cualquier plataforma. Tanto la instalación como su uso son

increíblemente simples.

● Diseño modular. Se basa en un excelente diseño modular con un alto grado de simplicidad
tanto en seguridad como red.

● Usar el servidor de VPN como gateway hacia Internet

Desventajas

● No tiene compatibilidad con IPsec que justamente es el estándar actual para soluciones VPN.

● Todavía existe poca gente que conoce como usar OpenVPN.

● Al día de hoy sólo se puede conectar a otras computadoras. Pero esto está cambiando, dado
que ya existen compañías desarrollando dispositivos con clientes OpenVPN integrados.
OpenVPN Vs. PPTP

¡Vulnerabilidades de PPTP para recordar!

La seguridad de PPTP ha sido completamente rota y las instalaciones con PPTP

deberían ser retiradas o actualizadas a otra tecnología de VPN. La utilidad ASLEAP
puede obtener claves de sesiones PPTP y descifrar el tráfico de la VPN. Los ataques
a PPTP no pueden ser detectados por el cliente o el servidor porque el exploit es
pasivo.

El fallo de PPTP es causado por errores de diseño en la criptografía en los

protocolos handshake LEAP de Cisco y MSCHAP-v2 de Microsoft y por las
limitaciones de la longitud de la clave en MPPE.
giganews.com
Fuentes:

● VPN en servidor Linux y clientes Windows/Linux con OpenVPN + Shorewall ( http://goo.gl/ziN8Y)

● Cómo configurar un Servidor OpenVPN en Windows (http://goo.gl/Lv2mW)

● Cómo instalar y configurar OpenVPN (http://goo.gl/SErbM)

● OpenVPN SSL/TLS para Android (http://goo.gl/4k4st)

● Montar y configurar una OpenVPN en un router con firmware DD-WRT (http://goo.gl/YPHcB)

● Crackear Conexiones VPN pptp (http://goo.gl/CRcFr)