MANUAL VPN SSL PARA CDC-DATA

1.- Acceder al CDC-Data al men Configuracin : VPN SSL

Aqu aparecen todas las opciones referentes a VPN SSL. Por tanto, nos moveremos por este men.

2007. Girsa-Net

Todos los derechos reservados

2.- Crear certificado SSL del servidor:

Lo primero que hay que hacer es rellenar los datos del formulario, teniendo en cuenta que cuando se cree el certificado del servidor, cualquier certificado existente anteriormente ser eliminado, tanto de servicios como de clientes. Por tanto, tened previsin del tiempo de das de validez que se otorgue al certificado del servidor CDC-Data (el conocido como ca.crt), ya que cuando ste caduque, automticamente quedarn anulados todos los certificados emitidos y no ser posible volver a conectar, hasta que se cree de nuevo el certificado. En el ejemplo se ha puesto un periodo de 10 aos.

Atencin: La primera vez aparece todo en blanco, pues no existe nada. Cuando se crea, tarda cerca de un minuto. No se alarme es normal.

2007. Girsa-Net

Todos los derechos reservados

 2007. Girsa-Net

Todos los derechos reservados

3.- Alta de servicios SSL:

Una vez creado el certificado del servidor, vamos a crear los servicios SSL. Cada servicio SSL escucha en un puerto determinado (el estndar es el 1194 udp), con las opciones: - Proto: - IP de red: - Mscara: - Punto-a-punto: DNS: WINS: Chiper: Activo: tcp upd (preferentemente seleccionamos udp). La direccin de red a partir de la cual asignaremos IPs a clientes. Cada cliente reserva 4 IPs (la de red, la de su servidor SSL, la del cliente y la de broadcast) El mbito de asignacin de red, en notacin a.b.c.d Si es S, el cliente slo ver al servidor SSL. Con la opcin No ver otros clientes asignados. El servidor DNS que se asignar al cliente cuando conecte. El servidor WINS que se asignar al cliente cuando conecte. El algoritmo de encriptacin a utilizar. SI No, en funcin de si queremos que se inicie el servicio cuando reiniciemos VPN SSL. Es un indicador para saber si un servicio determinado est programado para arrancar o no.

Importante: La opcin Activo SI/NO no activa o desactiva el servicio inmediatamente, sino que ste se realiza en la opcin del men anterior llamada Activar Cambios / Reiniciar Servicio

2007. Girsa-Net

Todos los derechos reservados

5.- Rutas para usuarios remotos:

Aqu establecemos las rutas que se inyectarn en el proceso de conexin del cliente remoto, cuando se autentique con nosotros. Cada ruta se asociada a un servicio, aunque puede estarlo para ms de uno, si fuera necesario. No hay lmite de rutas por servicio.

2007. Girsa-Net

Todos los derechos reservados

6.- Gestin de certificados de usuarios:

Desde aqu damos de alta, revocamos o eliminamos el certificado de un usuario remoto. Cada certificado de cliente es nico. Por tanto, slo puede existir un certificado asociado a un servicio cada vez. En cuanto a la IP del servidor, es la IP a la que conectar el cliente remoto cuando active el servicio. Puede ser una IP o un nombre cualificado, en cuyo caso ser necesario que el cliente tenga activo el DNS en su sistema. S/N representa el nmero de serie del certificado emitido. Si se revoca un certificado, se revoca para ese nmero de serie. Por tanto, es posible volver a crearlo de nuevo. En ese caso, el nmero de serie cambiar y deber volver a entregarse el certificado al cliente remoto. Si un cliente tuviera problemas de conexin, puede ver el nmero de serie y comprobar que no est utilizando uno ya revocado o caducado. El botn Descargar permite bajarse el certificado del usuario en formato ZIP. Dicho archivo ZIP contiene los documentos ca.crt del servidor, y el .crt y .key del certificado cliente necesarios para la conexin. No hay ms que instalarlos en la carpeta c:\archivos de programa\openvpn\config de la instalacin OpenVPN del cliente. Cuando un certificado est revocado, en lugar del botn Descargar aparece la leyenda Revocado El botn Elimina revoca el certificado y lo elimina fsicamente del servidor.

2007. Girsa-Net

Todos los derechos reservados

7.- Acceder al men Seguridad : Restricciones LAN : Control de puertos permitidos

Una vez conectado el cliente, hay que darle permisos de acceso desde el FW, como un usuario ms de la LAN. De hecho, el CDC-Data maneja dichas conexiones remotas como direcciones LAN, y por tanto estn sujetas a las restricciones LAN del FW. Para permitir el acceso desde nuestros usuarios locales hacia la red VPN SSL, bastar con poner la regla:
Origen (nuestra LAN) Puertos (1:65535) Destino (La red asociada al servicio SSL)

De igual modo, para que un usuario remoto acceda a nuestra LAN, deberemos agregar la regla recproca a la anterior:
Origen (La red asociada al servicio SSL) Puertos (1:65535) Destino (nuestra LAN)

Si tenemos asociadas rutas ms all de nuestra LAN en el servicio SSL, deberemos crear sus correspondientes reglas de acceso tanto en esta opcin, como en Destinos permitidos por enlace del men Tuneles SSL, si dichas rutas pertenecen a destinos de otras redes remotas sobre enlaces SSL.

2007. Girsa-Net

Todos los derechos reservados