PDF de programación - OpenVPN Linux

OpenVPN Linux



2010

Instalacion y configuracion VPN (Virtual Privated Network)



Conceptos Previos

VPN: Es la red que permite la conexión de redes locales utilizando una redes publica como lo es
internet, haciendo utilidad de túneles garantizando mayor seguridad de transferencias de datos.

COEXION REMOTA: Es una tecnología que nos permite acceder a mi ordenador así este fuera
de nuestro alcance.

SEGURIDAD PERIMETRAL: Se encarga de controlar y proteger todo el tráfico o contenido de los
puntos de entrada y salida de una conexión.

ROAD WARRIOR: Acceso remoto, conexión de usuarios o proveedores con la empresa
remotamente desde cualquier lugar.

TUNNELING: Consiste en encapsular un protocolo de red sobre otro (protocolo de red
encapsulador) creando un túnel dentro de una red de computadoras. Haciendo que el contenido
de los paquetes no se pueda ver.

SSL VPN: Permite que las conexiones por internet sean seguras, este actúa sobre la capa de
transporte.

VPN appliance: es un equipo de seguridad con características de seguridad mejoradas que es
más cono sida como SSL

CERTIFICADOS DIGITALES: Es un documento que está registrado ante un tercero que autoriza
la vinculación entre una entidad de un sujeto, una entidad y su calve publica.

PKI: Es una combinación de hardware y software, políticas y procedimientos de seguridad que
permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital
o el no repudio de transacciones electrónicas, permite a los usuarios autenticarse frente a otros
usuarios y usar la información de los certificados de identidad, para cifrar y descifrar mensajes,
firmar digitalmente información, garantizar el no repudio de un envío, y otros usos.

L2TP: Crea un túnel utilizando PPP para enlaces telefónicos, este asegura nada mas los puntos
de finales del túnel, sin asegurar los datos del paquete.

IPSEC: Asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando o cifrando
cada paquete IP en un flujo de datos. 5

INTRUSO INFORMATICO: Son aquellos que pretenden invadir la privacidad de nuestro datos de
la red o de mi ordenador.

MODELOS OSI: Es un marco de referencia para la definición de arquitecturas de interconexión
de sistemas de comunicaciones.



Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010

ACL: Se trata de los permisos de acceso a determinados objetos o aplicaciones, este controla el
tráfico de las redes informáticas.

PAT: Es una característica de una red de dispositivo que traduce TCP o UDP comunicaciones
entre los hosts de una red privada y los hosts en una red pública.

NAT: Traducciones de direcciones IP que permite la transición de datos entre redes diferentes.
FORWARDING: Permite el reenvió de correo de una dirección a otra.

PPTP: Es un protocolo que fue diseñado para la implementación de un red privada asegurando
la conexión punto a punto.

Diffie-Hellman permite el intercambio secreto de claves entre dos partes que sin que estas hayan
tenido contacto previo, utilizando un canal inseguro, y de manera anónima
Port: Especifica el puerto que será utilizado para que los clientes vpn puedan conectarse al
servidor.

Proto: tipo de protocolo que se empleara en a conexión a través de VPN

Dev: Tipo de interfaz de conexión virtual que se utilizara el servidor openvpn.

Ca: Especifica la ubicación exacta del fichero de Autoridad Certificadora [.ca].

Cert: Especifica la ubicación del fichero [.crt] creado para el servidor.

Key: Especifica la ubicación de la llave [.key] creada para el servidor openvpn.



Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010

La herramienta que vamos a utilizar es OpenVPN en Linux Ubuntu 10.04, como lo veremos
en la siguiente imagen, luego que encuentre el paquete en los repositorios nos preguntara
que si deseamos continuar con la instalacion y presionamos la letra S.



Luego de haber instalado el paquete, ingresamos a la siguiente ruta para copiar los archivos
de configuración del openvpn.



Germán Darío Vásquez Sánchez



SySadmin



OpenVPN Linux



2010

Copiamos los siguientes archivos easy-rsa y samples-config-files a la ubicación donde
tenemos instalado el openvpn que en mi caso es /etc/openvpn/.

Después de haber copiado los archivos a la ruta donde se encuentra openvpn vamos a
modificar algunos archivos de configuración para que nuestra vpn funcione de manera
óptima.

Vamos a la ruta /etc/openvpn/easy-rsa/2.0 en esta se encuentra el archivo /vars como
veremos en la siguiente imagen.



Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010

Estando en /vars editaremos algunas líneas para cambiar la ruta donde se alojaran tanto las
llaves como los certificados de los clientes y los servidores. Vamos a crear una carpeta keys
dentro de /etc/openvpn/easy-rsa/2.0/keys como lo veremos a continuación.



Germán Darío Vásquez Sánchez



SySadmin



OpenVPN Linux



2010

También modificaremos dentro de /vars el país, provincia, ciudad, nombre de la organización
y dirección de correo electrónico para las llaves.

Ejecutamos los siguientes comandos para limpiar cualquier firma digital que accidentalmente
estuviera allí. ./vars y luego ./clean-all



Germán Darío Vásquez Sánchez



SySadmin



OpenVPN Linux



2010

Ahora vamos a crear el certificado de la entidad certificadora, con el comando ./build-ca.



Ejecutamos el comando ./buil-key-server seguido del nombre de nuestro servidor en este
caso vpn, también nos pedirá una contraseña y nos preguntara si queremos generar el
certificado así.

Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010



Ahora podemos observar el resumen del certificado y si la configuración es la adecuada para nuestro
certificado.

Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010



Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010

Luego crearemos los certificados para los clientes en este caso solo generaremos uno que se llamara
user1.



Germán Darío Vásquez Sánchez



SySadmin



OpenVPN Linux



2010

Y podemos observar el resumen con todas las configuraciones y el nombre del usuario que
acabamos de crear, en este caso user1.



Germán Darío Vásquez Sánchez



SySadmin



OpenVPN Linux



2010

Creamos el fichero dh1024.pem, el cual contendrá los parámetros del protocolo Diffie-Hellman
permite el intercambio secreto de claves entre dos partes.

Dh: Ruta exacta del fichero [.pem] el cual contiene el formato de Diffie Hellman (requirerido para -
-tls-server solamente).

Ahora vamos a la ruta /etc/openvpn/esasy-rsa/2.0 donde se encuentra el directorio keys que
creamos anteriormente, donde direccionamos que los certificados que crearíamos fueran a
esta ruta, allí encontraremos los certificados que hemos generado.



Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010

Luego hacemos una copia de la entidad certificadora, los certificados, la llave y el dh1024.pem que se
encuentra en el directorio /keys al directorio /etc/openvpn/.



Y podemos observar que la copia se ha realizado correctamente.



Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010

Ahora crearemos el archivo de configuración del openvpn en el directorio /etc/openvpn con el nombre
que le queramos dar, en este caso lo llamare vpnmercurio.conf.



Tener cuidado al crear o modificar este archivo digiten correctamente la información para que
no se produzcan errores a la hora de reiniciar los servicios del openvpn.

Server: Se asigna el rango IP virtual que se utilizara en la red del túnel VPN.

Ifconfig-pool-persist: Fichero en donde quedaran registrado las direcciones IP de los clientes que
se encuentran conectados al servidor OpenVPN.

Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010


Keepalive 10 120: Envía los paquetes que se manejan por la red una vez cada 10 segundos; y
asuma que el acoplamiento es abajo si ninguna respuesta ocurre por 120 segundos.

Comp-lzo: Especifica los datos que recorren el túnel vpn será compactados durante la
trasferencia de estos paquetes.

Persist-key: Esta opción soluciona el problema por llaves que persisten a través de los reajustes
SIGUSR1, así que no necesitan ser releídos.

Persist-tun: Permite que no se cierre y re-abre los dispositivos TAP/TUN al correr los guiones
up/down

Status: fichero donde se almacenara los eventos y datos sobre la conexión del servidor [.log]

Verb: Nivel de información (default=1). Cada nivel demuestra todo el Info de los niveles
anteriores. Se recomienda el nivel 3 si usted desea un buen resumen de que está sucediendo.

Ahora ejecutamos el comando openvpn - - config vpnmercurio.conf para comprobar que
quedo correctamente configurado y que no arroja ningún error.



Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010

Reiniciamos el servicio y vemos que sube correctamente el servicio y los demonios.



Germán Darío Vásquez Sánchez



SySadmin

OpenVPN Linux



2010

Ejecutamos ifconfig y podemos observar que se ha creado una nueva interfaz de red llamada tun0
que es la interfaz del túnel para la comunicación de la VPN.



Germán Darío Vásquez Sánchez



SySadmin



OpenVPN Linux



2010

Ahora haremos la copia de la llave y los certificados del user1 al escritorio, para pasárselos al client