PDF de programación - VPN host-to-LAN router usando OpenVPN

VPN host to LAN router usando OpenVPN

El propósito de este documento es describir cómo configurar una puerta
de enlace OpenVPN para una red privada virtual host to LAN. Las
secciones en las que se divide son los siguientes:

• Porque usar OpenVPN como puerta de enlace VPN.

• Configuración por defecto para VPN host to LAN con OpenVPN.

• Autenticación con usuario y contraseña en OpenVPN.

• Autenticación con certificados digitales X.509 en OpenVPN.

• VPN en modo Router o Bridge.

• Estadísticas de VPN y mensajes de registro.

Porque usar OpenVPN como puerta de enlace VPN.

Zeroshell, desde su primera version es capaz de actuar como puerta de
enlace VPN en las conexiones de Host to Lan. Sin embargo, solo se
admite VPN L2TP/IPSec. Esta combinación de túneles, el primero (IPSec)
autenticado por el IKE con certificados X.509 y el segundo (L2TP)
autenticado con nombre de usuario y la contraseña de Kerberos 5 KDC,
ha mostrado sus límitaciones. Muchas de las dudas de L2TP/IPSec, que
han sido resueltas mediante el uso de OpenVPN, se enumeran a
continuación:

• No es posible evitar el despliegue de un certificado X.509 y la clave

privada relacionada con cualquier cliente de VPN. Este problema
se puede resolver con la construcción de una PKI (Infraestructura
de Clave Pública) para firmar y administrar certificados X.509.
Zeroshell tiene el módulo de Autoridad de certificación X.509, pero
en cualquier caso, su gestión podría tomar demasiado tiempo para
algunas organizaciones.

• Después de la autenticación X.509, no es posible evitar la
autenticación en segundo lugar con nombre de usuario y
contraseña. Esta doble autenticación, en algunos casos, podría
considerarse como una pérdida de tiempo, especialmente cuando
el certificado se almacena en una tarjeta inteligente y para
desbloquear la clave privada, se necesita introducir el codigo PIN.

• Los clientes VPN L2TP/IPSec son de difícil configuración aun en el
caso de que el sistema operativo incluya soporte para este tipo de
VPN.

• Los clientes deben llegar a Internet a través de un router NAT o el

servidor VPN debe tener una dirección IP privada, el protocolo
IPSec tiene algunos problemas de autenticación por el hecho de
que, en la puerta de enlace NAT se modifican las cabeceras IP. La
solución a este tipo de problemas consiste tanto en el uso de los
routers NAT o el uso de técnicas no estandarizadas de VPN “pass-
through” o en el NAT-T (NAT Transversal), que permiten encapsular
los paquetes IPSec en el flujo UDP (puerto 4500). El NAT-T es un
protocolo estandarizado, pero los clientes VPN necesitan negociar
el uso de NAT-T con la VPN sólo cuando realmente hay un
dispositivo NAT entre ellos.

Para evitar los problemas relacionados con el uso de L2TP/IPSec,
comenzad con la versión 1.0.beta7 de Zeroshell, en la cual es posible
configurar el uso de OpenVPN para actuar como puerta de enlace VPN
para las conexiones de la RoadWarrior's. Observe que, Zeroshell ya
estaba utilizando OpenVPN para hacer posible la conexión VPN LAN a
LAN, ya sea en modo de router o bridge y con la posibilidad de
transportar el 802.1Q VLAN a través de Internet. La estabilidad y la
flexibilidad demostrada en la VPN LAN-to-LAN ha sido un factor
importante para utilizar este software también para el HOST a LAN.

Las ventajas en el uso de OpenVPN en RoadWarrior VPN son:

• El servicio OpenVPN es muy y fácilmente configurable mediante la

interfaz web (ver la imagen);

• Además de la autenticación de cliente X.509 que exige que

cualquier usuario tenga un certificado personal y la clave privada
relacionada, mediante el uso de OpenVPN es posible autenticarse
con nombre de usuario y contraseña, contra un servidor RADIUS
externo o en contra de un externo y el local Kerberos 5 KDC (ver la
nota al final del documento). Tambien es posible la autenticación
de los usuarios de un dominio de Active Directory de Microsoft.

• Como puede verse en el documento de configuración del cliente
OpenVPN para Windows, Linux, Mac OS X y Windows Mobile para
Pocket PC, una interfaz gráfica de usuario OpenVPN es instalable
en los sistemas operativos más utilizados. “OpenVPN client
configuration for Windows, Linux, Mac OS X and Windows Mobile for Pocket
PC,”

• Cuando OpenVPN está configurado para utilizar los dispositivos de

TAP (software para tarjetas Ethernet), encapsula las tramas
Ethernet en el túnel cifrado SSL.

• La ventaja en el uso de una VPN Ethernet es que, además de la

modalidad router en el que actúa como un router gateway VPN de
capa 3, es posible unir las tarjetas Ethernet con la VPN. De esta
manera, no sólo el protocolo IP, se pueden enviar a través de la
VPN, sino tambien los protocolos de capa 3 como SPX / IPX de
NetWare, AppleTalk y NetBEUI. Debido a que en modo bridge, Los
datos de ethernet son transmitidos a traves de la VPN, es posible
utilizar para los clientes remotos VPN, el mismo servidor DHCP que
se utiliza para la continuación de LAN.

• En último análisis, el enfoque de OpenVPN parece robusto, porque
no sólo utiliza los algoritmos de cifrado más fuertes disponibles en
las bibliotecas de OpenSSL, sino también porque los
desarrolladores son cuidadosos acerca de la calidad del código.
Esto hace de OpenVPN un software seguro y estable mediante la
reducción de la presencia de agujeros de seguridad.



OpenVPN web interface

Configuración VPN por defecto de host a LAN con OpenVPN:

La configuración por defecto hace que sea muy facil empezar a usar la
VPN. Para empezar a usar VPN en zeroshell e iniciar el proceso OpenVPN
para escuhar las conexiones entrantes haga clic en [VPN] -> [host-a-LAN
(OpenVPN)] (ver la imagen).

Para la configuración rápida del cliente, utilice la configuración
zeroshell.ovpn, disponible en la sección de descargas. Los parámetros
especificados en este fichero reflejan la configuración por defecto de la
VPN, y sólo la dirección IP y el nombre de host necesitan ser cambiados
para conectarse. Para más información sobre la configuración del
cliente de VPN, consulte el siguiente How-To.
Las características de la configuración por defecto, junto con las razones
de esta elección, La siguiente imagen de la configuración de OpenVPN
puede ser útil como un resumen.

• OpenVPN le permite seleccionar el protocolo de transporte UDP o
TCP en el tunel SSL cifrado. Zeroshell utiliza TCP por defecto, ya
que rápidamente se volverá a negociar la conexión VPN si
aparecen problemas de conectividad. Por el contrario con UDP,
cuando el servicio ha caído, cliente y servidor sólo vuelven a
intentar la conexión después de un cierto número de segundos
establecido por el parámetro --ping-restart n. Un factor determinante
en el uso de TCP fue por el hecho que los puertos TCP son a
menudo menos bloqueados por los cortafuegos que los UDP.

• Además del protocolo, el puerto en el que se aceptan las

conexiones de cliente también puede ser seleccionado. De forma
predeterminada, Zeroshell utiliza el puerto 1194 ya que este es el
oficial asignado por la IANA para OpenVPN.

• La autenticación se configura de manera que se autentican sólo
los nombres de usuario y contraseñas de los usuarios locales de
Zeroshell. Autenticación con certificados digitales X.509 o RADIUS
remoto o servidor de Kerberos 5 no es lo suficientemente intuitiva
para ser incluido en la configuración por defecto.

• Dado que la autenticación del cliente con X.509 está por defecto

desactivada, el servidor OpenVPN requiere un certificado con el fin
de establecer un canal cifrado con los clientes VPN. Por defecto,
este certificado es el que genera automáticamente en el primer
arranque de Zeroshell.

• De forma predeterminada, se ejecuta Zeroshell OpenVPN en modo

de enrutamiento en las direcciones IP de subred
192.168.250.0/255.255.255.0 y la puerta de enlace predeterminada
y DNS 192.168.250.254. Además, el NAT está activado por defecto
para evitar tener que configurar las rutas estáticas o tener que
habilitar el protocolo RIP versión 2 en los routers para llegar a los
clientes conectados en VPN.

• Por último, se habilita la compresión LZO y el cifrado del tráfico. Sin

embargo, estas dos características no pueden ser establecidas en
la interfaz web y, por tanto, no se pueden desactivar.

En este punto, después de haber echado un vistazo a la configuración
inicial de VPN to LAN, veremos cómo ajustar Zeroshell a nuestras
necesidades. Es obvio que el software OpenVPN tiene una configuración
muy flexible gracias a sus numerosos ajustes, pero que la interfaz web
de Zeroshell sólo permite un número limitado de ellos. En el intento de
evitar el problema, la página de configuración incluye un campo de línea
de comandos de configuración de parámetros, donde se pueden
introducir directamente en el proceso de OpenVPN.

OpenVPN, autenticación con usuario y contraseña

Uso de la selección de autenticación (ver imagen).

El método de autenticación se puede seleccionar usando, nombre de
usuario y contraseña única, certificado digital X.509 o ambos. Para la
autenticación con nombre de usuario y contraseña, diferentes fuentes se
pueden utilizar para verificar las credenciales. Zeroshell selecciona el
proveedor de autenticación correcto basado en el dominio indicado en el
nombre de usuario, que debe estar en formato de “nombre de
usuario@dominio”. Si el usuario no indica el dominio, Zeroshell utiliza el
dominio predeterminado cuya configuración se describe más adelante y
que en principio coinciden con la base de datos de usuarios locales. Las
fuentes de autenticación pueden ser “Kerberos 5”, “Kerberos realm in
cross authentication” con KDC local o RADIUS server externo. La
siguiente imagen muestra cómo configurar la autenticación de dominios.


sources de autenticación para OpenVPN

Haga clic en el botón [+] en el boton de autenticación de contraseña
para abrir un formulario que se utiliza para configurar el dominio de
aut