Diana Openvpn

8/8/2019 Diana Openvpn

1/43

CONFIGURACION DEUNA RED VPN

OPENVPN

2010

Diana Marcela Quintero DuqueSENA

22/07/2010


2/43

2

CONTENIDO

Introduccin.. 3

Marco Terico.. 4

Desarrollo. 6

Configuracin de VPN con OpenVpn... 6

Instalacin y Configuracin del cliente VPN en Windows 14

Configuracin del Cliente... 16

Instalacin y configuracin Webmin. 22

Instalacin y configuracin de firewall shorewall 22

Instalacin y configuracin de openvpn+CA en Webmin...... 26

Instalacin y configuracin de cliente openvpn.. 36

Conclusiones 43


3/43

3

INTRODUCCION

En la extendida red del rea geogrfica del internet a miles de computadores interconectadospermitiendo a miles de usuarios hacer utilidad de cada uno de los servicios que ofrecen, perocomo se conectan las empresas que son de una misma organizacin, que estn a diferentesdistancias y se quien comunicar de una forma segura sin que nadie tenga acceso a suinformacin. ?

Para este tipo de conexiones existe una solucin las redes virtuales que son las que hoy enda nos garantiza mayor seguridad de las comunicaciones entre organizaciones o usuarios.

En este pequeo documento vamos a ver como se configuran este tipo de redes.


4/43

4

MARCO TEORICO

VPN: Es la red que permite la conexin de redes locales utilizando una redes publica como loes internet, haciendo utilidad de tneles garantizando mayor seguridad de transferencias dedatos.

COEXION REMOTA: Es una tecnologa que nos permite acceder a mi ordenador as estefuera de nuestro alcance.

SEGURIDAD PERIMETRAL: Se encarga de controlar y proteger todo el trfico o contenidode los puntos de entrada y salida de una conexin.

ROAD WARRIOR: Acceso remoto, conexin de usuarios o proveedores con la empresaremotamente desde cualquier lugar.

TUNNELING: Consiste en encapsular un protocolo de red sobre otro (protocolo de redencapsulador) creando un tnel dentro de una red de computadoras. Haciendo que elcontenido de los paquetes no se pueda ver.

SSL VPN: Permite que las conexiones por internet sean seguras, este acta sobre la capade transporte.

VPN appliance: es un equipo de seguridad con caractersticas de seguridad mejoradas quees mas cono sida como SSL.

VYATTA: Vyatta esta bajo Linux, preparado especialmente para realizar funciones de routeo,vpn, firewall e incluso para trabajar como maquina virtual.

PFSENSE: Firewall, router, punto de acceso inalmbrico, DHCP servidor, DNS del servidor,VPN.

IPCOP: Es un firewall de una distribucin de Linux.

SMOOTHWALL: Es una distribucin de Linux que nos permite proporcionar un firewall.

ISA SERVER: Permite proteger su las redes de las amenazas de Internet, adems deproporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos.

CERTIFICADOS DIGITALES: Es un documento que esta registrado ante un tercero queautoriza la vinculacin entre una entidad de un sujeto, una entidad y su calve publica.

PKI: Es una combinacin de hardware y software, polticas y procedimientos de seguridadque permiten la ejecucin con garantas de operaciones criptogrficas como el cifrado, lafirma digital o el no repudio de transacciones electrnicas, permite a los usuarios autenticarsefrente a otros usuarios y usar la informacin de los certificados de identidad, para cifrar ydescifrar mensajes, firmar digitalmente informacin, garantizar el no repudio de un envo, yotros usos.


5/43

5

L2TP: Crea un tnel utilizando PPP para enlaces telefnicos, este asegura nada mas lospuntos de finales del tnel, sin asegurar los datos del paquete.

IPSEC: Asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando ocifrando cada paquete IP en un flujo de datos.

INTRUSO INFORMATICO: Son aquellos que pretenden invadir la privacidad de nuestrodatos de la red o de mi ordenador.

MODELOS OSI: Es un marco de referencia para la definicin de arquitecturas deinterconexin de sistemas de comunicaciones.

NMAP: Es una herramienta open source, diseada para explorar y para realizar auditorias deseguridad en una red de computadoras.

ACL: Se trata de los permisos de acceso a determinados objetos o aplicaciones, estecontrola el trfico de las redes informticas.

PAT: Es una caracterstica de una red de dispositivo que traduce TCP o UDP comunicacionesentre los hosts de una red privada y los hosts en una red pblica.

NAT: Traducciones de direcciones IP que permite la transicin de datos entre redesdiferentes.

FORWARDING: Permite el reenvi de correo de una direccin a otra.

PPTP: Es un protocolo que fue diseado para la implementacin de un red privadaasegurando la conexin punto a punto.

SSH: protocolo que permite acceder a una maquina remota de una red.

WIRESHARK: Es un analizador de protocolos permite analizar el trfico de una red ysolucionar problemas.

Webmin: Es una herramienta administrativa va que nos permite la configuracin de variosservicios de red tales como firewall, servidor de correo, base de datos MYSQL, DHCP, DNSentre otros y muchos que puede soportar Webmin.

Enmascaramiento: Es una serie de normas que permite el envi y filtrado de datos entredos redes.

Shorewall: Es una herramienta de cdigo abierto cortafuegos para Linux que se basa en elNetfilter (iptables / ipchains) sistema integrado en el kernel de Linux, por lo que es ms fcilde manejar esquemas de configuracin ms compleja.


6/43

6

Netfilter/iptables: Herramienta libre que crear cortafuegos para Linux El componente mspopular construido sobre Netfilteres iptables, una herramientas de cortafuegos que permiteno solamente filtrar paquetes, sino tambin realizar traduccin de direcciones de red (NAT).

DESARROLLO

CONFIGURACION DE VPN CON OPENVPN

Primero descargamos el paquete con el siguiente comando como lo muestra la imagen.

> Apt-get install openvpn

El directorio de vpn que da en la siguiente ruta>cd /etc/openvpn/

Cuando damos ls vemos que no hay ningn archivo de configuracin
http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29http://es.wikipedia.org/w/index.php?title=Filtrador_de_paquetes&action=edit&redlink=1http://es.wikipedia.org/wiki/Traducci%C3%B3n_de_direcci%C3%B3n_de_redhttp://es.wikipedia.org/wiki/Traducci%C3%B3n_de_direcci%C3%B3n_de_redhttp://es.wikipedia.org/w/index.php?title=Filtrador_de_paquetes&action=edit&redlink=1http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29


7/43

7

Entonces vamos a una un directorio de ejemplos de pvn y copiemos los las siguientescarpetas.

> cd /user/share/doc/openvpn/examples/

Luego vamos a copiar los archivos de configuracin del nuestra vpn.

> cp -r easy-rsa /etc/openvpn/

>cp -r server.conf.gz /etc/openvpn/

Vamos al directorio de openvpn y descomprimimos el archivo server.conf.gz

>gunzip server.conf.gz

Vemos que ya tenemos el archivo de configuracin de nuestro servidor


8/43

8

Vamos a al directorio> cd easy-rsa/2.0

Para generar las variables que nos permiten crear nuestra entidad certificadora y loscertificados para el servidor y el cliente

a continuacin vamos a ejecutar las siguientes variables para borrar otros registros ycomenzar uno nuevo.

> ./clean-all>. ./vars

Ahora vamos a ejecutar la variable que nos permite crear nuestra entidad certificadora

>./build.ca

Ahora vamos a llenar los datos que nos piden, como lo muestra la siguiente imagen.


9/43

9

Vamos a crear los certificados, a continuacin creamos el cerficado del servidor con

>./build-key-server nom_server

Como lo muestra la imagen

Aqu nos muestra un resumen del certificado y nos va a preguntar que si estamos seguros dela configuracin y que si esta creado correctamente aceptamos con una y.


10/43

10

Luego creamos el certificado del cliente

Ejecutamos la variable

>./build-key nom_client

Llenamos los datos que nos piden como lo muestra la siguiente imagen


11/43

11

Aqu nos muestra el resumen de el certificado y aceptamos las preguntas que nos aparece.

Tambin vamos a generar el siguiente archivo que es el que nos permite generar cada unode los certificados creados.

>./build-dh

Vamos al directorio >/etc/openvpn/easy-rsa/2.0/keys/ y damos >ls para ver los certificadoscomo lo muestro en la imagen.


12/43

12

Vamos a copiar los certificados del servidor en el directorio de openvpn y los certificados del

cliente los pasamos al cliente marce.crt, marce.key y ca.crt

>cp -r diana.crt diana.key ca.crt /etc/openvpn/

Tambin copiamos el siguiente archivo

>cp dh1024.pem /etc/openvpn/

Vamos al directorio del openvpn y damos >ls para ver los archivos que copiamos

Ahora vamos a modificar el archivo de configuracin del openvpn.

Ejecutamos el comando

>nano server.conf

El archivo de configuracin tiene ms lneas pero en este caso solo deje las lneas quenecesitamos para la configuracin, entonces solo modificamos las lneas que nuestros en laimagen


13/43

13

y ahora vamos a comprobar que nos quedo correctamente con el siguiente comando. El cualnos permite ver cada una de las lneas que hemos configurado.

>openvpn - -config server.conf

No nos sali ningn error.

Reiniciamos el servicio de openvpn con:

>servicie openvpn restart

Al dar >ifconfigvemos que nos aparece una nueva interfaz llama tun esa es la interfaz de


14/43

14

tnel de nuestra VPN.

INSTALACION Y CONFEGURACION DEL CLIENTE VPN EN WINDOWS

Vamos a descargar el cliente vpn para nuestro Windows

http://sourceforge.net/projects/securepoint/

Despus de la descarga procedemos a la instalacin
http://sourceforge.net/projects/securepoint/http://sourceforge.net/projects/securepoint/http://sourceforge.net/projects/securepoint/


15/43

15

Damos siguiente y captamos la licencias y siguiente.

Seleccionamos el all usery damos siguiente


16/43

16

De aqu en adelante damos siguiente por que cada una de las configuraciones viene por

defecto.Esperamos que instale


17/43

17

Y vamos al final nos aparcera una ventana que nos dice que si queremos crear un nuevocliente y damos que si y ya hemos terminado con nuestra instalacin.

CONFIGURACION DEL CLIENTE

Ya despus de la instalacin nos a perece una ventana para crear en nuevo cliente vpn


18/43

18

En esta ventana damos en New para configurar la conexin con el servidor.

Vamos a poner la direccin del servidor vpn el puerto y el protocolo

Vamos a exportar los certificados.

Nota: este cliente reconoce solo los archivos en formato .cert .pem entonces debemoscambiarle la extensin a nuestros certificados.


19/43

19

Entonces damos en examinar y buscamos los certificados con la extensin que le dimos.

Quitamos la seleccin de ingreso con autenticacin y damos siguiente.

En la siguiente imagen siguiente nos muestra el resumen de la configuracin que le hicimosa nuestro cliente luego de esto damos en finalizar y que da la configuracin de nuestroscliente.


20/43

20

Luego damos en conectar y cuando nos conecte nos muestra la direccin ip que leasignamos a nuestro tnel vpn.


21/43

21

Para terminar de establecer nuestra conexin vpn vamos a comprobar que nuestro clientevea el servidor vpn dndole un ping a la direccin del servidor

>ping 10.11.0.1

Como podemos ver ya tenemos una conexin por VPN.


22/43

22

INSTALACIN Y CONFIGURACIN WEBMIN

DIAGRAMA SIMPLE DE LA REDPC LAN

IP: 172.16.10.20

WANLANCliente VPN

IP:192.168.1.54

DIRECTORIO ACTIVODNS

DHCPIP: 172.16.10.1

CENTOS + WEBMINFIREWALL

VPN

IP WAN192.168.1.50

IP LAN172.16.10.99

CONEXIN VPN

IP TUNEL VPN10.0.8.11

La instalacin de webmin podemos descargan el paquete de la pagina oficialhttp://www.webmin.com/download.html que necesitemos segn la distribucin que estemosutilizando en nuestro caso centos el paquete correspondiente es .rpm cuando haya acabadola instalacin podemos ingresar a webmin va web con la direccin del servidor o un localhost

por el puerto 10000 por donde escucha por defecto. Para ingresar entramos con el usuariode sistema y su respetiva contrasea.

INSTALACION Y CONFIGURACION DE FIREWALL SHOREWALL

Para la descargar de firewall shorewall desde la terminal ejecutamos los siguientescomandos.wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-4.0.11-2.noarch.rpm

wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-perl-4.0.11-

2.noarch.rpm

wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-2.noarch.rpm

luego este comando para la instalacin de de los paquetes descargados .
http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-2.noarch.rpmhttp://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-2.noarch.rpmhttp://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-2.noarch.rpmhttp://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-2.noarch.rpmhttp://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-2.noarch.rpmhttp://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-2.noarch.rpmhttp://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-4.0.11-2.noarch.rpm


23/43

23

rpm -ivh shorewall-perl-4.0.11-2.noarch.rpm shorewall-shell-4.0.11-2.noarch.rpm shorewall-4.0.11-

2.noarch.rpmLuego de haber instalado los paquetes de firewall shorewall ingresamos a webmin para suconfiguracin. Cuando ingresamos en red cortafuego shorewall podemos ver las opcionesque podemos modificar.

Ingresamos a zona de red le damos en editar manualmente nombramos las zonas de nuestrofirewall salvamos y regresamos al men principal del shorewall.

Ahora en interfaces de red a las zonas creadas anteriormente le asignaremos una interfazde red disponible en nuestro equipo salvar y regresar al men de shorewall.


24/43

24

Ahora en polticas por defecto aremos una cuantas como lo muestra la siguiente imagen.

Por el momento en reglar de cortafuego agregaremos una sola regla de acceso para permitirlas conexiones de los clientes vpn que se aran por el protocolo UDP y por el puerto 1194otras peticiones que se hagan al firewall por cualquier puerto y protocolo sern denegadaslas peticiones por las polticas por defecto.


25/43

25

Enmascaramientos de las interfaces red.


26/43

26

INSTALACION Y CONFIGURACION DE OPENVPN+CA

Lo primero que debemos hacer es descargar los paquetes necesarios para la instalacin yconfiguracin de este.Las libreras de openvpn el instalador .rpm y el modulo de webmin para openvpn.gz.Luego de la instalacin del paquete rpm de openvpn ingresamos va web a webmin los la

direccin del o con un localhost:10000 puerto por donde escucha.Podes encontrar lo archivos necesarios en esta url http://cid-32f370d43eacab36.office.live.com/self.aspx/Webmin-.Openvpn/webmin%20openvpn.tar

Cargaremos el modulo de la siguiente forma en webmin/configuracin de webmin mdulosde webmin.


27/43

27

Buscamos el modulo de openvpn para webmin que anteriormente hemos descargado y clicen instalar

Instalacin correcta, salimos de webmin dndole en view modules logs o reiniciar webmin.

Ingresar a webmin en servidores/openvpn+CA primero crearemos Certificacin Authority List .


28/43

28

Llenamos los campos con las debas parmetros se pueden hacer keys zize (bits) de1024,2048 y 4096 clic en salvar


29/43

29

Luego de esperar un buen rato por fin Certification Authority list damos en keys list.

Creamos la Key del servidor seleccionamos key Server server podemos por un tiempo

adecuado de expiracin de la key en das y le damos salvar.


30/43

30

Creamos la key del cliente adicionalmente podemos poner una password a esta key serverseleccionamos client.


31/43

31

Lista de llaves de entidad certificadora.


32/43

32

Clic en regresar a openvpn administration y ingresamos a VPN List clic en New VPN Server.

Aqu se define servidor de vpn colocndole en el nombre y el puerto por donde va escucharlas peticiones el modo si va hacer tnel o modo puente, asignarle el rango de direccin ipque le va dar a nuestros clientes VPN y las de mas configuraciones las podemos hacer a

nuestro gusto segn lo que necesitemos le puede otorgar mas seguridad a nuestra conexinVPN.Dndole yes o no las opciones que nos ofrece de configuracin con estas se


33/43

33


34/43

34

Salvar y se creara nuestra VPN Server List clic en client List para crear nuestros usuariosVPN.

New client podemos la direccin externa de nuestro servidor y salvar


35/43

35

Lista de clientes vpn dndole exportar nos dar un archivo .ZIP de todo lo necesario quenecesita el usuario para conectarse desde la extranet a la LAN de nuestra empresa.

Ahora para la entrega de este archivo hay varias formar una de ellas es entregarla

personalmente a cada unos de los usuarios y hacer varias talleres de cmo se debe instalary configurar el cliente VPN en la maquina que lo utilizaran o en cualquier otra, Enviarlo porcorreo a los usuarios y anterior mente a verles explicado su uso adicional mandarles adjuntoun manual paso a paso de lo que deben hacer para conectarse exitosamente a el PC de laempresa, uno de los mtodos que se nos ocurri era montar un ftp y hay montar los archivosde cada cliente aunque es un poco inseguro por un ataque as el y robarse estos archivosuna de las opciones menos seguras es permitir desde la extranet que puedan ingresar vaweb a webmin y que cada usuario entre y baje su certificado pero en caso de ataque a esta


36/43

36

podran tomar control de varios de nuestros servicios claro esta si los tenemos configuradoen el webmin en si son muchas posibilidades de entregar a cada usuario este .zip pero todosabra un gran o pequeo riesgo nosotros optamos por enviarlo por correo claro ya que esto lohacemos en modo de prueba no creo que pase algo raro.Bueno luego de a ver enviado los certificados a los cliente no se nos puede olvidar iniciarnuestro servicio de openvpn+CA dando start OpenVPN.

Emplo de envio certificado al cliente.

Configuracin del cliente VPN

Al recibir el correo junto a las indicaciones que hay que seguir procedemos a la ejecucin deestas.


37/43

37

Primero descargar openvpn de la url que nos enviaron descargamos en install.exe

Al descargar lo ejecutamos y procedemos a la instalacin en en mensaje de bienvenidad clicen next.

Aceptamos los trminos de la licencia clic en I Agree.


38/43

38

Los componentes que deseamos instalar en nuestro caso los que aparecen por defecto todo.


39/43

39

Segundo paso descargar el archivo comprimido con nuestro nombre y le damos extraer

Lo podemos extraer directamente a la siguiente ruta Mipc/archivos deprogramas/openvpn/config o tambin copiando la carpeta que sale del .Zip eninicio/todosprogramas/openvpn/shortcuts/openvpn configuration file directory

Shortcuts


40/43

40

Ya como tenemos instalado el openvpn en el icono del escritorio le damos doble clic parainiciar el servicio.

Al iniciar el servicio aparece un nuevo icono en la barra de herramientas damos clic derechoconectar.


41/43

41

Ahora nos pide la contrasea que le pusimos a la key de dicho usuario.

Sper segura

Y conectado exitosamente

Una prueba de fuego a ver si nuestra configuracin esta correcta intentar conectarnosremotamente a un equipo que se encuentra al otro lado de firewall

Y afortunadamente se conecto a nuestro equipo en la LAN iniciamos sesin


42/43

42

Y podemos trabajar tranquilamente desde la casa o desde cualquier parte del mundo.


43/43

CONCLUSIONES

Las conexiones vpn es una forma de permitir a usuarios de nuestra red que no estnconstantemente en las oficinas de trabajo, y necesitan acceder a su informacin desdecualquier parte de una forma segura y confiable en la que no expongan sus datos aterceros.

Tambin las VPN nos ayudan con la seguridad de nuestros datos de la empresa yaque podemos hacer que solo se permitan conexiones remotas (VPN) y no exponernuestros servidores a internet.

Es ms fcil y prctico hacer la instalacin de openvpn con webmin ya que tiene unainterfaz grafica ms amigable para administracin y gestin de los usuarios VPN.

Se recomienda entrar de una forma segura los certificados de los usuarios.

Diana Openvpn

Documents

Transcript of Diana Openvpn