You are here: Home » Blog » Linux » OpenVPN con IPFire – Parte 1

OpenVPN con IPFire – Parte 1

Aprovechando que el próximo sábado estaremos dictando con @IngLenho  el curso  Seguridad perimetral con software libre  y que en los foros @armandoa04 me ha preguntado como conectarse desde un host a una red remota mediante una VPN utilizando IPFire/IPCop, escribiré una serie de artículos para explicar el proceso de configuración de OpenVPN.

IPFire es una solución de software libre que integra servicios de Firewall, Proxy, VPN, DNS, DHCP, IDS, entre otros. Existen otras alternativas a IPFire de las cuales hablamos en el Barcamp SE en Bogotá durante la charla Defendiendo nuestra red con Software Libre.

¿Y esto para que sirve?

Pensemos en el siguiente escenario: el señor X pertenece a la compañía X. El señor X debe salir a un viaje de negocios y por algún motivo necesita ingresar a un documento que está en un servidor de la red de la compañía X, o necesita ingresar a una de las plataformas de reportes o inventarios  a las cuales solo puede acceder desde la red LAN de la organización X. Existen varias formas de conectarse remotamente, como ingresar por Team Viewer u otro sistema de escritorio remoto, pero esto es bastante inseguro. En la gran mayoría de las redes, para facilitar este tipo de acceso se utilizan las populares VPN.

Para ayudarle al señor X  y aprovechando que la organización X confía en el software libre, vamos a configurar una VPN Host to LAN para que el señor X pueda acceder a las aplicaciones y documentos que requiere, sin importar el lugar en donde se encuentre y de manera segura.

En esta primera parte, configuraremos el servicio OpenVPN en IPFire, el procedimiento es exactamente igual en IPCop.

 

Configuración del servicio OpenVPN

Ingresamos a la interfaz de administración web de nuestro firewall, vamos a la sección Servicios y en el menú de la derecha ingresamos a OpenVPN.

Allí encontramos los siguientes campos:

Local VPN Hostname/IP : Aquí colocamos la dirección IP pública o nombre de host de nuestro firewall.
OpenVPN Subnet: La subred que asignaremos para los nodos que se conecten por OpenVPN.
OpenVPN Device: El tipo de interfaz virtual. TUN crea una VPN en capa 3 y TAP una VPN en capa 2. TUN suele ser lo apropiado y es la opción predeterminada.
Destination Port: El puerto por el que escuchará el servicio de OpenVPN. El predeterminado es 1194.
Protocolo: El protocolo que usará el servicio puede ser UDP o TCP. El predeterminado es UDP (y no es buena idea escoger TCP: http://sites.inka.de/bigred/devel/tcp-tcp.html).
MTU Size: Unidad máxima de transferencia en bytes.
Encryption: En este campo seleccionamos el esquema de cifrado que utilizará el servicio OpenVPN. Les recomiendo leer sobre los algoritmos de cifrado disponibles para tener un criterio de selección de las opciones.

Una vez hayamos llenado todos los campos, salvaremos la configuración (botón Save). Más adelante veremos las opciones avanzadas.

 

Creación de Certificados

Antes de iniciar el servidor OpenVPN se deben crear los certificados para el servidor. Este proceso se realiza solo la primera vez que configuramos el servidor OpenVPN. Allí debemos diligenciar el siguiente formulario y dar clic sobre el botón Generate root/host certificates.

Al generar los certificados veremos en la sección Certificate Authorities 2 certificados con la información suministrada.

Una vez creados los Certificados, iniciamos el servidor OpenVPN.

El estado del servicio debe aparecer como se muestra en la siguiente imagen:

Si el servidor está ejecutándose correctamente, podremos crear nuestro primer cliente OpenVPN.

 

Creación cliente OpenVPN

En la sección Client status and control, agregaremos un cliente OpenVPN dando clic en el botón Add.

Debemos diligenciar el siguiente formulario:

Al crear el certificado debemos ver algo como esto:

Allí veremos el Nombre, el Tipo de Cliente, el periodo de validez del certificado, el estado de la conexión y una serie de acciones disponibles.
En la sección Action aparece un icono de un diskette con un símbolo naranja (el de OpenVPN). Al dar clic sobre éste, podremos descargar los certificados que entregaremos a nuestro cliente OpenVPN: el señor X, ya sea por correo electrónico o por otro medio. Es importante resaltar que el certificado va cifrado con una contraseña, la cual se le debe dar a conocer al señor X por un medio seguro.

En la próxima parte de este artículo veremos la configuración que debe realizar el señor X en su computador con Windows 7 y  las reglas de firewall que debe crear el administrador del firewall para que el señor X pueda acceder a la información que necesita.

¡Saludos!

Founder of http://hotfixed.net - Co-Founder of @BusyToneGroup and @S3cT0 | Penetration Tester | Security Consultant | Linux | VoIP

http://hotfixed.net

6 Comments

  1. que mas un cordial saludo Daniel y a toda la comunidad de Hostfixed, gracias por su colaboracion en este tema de suma importancia hoy en ia para todos aquellos que nos estamos metiendo en el mundo de la administracion en redes sobre plataformas de software libre.

    que grato contar con una plataforma como Hotfixed que esta atenta a las peticiones de sus usuarios, espero que se siga con este tema y mas que traten sobre la seguridad.

    soy de cartagena y la verdad es que soy un seguirdor fiel de este sitio web.

  2. que mas daniel he seguido el primer articulo de IPFIRE, utilizando DNS DINAMICO (NO-IP), me falta la segunda parte que trataria sobre la configuracion del cliente vpn y la conexion del mismo.

    espero pronto este articulo.

  3. Muchas gracias Dani por tomarte el tiempo en instruirme tanto a mi como a toda la comunidad, felicidades por el tema.

    Saludos y seguimos en contacto.

Comments are closed.