OpenVPN usuarios remotos En esta guía explicaremos como conectar distintos tipos de dispositivos contra un IMT con una conexión de OpenVPN. WINDOWS SERVIDOR Accedemos al IMT por el puerto 8000, nos logueamos y clicamos sobre conectividad > OpenVPN. Antes de descargarnos el certificado tendremos que configurar las opciones básicas del servidor en nuestro IMT para ello pulsaremos sobre Usuarios Remotos. En la siguiente pantalla tenemos algunas opciones de configuración: 1-. En la parte superior derecha podremos definir el DNS, el Dominio y el Wins que podremos entregar o no. Para que la conexión de VPN entregue estos servicios tendremos que encender la bombilla de cada uno. 2-. En la parte izquierda definiremos la configuración básica de la conexión: 2.1-. El puerto de escucha del servicio, es necesario que este puerto este redirigido desde el router o modem proporcionado por la compañía telefónica hasta el IMT. 2.2-. El protocolo por el que escuchara el servicio. 2.3-. La IP del servidor, esta IP no se puede cambiar manualmente, pero cambiara en base al rango de IPs que nosotros definamos para el OpenVPN. 2.4-. El rango de IPs, definiremos el rango de IPs que entregara el servidor. IMPORTANTE dejar siempre las IPs 1 y 2 libres dentro del rango para que las adopte el servidor de OpenVPN. 1 2.5-. Opciones de conexión, en esta sección podremos definir configuraciones referentes al servidor. 2.5.1-. Podremos definir el tipo de conexión, es recomendable dejar la opción de “A través de certificado Cliente-Servidor”. Esta opción marcara el tipo de autenticación que usaran los clientes. 2.5.2-. “Por Usuario Nombre-Password”, podremos establecer un usuario y un password que se solicitará al momento de establecer la conexión. Para definir estos datos tendremos una sección en la parte superior que explicaremos más adelante. 2.5.3-. “Permitir múltiples clientes con mismo certificado”, al marcar esta opción, cada cliente no necesitará un certificado personalizado, podrán tener una genérico y usarlo al mismo tiempo. En el caso de querer controlar la IP de conexión de cada cliente esta opción deberá estar desmarcada. 2.5.4-. “Redirigir todo el tráfico del cliente a través del túnel”, marcando esta opción en el momento de conexión del cliente VPN, enrutaremos todo el tráfico producido por el mismo a través del túnel de VPN. 2.5.5-. “Asignación automática de rutas para acceso a todas las redes internas”, al marcar esta opción estableceremos rutas para que el cliente conectado tenga acceso a todas las redes internas gestionadas por nuestro IMT. En el caso de no marcar esta opción tendremos que definir cada una de las redes a las que permitiremos el acceso a los clientes conectados. 2.6-. En el caso de que hayamos desmarcado la última opción del apartado anterior o que necesitemos dar acceso a alguna red adicional gestionada por el IMT, tendremos que introducirla a través de este cajetín. Solamente tendremos que definir la red y la máscara de la misma y pulsar sobre el botón de “+” verde. 2 2.7-. Para poder asignar una IP a cada certificado tendremos que tener desmarcada la opción de “Permitir múltiples clientes con mismo certificado”. Para generar nuevos certificados con IPs personalizadas pulsaremos sobre el “+” verde y definiremos los siguientes datos: 2.7.1-. El certificado que establecerá la conexión. 2.7.2-. La IP que se le asignada al mismo. IMPORTANTE, esta IP tendrá que estar dentro del rango de IPs definido con anterioridad en la configuración del servidor. 2.7.3-. La IP/red de destino marcará el acceso del cliente dentro de las redes gestionadas por el IMT. 2.7.4-. Los Protocolos/Puertos marcarán en acceso a los distintos puertos dentro de la red marcada con anterioridad. IMPORTANTE, no es lo mismo que el puerto de conexión. 2.7.5-. Por ultimo tendremos que marcar si permitiremos la conexión con el botón Permitir/Denegar y activar la conexión con la bombilla. CLIENTE Una vez configurado el servidor con las opciones que hayamos elegido pasaremos a establecer la conexión desde cada uno de los ordenadores que vayamos a conectar a través del servicio de OpenVPN. Para la conexión de Windows tendremos que descargarnos e instalar el cliente de OpenVPN desde su web. > https://openvpn.net/index.php/open-source/downloads.html Tendremos que elegir un cliente en base a la versión de Windows que tengamos instalada. El método de conexión que utilizaremos será la conexión por certificado, para ello nos tendremos que descargar el mismo desde nuestro IMT. Para generar el certificado entraremos en la sección “Entidad Emisora Certificados (PKI)”. Para generar la primera conexión es recomendable generar una entidad emisora de certificados personal nueva. Para ello en la parte izquierda de la pantalla introduciremos los datos personales de la empresa donde se establecerá la conexión. 3 Una vez introducidos los datos generaremos la entidad emisora pulsando sobre el siguiente botón. El siguiente paso será generar los certificados con los que estableceremos las conexiones. Para ello introduciremos el nombre del certificado en el siguiente campo y pulsaremos sobre el “+” verde. Deberemos marcar también el tiempo de vigencia del certificado, este estará definido en días de conexión. Con el certificado generado procedemos a descargárnoslo, para ello pulsamos sobre el siguiente botón. Nos descargaremos un ZIP con todo lo necesario para establecer la conexión de VPN. En este punto tendremos el programa instalado en el ordenador y tendremos el certificado personal, lo único que nos queda es establecer la conexión. Para ello tendremos que descomprimir el ZIP que nos acabamos de descargar en la carpeta config de OpenVPN, pongo un ejemplo de la ruta, pero dependiendo del sistema operativo puede variar. C:\Program Files (x86)\OpenVPN\config Por ultimo lanzaremos la aplicación de OpenVPN, MUY IMPORTANTE ejecutarla como administrador ya que sino las rutas no se establecerán y el tráfico no se redirigirá hacia la conexión. Una vez lanzada la aplicación solo tendremos que conectar la conexión, en caso de tener más de una configuración de OpenVPN en el ordenador elegiremos la que queramos conectar. 4 Android e IOS La conexión de OpenVPN para Android, IOS y Mac es un poco diferente de la conexión para Windows. En el IMT la tenemos preparada para conectar por TUN en lugar de por TAP como está preparada la de Windows. SERVIDOR La configuración del servidor para este tipo de conexiones tienes menos opciones que la de Windows, esto es debido a que este tipo de conexión no permite definir algunas de las opciones anteriormente explicadas. Para la configuración de nuestro servidor tendremos que ir a la siguiente sección. En la misma podremos marcar el envío de DNS o WIN a través del túnel de la misma manera que lo hemos hecho en la sección de conexión de Windows. En este tipo de conexión no es adaptable el puerto de escucha del servicio, el protocolo o la IP del servidor, pero sí que podremos definir el método de encriptación que utilizaremos en las conexiones. Al igual que en la versión para Windows podremos marcar o desmarcar la opción de “Asignación automática de rutas para acceso a todas las redes internas”. Por ultimo podremos definir manualmente las redes a las que podrá acceder el cliente de OpenVPN una vez conectado. Esto lo haremos de la misma manera que lo hemos realizado en la sección del servidor de Windows. 5 CLIENTE Para la conexión de OpenVPN de Android, IOS y MAC utilizaremos el mismo programa, el OpenVPN connect. En cada plataforma podremos descargarlo en sus respectivos repositorios, en Android desde “google play” y en IOS y MAC lo podremos descargar desde App Store. Al igual que en la versión de Windows realizaremos la conexión por certificado, pero en este caso en lugar de tener ficheros separados todos los datos de la conexión estarán embebidos en el “.OVPN”. Para generarlo lo haremos de la misma manera que hemos explicado en el apartado anterior en la versión de Windows, la única diferencia será el ZIP que nos descargaremos. En este caso descargaremos la versión para móviles. Una vez descargado el certificado lo descomprimiremos y mandaremos por correo el fichero “.OVPN” a una cuenta a la que podamos acceder desde nuestro dispositivo móvil. Una vez descargado el .OVPN en el dispositivo móvil solo tendremos que acceder al OpenVPN connect e importarlo desde él mismo. Para ello pulsaremos en la parte superior derecha sobre “MÁS” en la misma “Inport” y luego elegiremos la opción donde tengamos guardado el fichero de .OVPN. Una vez realizado este procedimiento iniciamos la conexión y comprobamos que los accesos sean correctos. 6 Conexión por KEY Esta conexión está pensada para conexiones punto a punto desde un host hasta el IMT. A diferencia de las conexiones vistas anteriormente en este documento este tipo de conexión es individualizada y por lo tanto hay que reservar un puerto para cada conexión. Es muy similar a las conexiones de unión de delegaciones. Para configurar una conexión por KEY tendremos que situarnos en el apartado clientes remotos y pulsar en el siguiente botón. En la siguiente pantalla definiremos una conexión independiente para cada una de las conexiones que estableceremos contra el IMT. Para definir cada configurar cada una de las conexiones que hagamos, tendremos que definir un puerto de escucha (este puerto será independiente por cada conexión y tendrá que estar redirigido hacia el IMT desde el router colocado por la compañía telefónica), una key que elegiremos desde el desplegable azul (explicare más adelante como crearla) y un comentario opcional y dos IPs. Las IPs tendrán que ser correlativas y deberán de estar cruzadas en la configuración del IMT y del cliente que conecte con él mismo. Generación de KEY En la página general de OpenVPN del IMT tendremos el apartado “generación de KEYS”, lo único que tendremos que hacer es pulsar sobre el más “+” verde que encontraremos en la pantalla. Podremos nombrar a cada KEY con el nombre que consideremos oportuno pulsando sobre ella. Para establecer la conexión a través de una KEY el IMT no tiene un servicio automatizado como hemos podido ver en los dos apartados anteriores, pero en la entidad emisora de certificados podemos encontrar un ejemplo de una configuración para realizar una conexión por KEY llamado “Ejemplo conexión Android por key” (este fichero editable esta soportado para conexiones por key en Android y en Windows). 7