OpenVPN usuarios remotos

Anuncio
OpenVPN usuarios remotos
En esta guía explicaremos como conectar distintos tipos de dispositivos contra un IMT con una
conexión de OpenVPN.
WINDOWS
SERVIDOR
Accedemos al IMT por el puerto 8000, nos logueamos y clicamos sobre conectividad >
OpenVPN.
Antes de descargarnos el certificado tendremos que configurar las opciones básicas del servidor
en nuestro IMT para ello pulsaremos sobre Usuarios Remotos.
En la siguiente pantalla tenemos algunas opciones de configuración:
1-. En la parte superior derecha podremos definir el DNS, el Dominio y el Wins que podremos
entregar o no. Para que la conexión de VPN entregue estos servicios tendremos que encender la
bombilla de cada uno.
2-. En la parte izquierda definiremos la configuración básica de la conexión:
2.1-. El puerto de escucha del servicio, es necesario que este puerto este redirigido desde
el router o modem proporcionado por la compañía telefónica hasta el IMT.
2.2-. El protocolo por el que escuchara el servicio.
2.3-. La IP del servidor, esta IP no se puede cambiar manualmente, pero cambiara en base
al rango de IPs que nosotros definamos para el OpenVPN.
2.4-. El rango de IPs, definiremos el rango de IPs que entregara el servidor.
IMPORTANTE dejar siempre las IPs 1 y 2 libres dentro del rango para que las adopte el servidor
de OpenVPN.
1
2.5-. Opciones de conexión, en esta sección podremos definir configuraciones referentes
al servidor.
2.5.1-. Podremos definir el tipo de conexión, es recomendable dejar la opción de
“A través de certificado Cliente-Servidor”. Esta opción marcara el tipo de autenticación que
usaran los clientes.
2.5.2-. “Por Usuario Nombre-Password”, podremos establecer un usuario y un
password que se solicitará al momento de establecer la conexión. Para definir estos datos
tendremos una sección en la parte superior que explicaremos más adelante.
2.5.3-. “Permitir múltiples clientes con mismo certificado”, al marcar esta
opción, cada cliente no necesitará un certificado personalizado, podrán tener una genérico y usarlo
al mismo tiempo. En el caso de querer controlar la IP de conexión de cada cliente esta opción
deberá estar desmarcada.
2.5.4-. “Redirigir todo el tráfico del cliente a través del túnel”, marcando esta
opción en el momento de conexión del cliente VPN, enrutaremos todo el tráfico producido por el
mismo a través del túnel de VPN.
2.5.5-. “Asignación automática de rutas para acceso a todas las redes internas”,
al marcar esta opción estableceremos rutas para que el cliente conectado tenga acceso a todas las
redes internas gestionadas por nuestro IMT. En el caso de no marcar esta opción tendremos que
definir cada una de las redes a las que permitiremos el acceso a los clientes conectados.
2.6-. En el caso de que hayamos desmarcado la última opción del apartado anterior o que
necesitemos dar acceso a alguna red adicional gestionada por el IMT, tendremos que introducirla
a través de este cajetín. Solamente tendremos que definir la red y la máscara de la misma y pulsar
sobre el botón de “+” verde.
2
2.7-. Para poder asignar una IP a cada certificado tendremos que tener desmarcada la
opción de “Permitir múltiples clientes con mismo certificado”.
Para generar nuevos certificados con IPs personalizadas pulsaremos sobre el “+” verde
y definiremos los siguientes datos:
2.7.1-. El certificado que establecerá la conexión.
2.7.2-. La IP que se le asignada al mismo. IMPORTANTE, esta IP tendrá que
estar dentro del rango de IPs definido con anterioridad en la configuración del servidor.
2.7.3-. La IP/red de destino marcará el acceso del cliente dentro de las redes
gestionadas por el IMT.
2.7.4-. Los Protocolos/Puertos marcarán en acceso a los distintos puertos dentro
de la red marcada con anterioridad. IMPORTANTE, no es lo mismo que el puerto de conexión.
2.7.5-. Por ultimo tendremos que marcar si permitiremos la conexión con el botón
Permitir/Denegar y activar la conexión con la bombilla.
CLIENTE
Una vez configurado el servidor con las opciones que hayamos elegido pasaremos a establecer la
conexión desde cada uno de los ordenadores que vayamos a conectar a través del servicio de
OpenVPN.
Para la conexión de Windows tendremos que descargarnos e instalar el cliente de OpenVPN desde
su web. > https://openvpn.net/index.php/open-source/downloads.html
Tendremos que elegir un cliente en base a la versión de Windows que tengamos instalada.
El método de conexión que utilizaremos será la conexión por certificado, para ello nos tendremos
que descargar el mismo desde nuestro IMT.
Para generar el certificado entraremos en la sección “Entidad Emisora Certificados (PKI)”.
Para generar la primera conexión es recomendable generar una entidad emisora de certificados
personal nueva. Para ello en la parte izquierda de la pantalla introduciremos los datos personales
de la empresa donde se establecerá la conexión.
3
Una vez introducidos los datos generaremos la entidad emisora pulsando sobre el siguiente botón.
El siguiente paso será generar los certificados con los que estableceremos las conexiones. Para
ello introduciremos el nombre del certificado en el siguiente campo y pulsaremos sobre el “+”
verde. Deberemos marcar también el tiempo de vigencia del certificado, este estará definido en
días de conexión.
Con el certificado generado procedemos a descargárnoslo, para ello pulsamos sobre el siguiente
botón.
Nos descargaremos un ZIP con todo lo necesario para establecer la conexión de VPN.
En este punto tendremos el programa instalado en el ordenador y tendremos el certificado
personal, lo único que nos queda es establecer la conexión. Para ello tendremos que descomprimir
el ZIP que nos acabamos de descargar en la carpeta config de OpenVPN, pongo un ejemplo de la
ruta, pero dependiendo del sistema operativo puede variar.
C:\Program Files (x86)\OpenVPN\config
Por ultimo lanzaremos la aplicación de OpenVPN, MUY IMPORTANTE ejecutarla como
administrador ya que sino las rutas no se establecerán y el tráfico no se redirigirá hacia la
conexión.
Una vez lanzada la aplicación solo tendremos que conectar la conexión, en caso de tener más de
una configuración de OpenVPN en el ordenador elegiremos la que queramos conectar.
4
Android e IOS
La conexión de OpenVPN para Android, IOS y Mac es un poco diferente de la conexión para
Windows. En el IMT la tenemos preparada para conectar por TUN en lugar de por TAP como
está preparada la de Windows.
SERVIDOR
La configuración del servidor para este tipo de conexiones tienes menos opciones que la de
Windows, esto es debido a que este tipo de conexión no permite definir algunas de las opciones
anteriormente explicadas.
Para la configuración de nuestro servidor tendremos que ir a la siguiente sección.
En la misma podremos marcar el envío de DNS o WIN a través del túnel de la misma manera que
lo hemos hecho en la sección de conexión de Windows.
En este tipo de conexión no es adaptable el puerto de escucha del servicio, el protocolo o la IP del
servidor, pero sí que podremos definir el método de encriptación que utilizaremos en las
conexiones.
Al igual que en la versión para Windows podremos marcar o desmarcar la opción de “Asignación
automática de rutas para acceso a todas las redes internas”.
Por ultimo podremos definir manualmente las redes a las que podrá acceder el cliente de
OpenVPN una vez conectado. Esto lo haremos de la misma manera que lo hemos realizado en la
sección del servidor de Windows.
5
CLIENTE
Para la conexión de OpenVPN de Android, IOS y MAC utilizaremos el mismo programa, el
OpenVPN connect.
En cada plataforma podremos descargarlo en sus respectivos repositorios, en Android desde
“google play” y en IOS y MAC lo podremos descargar desde App Store.
Al igual que en la versión de Windows realizaremos la conexión por certificado, pero en este caso
en lugar de tener ficheros separados todos los datos de la conexión estarán embebidos en el
“.OVPN”.
Para generarlo lo haremos de la misma manera que hemos explicado en el apartado anterior en la
versión de Windows, la única diferencia será el ZIP que nos descargaremos. En este caso
descargaremos la versión para móviles.
Una vez descargado el certificado lo descomprimiremos y mandaremos por correo el fichero
“.OVPN” a una cuenta a la que podamos acceder desde nuestro dispositivo móvil.
Una vez descargado el .OVPN en el dispositivo móvil solo tendremos que acceder al OpenVPN
connect e importarlo desde él mismo. Para ello pulsaremos en la parte superior derecha sobre
“MÁS” en la misma “Inport” y luego elegiremos la opción donde tengamos guardado el fichero
de .OVPN.
Una vez realizado este procedimiento iniciamos la conexión y comprobamos que los accesos sean
correctos.
6
Conexión por KEY
Esta conexión está pensada para conexiones punto a punto desde un host hasta el IMT. A
diferencia de las conexiones vistas anteriormente en este documento este tipo de conexión es
individualizada y por lo tanto hay que reservar un puerto para cada conexión. Es muy similar a
las conexiones de unión de delegaciones.
Para configurar una conexión por KEY tendremos que situarnos en el apartado clientes remotos
y pulsar en el siguiente botón.
En la siguiente pantalla definiremos una conexión independiente para cada una de las conexiones
que estableceremos contra el IMT.
Para definir cada configurar cada una de las conexiones que hagamos, tendremos que definir un
puerto de escucha (este puerto será independiente por cada conexión y tendrá que estar redirigido
hacia el IMT desde el router colocado por la compañía telefónica), una key que elegiremos desde
el desplegable azul (explicare más adelante como crearla) y un comentario opcional y dos IPs.
Las IPs tendrán que ser correlativas y deberán de estar cruzadas en la configuración del IMT y
del cliente que conecte con él mismo.
Generación de KEY
En la página general de OpenVPN del IMT tendremos el apartado “generación de KEYS”, lo
único que tendremos que hacer es pulsar sobre el más “+” verde que encontraremos en la pantalla.
Podremos nombrar a cada KEY con el nombre que consideremos oportuno pulsando sobre ella.
Para establecer la conexión a través de una KEY el IMT no tiene un servicio automatizado como
hemos podido ver en los dos apartados anteriores, pero en la entidad emisora de certificados
podemos encontrar un ejemplo de una configuración para realizar una conexión por KEY llamado
“Ejemplo conexión Android por key” (este fichero editable esta soportado para conexiones por
key en Android y en Windows).
7
Descargar