OpenVPN: una solución VPN basada en SSL/TLS
1 recomendación2,915 vistas
Este documento describe OpenVPN, un software de código abierto para implementar VPNs basadas en SSL/TLS. OpenVPN usa el driver tun/tap para crear túneles virtuales y encapsular paquetes a través de un enlace virtual. Explica cómo instalar y configurar OpenVPN, incluyendo la creación de una PKI y certificados, y los pasos para establecer un servidor y clientes OpenVPN.
![Instalación
Muy sencilla; puede hacerse desde los repositorios o
descargando el tarball
● Descomprimimos el fichero:
tar xvzf openvpn-[version].tar.gz
● Nos movemos al directorio openvpn y compilamos e
instalamos:
./configure
make
make install](https://image.slidesharecdn.com/openvpn-100428094007-phpapp01/85/OpenVPN-una-solucion-VPN-basada-en-SSL-TLS-7-320.jpg)
![Establecer la VPN
● Para arrancar el servidor:
openvpn [server config file]
¡OJO! Hay que tener en cuenta varias cuestiones
importantes:
– Hay que abrir el puerto 1194 UDP (o el que se haya
configurado) en el firewall y redirigir la petición a la máquina
donde corra OpenVPN
– En la máquina OpenVPN hay que permitir las peticiones
entrantes a la interfaz tun/tap
● Para arrancar los clientes:
openvpn [client config file]](https://image.slidesharecdn.com/openvpn-100428094007-phpapp01/85/OpenVPN-una-solucion-VPN-basada-en-SSL-TLS-10-320.jpg)
OpenVPN: una solución VPN basada en SSL/TLS
- 1. OpenVPN Jesús Moreno León Alberto Molina Coballes Redes de Área Local Junio 2009
- 2. Introducción El proyecto OpenVPN desarrolla una implementación de VPNs basadas SSL/TLS Las razones de su desarrollo son las limitaciones y problemas de IPSec y el rápido desarrollo de SSL Se trata de un producto de software libre liberado bajo los términos de la GPL que fue creado por James Johan en el año 2001
- 3. Características principales ● El componente principal es el driver tun/tap utilizado para simular interfaces de red, que se encarga de levantar el túnel y encapsular los paquetes a través del enlace virtual ● Encriptación y autenticación con OpenSSL ● Utiliza un único puerto TCP o UDP → fácil para firewalls ● Multiplataforma → misma herramienta funcionando sobre distintos SO vs implementaciones diferentes de un mismo estándar en distintas arquitecturas ● Compresión de datos LZO
- 4. Algunos problemas ● No es compatible con IPSec, el estándar para soluciones VPN ● Comunidad no muy amplia ● Faltan dispositivos con clientes OpenVPN integrados COMPARATIVA: OpenVPN - IPSec
- 5. Modos de funcionamiento ● Modo túnel Emplea el driver tun y es utilizado para crear túneles virtuales operando con el protocolo IP ● Modo puente Utiliza el driver tap y es empleado para túneles que encapsulan directamente paquetes Ethernet. Se recomienda en las siguientes situaciones: – La VPN necesita encapsular protocolos no-IP – Se ejecutan aplicaciones que necesitan network broadcasts – No se cuenta con un servidor Samba y se necesita que los usuarios puedan navegar por los ficheros compartidos
- 6. Autenticación La autenticación de los extremos remotos de una conexión SSL/TLS está basada en el modelo de claves asimétricas RSA Los participantes intercambian sus claves públicas a través de certificados digitales X.509, que han sido firmados previamente por una Autoridad de Certificación en la que se confía
- 7. Instalación Muy sencilla; puede hacerse desde los repositorios o descargando el tarball ● Descomprimimos el fichero: tar xvzf openvpn-[version].tar.gz ● Nos movemos al directorio openvpn y compilamos e instalamos: ./configure make make install
- 8. Creación CA y certificados Para implementar una infraestructura OpenVPN es necesario configurar una PKI (public key infrastructure): ● Un certicado para la autoridad de certificación (CA) y una clave privada con los que firmar cada certificado de servidores y clientes ● Un certificado (clave pública) y una clave privada para cada servidor y cliente HOWTO
- 9. Creación de los ficheros de configuración La aplicación OpenVPN (de GNU/Linux) utiliza un único fichero de configuración donde se especifican los parámetros de túnel VPN SSL que se quiere establecer, y puede tener cualquier nombre Ejemplos de ficheros Parámetros comunes: ● auth alg ● key key_file ● proto protocol ● cipher alg ● log log_file ● port port ● comp-lzo ● remote IP ● server ip mask ● dev device ● ca cert_file ● verb level ● route ip mask ● tls-client ● tls-server
- 10. Establecer la VPN ● Para arrancar el servidor: openvpn [server config file] ¡OJO! Hay que tener en cuenta varias cuestiones importantes: – Hay que abrir el puerto 1194 UDP (o el que se haya configurado) en el firewall y redirigir la petición a la máquina donde corra OpenVPN – En la máquina OpenVPN hay que permitir las peticiones entrantes a la interfaz tun/tap ● Para arrancar los clientes: openvpn [client config file]
- 11. Establecer la VPN Si se instaló OpenVPN desde repositorio el instalador crea un script de inicio. Cuando se ejecuta, el script buscará ficheros .conf en el directorio /etc/openvpn e iniciará un demonio diferente de OpenVPN para cada fichero encontrado