Cómo crear una VPN con OpenVPN
Descargar como PPTX, PDF0 recomendaciones390 vistas
El documento proporciona una guía sobre la configuración de OpenVPN, que permite conectar dos máquinas distantes como si estuvieran en la misma red local. Se abordan los pasos necesarios para crear una autoridad certificadora y generar certificados para el servidor y clientes, garantizando la comunicación segura entre ellos. Además, incluye indicaciones sobre cómo modificar archivos de configuración y validar la conexión de las máquinas.
![Creación de nuestro ambiente con OpenVPN
• Ejecutar vars.bat
• > vars.bat
• Luego crear la CA
• > build-ca
• Hacer <enter> cada vez que el script pregunte confirmar (debería
mostrar la configuración del vars.bat que hicieron) EXCEPTO…
• Para la pregunta Common Name colocar el nombre de la VPN (o un
nombre que identifique a su VPN)
• > Common Name (e.g. your name or your server’s hostname [changeme]: MiEmpresaVPN
21](https://image.slidesharecdn.com/vpn-160513092949/85/Como-crear-una-VPN-con-OpenVPN-21-320.jpg)
![Creación de nuestro ambiente con OpenVPN
• Ahora creamos el certificado del servidor
• > vars.bat
• > build-key-server server
• Hacer <enter> cada vez que el script pregunte confirmer (debería
mostrar la configuración del vars.bat que hicieron) EXCEPTO…
• Para la pregunta Common Name colocar el nombre de la VPN (o un
nombre que identifique a su VPN)
• > Common Name (e.g. your name or your server’s hostname [changeme]: MiServerVPN
22](https://image.slidesharecdn.com/vpn-160513092949/85/Como-crear-una-VPN-con-OpenVPN-22-320.jpg)
![Creación de nuestro ambiente con OpenVPN
• Ahora creamos el certificado del cliente:
• hacer esto para CADA cliente que se desee conectar a la VPN
• > vars.bat
• > build-key <nombre unico del cliente>
• Hacer <enter> cada vez que el script pregunte confirmar (debería
mostrar la configuración del vars.bat que hicieron) EXCEPTO…
• Para la pregunta Common Name colocar el nombre único del cliente,
por ejemplo MiClientePC1
• > Common Name (e.g. your name or your client’s hostname [changeme]: MiClientePC1
25](https://image.slidesharecdn.com/vpn-160513092949/85/Como-crear-una-VPN-con-OpenVPN-25-320.jpg)
Cómo crear una VPN con OpenVPN
- 1. Con OpenVPN Vladimir Calderón vladimir.calderon@artexacta.com / vladimir.calderon@gmail.com VPN
- 2. | www.artexacta.com VPN • Conectar dos maquinas distantes como si estuvieran en la misma LAN • Las dos maquinas terminan con IPs de la misma red, aún cuando están potencialmente separadas por miles de km (wtf?) • Figura extraída del sitio de CISCO mostrando muchas de las posibilidades de conexión para una VPN 2
- 3. | www.artexacta.com En la práctica, y para que se entienda Mi laptop, en casa Una máquina en algún lugar del mundo con una IP pública ANTESDELAVPN Mi laptop, en casa? O en …. algún mundo virtual? Ahora esa máquina también en el mismo mundo virtual? DESPUÉSDELAVPN 3
- 4. | www.artexacta.com Con tan bello motivo • Se pueden hacer ping entre las dos máquinas • Se puede compartir archivos en una carpeta compartida • Se puede imprimir en la impresora de la otra máquina 4
- 5. Para todo efecto es como si las dos máquinas estuviesen lado a lado conectadas con un cable de red VPN 5
- 6. Y cómo hacemos esta maravilla? 6
- 7. Este manual asume que has elegido … y que lo has instalado!! 7
- 8. 8
- 9. De los mejores manuales en Internet • https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide • https://www.youtube.com/watch?v=BAr- 9zz2JJo&list=PLemAn0rripdAJJSJRuT7IC7cFtsbBW6gJ&index=7 9
- 10. Recapitulando la teoría 1. Tenemos tareas que hacer para prepararnos como servidor VPN, la principal es la de poder COMPROBAR que los clientes son quienes dicen ser. 2. Cada entidad debe tener los certificados y llaves que necesita para la comunicación 3. Al momento de iniciar la comunicación ambas partes pueden probar inequívocamente de quién se trata al otro lado. 10
- 11. 1. Tareas previas a realizar en el servidor VPN • Crear Autoridad Certificadora • Crear el certificado del servidor • Crear cada uno de los certificados de los clientes • Enviarlos por un canal seguro para que no hayan problemas de seguridad 11
- 12. Por qué Autoridad Certificadora? • La función que tiene es la de COMPROBAR que los certificados que llegan han sido realmente emitidos por esa autoridad certificadora. • Es lo más parecido a la oficina de carnets de identidad/DNI de un país. • La única forma de comprobar que el carnet/DNI es válido es ir a la oficina de carnets/DNI y verificar que ese carnet/DNI fue de verdad emitido. 12
- 13. Configuración de certificados • A la derecho se ven los archivos que se deben tener de cada lado • La regla general es: • Al enviar un mensaje se puede firmar con un Certificado o con una llave privada (PK). • Si se cerró con una PK, entonces se abre con un certificado. • Si se cerró con un certificado, entonces se abre con una PK 13
- 14. Conexión del cliente al servidor (Handshake) 1. El cliente se conecta al servidor con un mensaje indicando quién es. 14
- 15. Conexión del cliente al servidor (Handshake) 1. a 2. El mensaje debe estar firmado con la PK del cliente 15
- 16. Conexión del cliente al servidor (Handshake) 1. D 2. D 3. El servidor recibe el mensaje y lo abre con el certificado del cliente 16
- 17. Conexión del cliente al servidor (Handshake) 1. a 2. A 3. a 4. Si logra abrirlo, entonces quiere decir que ha COMPROBADO que el mensaje viene de verdad de parte del cliente. 17
- 18. Creación de nuestro ambiente con OpenVPN • OpenVPN viene con el software easyRSA que ayuda a la creación de certificados. • Con easyRSA vamos a definer correctamente las variables de Sistema • Vamos a generar los archivos para hacer nuestra CA • Vamos a generar los certificados de servidor firmados por la CA. • Vamos a generar cada uno de los certificados de los clientes firmados por la CA. 18
- 19. Creación de nuestro ambiente con OpenVPN • Ejecutar cmd (línea de comando DOS) como Administrador • Cambiarse a la carpeta de instalación por ejemplo • > cd Program FilesOpenVPN • > cd easy-rsa • Ejecutar init-config para que podamos tener un archivo de config (vars.bat) para cambiar • > init-config.bat 19
- 20. Creación de nuestro ambiente con OpenVPN • Editar el archivo vars.bat en las líneas: • set KEY_SIZE=2048 • set KEY_COUNTRY=BO • set KEY_PROVINCE=SC • set KEY_CITY=Santa Cruz • set KEY_ORG=MiEmpresaVPN • set KEY_EMAIL=minombre@miempresa.com • set KEY_CN=changeme • set KEY_NAME=changeme • set KEY_OU=changeme Se coloca en dos letras el país para el cual es esta VPN. La lista de países con sus códigos se puede ver aquí: https://en.wikipedia.org/wiki/ISO_3166- 1_alpha-2 Por defecto está en 1024, se aconseja utilizer algo de por lo menos 2048 20
- 21. Creación de nuestro ambiente con OpenVPN • Ejecutar vars.bat • > vars.bat • Luego crear la CA • > build-ca • Hacer <enter> cada vez que el script pregunte confirmar (debería mostrar la configuración del vars.bat que hicieron) EXCEPTO… • Para la pregunta Common Name colocar el nombre de la VPN (o un nombre que identifique a su VPN) • > Common Name (e.g. your name or your server’s hostname [changeme]: MiEmpresaVPN 21
- 22. Creación de nuestro ambiente con OpenVPN • Ahora creamos el certificado del servidor • > vars.bat • > build-key-server server • Hacer <enter> cada vez que el script pregunte confirmer (debería mostrar la configuración del vars.bat que hicieron) EXCEPTO… • Para la pregunta Common Name colocar el nombre de la VPN (o un nombre que identifique a su VPN) • > Common Name (e.g. your name or your server’s hostname [changeme]: MiServerVPN 22
- 23. Creación de nuestro ambiente con OpenVPN • Mover los archivos ca.crt, server.crt, server.key y dh2048.pem a la carpeta de configuración de OpenVPN. • Asegurarse que esos archivos se encuentran en la carpeta:" 23
- 24. Creación de nuestro ambiente con OpenVPN • En la carpeta C:Program FilesOpenVPNsample-config se encuentra el archivo • server.ovpn • Copiar ese archivo a la carpeta de configuración C:Program FilesOpenVPNconfig • Identificar en el archivo las líneas y definirlas de acuerdo a esto: • port 1194 • ca "C:Program FilesOpenVPNconfigca.crt" • cert "C:Program FilesOpenVPNconfigserver.crt" • key "C:Program FilesOpenVPNconfigserver.key" • dh "C:Program FilesOpenVPNconfigdh2048.pem" 24
- 25. Creación de nuestro ambiente con OpenVPN • Ahora creamos el certificado del cliente: • hacer esto para CADA cliente que se desee conectar a la VPN • > vars.bat • > build-key <nombre unico del cliente> • Hacer <enter> cada vez que el script pregunte confirmar (debería mostrar la configuración del vars.bat que hicieron) EXCEPTO… • Para la pregunta Common Name colocar el nombre único del cliente, por ejemplo MiClientePC1 • > Common Name (e.g. your name or your client’s hostname [changeme]: MiClientePC1 25
- 26. Creación de nuestro ambiente con OpenVPN • Mover el archivo miclientepc1.crt a la carpeta de configuración de OpenVPN. 26
- 27. Creación de nuestro ambiente con OpenVPN • Mover los archivos ca.crt, miclientepc1.crt, miclientepc1.key a la carpeta de configuración de OpenVPN. • Asegurarse que esos archivos se encuentran en la carpeta:" 27
- 28. Creación de nuestro ambiente con OpenVPN • En la carpeta C:Program FilesOpenVPNsample-config se encuentra el archivo • client.ovpn • Copiar ese archivo a la carpeta de configuración C:Program FilesOpenVPNconfig • Cambiar el nombre del archivo a miclientepc1.ovpn • Identificar en el archivo las líneas y definirlas de acuerdo a esto: • Server <nombre o IP servidor> 1194 • ca "C:Program FilesOpenVPNconfigca.crt" • cert "C:Program FilesOpenVPNconfigmiclientepc1.crt" • key "C:Program FilesOpenVPNconfigmiclientepc1.key" 28
- 29. Probando si todo va bien: SERVIDOR • En el server ejecutar OpenVPN haciendo clic en el ícono de escritorio. • Luego, en el ícono de las tareas hacer doble-clic para que ‘arme’ la VPN 29
- 30. Probando si todo va bien: CLIENTE • En el cliente ejecutar OpenVPN haciendo clic en el ícono de escritorio. • Luego, en el ícono de las tareas hacer doble-clic para que se conecte al servidor 30
- 31. Ambiente funcionando y conectado • En ambas máquinas se puede evidenciar el buen funcionamiento al ver las siguientes figuras. • Usted puede testear el ping como se indica al principio de esta presentación 31