Tunel VPN Endian Conexión Virtual IPSEC
description
Transcript of Tunel VPN Endian Conexión Virtual IPSEC
Tunel VPN endian conexión virtual IPSEC, the green bow
Túnel VPN conexión virtual IPsec
En esta entrada, configuraremos un túnel virtual para conectarnos a una red LAN desde un host en la WAN por medio de OpenVPN y una conexión virtual con IPsec, todo esto lo haremos con endian firewall, y para el cliente utilizaremos the green bow. VPN (Virtual private network) Red privada virtual, es una tecnología de red que nos permite realizar una conexión de una red local a una red publica, como por ejemplo conectarnos desde nuestro hogar a nuestra oficina a través de internet, con unas características esenciales tales como la autenticación, la integridad y la confidencialidad sin olvidar el no repudio ( verificación de firma). Algunos tipos: VPN de acceso remoto: es una de las conexiones mas comunes, un ejemplo de esta seria una conexión desde nuestro hogar a nuestra oficina mediante internet. VPN punto a punto: esta conexión podría ser implementada por ejemplo cuando queremos conectar varias oficinas remotas de una sede en particular entre si, mediante un túnel permanente en internet. IPsec Son varios protocolos que actúan en la capa 3 del modelo OSI, implementando seguridad, en este caso a los túneles vpn, se encarga de autenticar usuarios, cifrar datos enviados, en resumen permitir una conexión virtual segura. Software's: OpenVPN Es un software que permite realizar conexiones virtuales con autenticación de usuarios y host remotos, lo utilizaremos en el servidor, y OpenVPN Client para el cliente fuera de la LAN. The Green Bow Es un software que ofrece soluciones de seguridad y actúa como Cliente VPN, lo instalaremos en el cliente remoto en la WAN.
Direcciones: LAN: 192.168.100.0 /24 WAN: 192.168.10.0 /24 Rango OpenVPN: 192.168.100.129 - 192.168.100.190 Endian Firewall VPN Gateway LAN: 192.168.100.1 Endian Firewall VPN Gateway WAN: 192.168.10.1 Cliente Servidor en LAN: 192.168.100.2 Cliente remoto IP WAN: 192.168.10.159 Cliente remoto IP LAN mediante OpenVPN: 192.168.100.130 La instalación de Endian Firewall es bastante sencilla y como en entradas anteriores ya esta explicada, no la agregaremos a esta entrada, pero por si las dudas anexo este link con la isntalacion y configuracion del mismo. Link: http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html
Configuraciones
OpenVPN
En la barra de manu de endian, ingresaremos a VPN
Una vez allí en Servidor OpenVPN activaremos el servidor, y le daremos el rango de ip disponibles de la LAN que entregara a nuestros clientes VPN.
Luego ingresamos a Cuentas donde crearemos el usuario con el que nos conectaremos, le damos el nombre y la contraseña, y en Empujar solo estas redes, damos la dirección de la
LAN pero esto es opcional, y le damos guardar.
Una vez creado nuestro usuario lo podemos visualizar en Configuracion de la cuenta, alli nos aparece un link de descarga el cual contiene nuestro certificado CA, lo descargaremos y lo
copiaremos en una maquina cliente VPN.
Lo copiamos en el cliente.
Continuando con la configuración, ingresamos a Avanzado, donde configuraremos el puerto (1194) y el protocolo (UDP), le damos guardar y reiniciar.
En opciones global de envío de parámetros, agregaremos la dirección de nuestro servidor aunque esto es para un DNS, nosotros no tenemos servidor de nombres pero igual
pondremos la dirección del gateway de LAN de nuestro servidor endian.
En la configuración de autenticación le diremos que es tipo PSK (usuario/contraseña), le damos guardar y reiniciar.
Ahora miraremos cual es la dirección de gateway por el que les servidor endian sale a la WAN, ingresamos a Sistema, buscamos Enlaces activos y la miramos, en nuestro caso es la
192.168.10.124, esto es para saber a que gateway se dirigira el cliente.
Ahora desde la maquina cliente descargaremos y configuraremos OpenVPN para la conexion, lo podemos descargar de:
http://openvpn.net/index.php/open-source/downloads.html
Una vez descargado, lo instalamos, la instalación es sencilla no requiere configuraciones, nos
dirigiremos la carpeta de ejemplos de configuración del OpenVPN, ubicada en: Mi PC, Disco local C, Archivos de programa, OpenVPN, sample-config.
Allí buscaremos el archivo client, y lo abriremos con wordpad, lo editaremos, click derecho abrir con, y buscamos wordpad.
Una vez terminado de editar el archivo client, lo copiaremos en la carpeta config.
Ahora copiaremos el certificado en la carpeta config, ubicada en la carpeta OpenVPN, (en el
pantallaso podemos ver la ruta completa)
En la conexión suele surgir un problema de falla de conexión, es porque falta generar la llave, ingresaremos a Inicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN
key.
Esto nos generara una llave llamada key en la carpeta config.
Ahora abriremos el OpenVPN GUI y nos saldrá un icono en la barra inferior del equipo le damos click derecho, Connect.
Ahora nos loggearemos con el usuario que creamos anteriormente en el servidor endian VPN.
usuario: daniel contraseña: sena.123
Ahora tenemos conexion con el servidor mediante OpenVPN.
Como lo verificamos? ingresamos a la consola de administración y hacemos un ipconfig, veremos como nos asigno un nuevo adaptador de red con la ip del rango que asignamos al
principio la 192.168.100.129.
Y vemos que el icono paso de rojo a verde, la conexión es exitosa.
Tunel IPSEC
ingresamos al servidor nuevamente a VPN.
ingresamos a IPsec y activamos el servicio, le damos guardar.
En Estado y control de conexión añadiremos una nueva conexión, un nuevo túnel, le damos añadir.
El tipo de conexion sera VPN tipo host-to-net (roadwarrior).
En la configuración solo agregaremos el nombre y lo activaremos los demás parámetros los dejamos como están, a no ser de que queramos hacer otro tipo de configuración, como por
ejemplo cambiar la acción de cuando se cae el túnel.
En Autenticación la haremos por palabra clave compartida, la primera opción, en caso tal de que queramos hacerlo por certificado, también están las opciones para subirlo, o generar uno,
y le damos guardar.
En avanzadas, podemos elegir el tipo de encriptacion, los grupos IKE entre otros parámetros de cifrado.
Una vez creada la conexión vemos que el estado del tunel es CERRADO.
Configuracion del cliente
Software: The Green Bow (VPN Client)
Este software lo podemos descargar de:
http://www.thegreenbow.com/es/vpn_down.html Una vez descargado e instalado the green bow, lo configuraremos, la instalación no requiere configuraciones, por eso no la agregue en esta entrada, después de
instalarlo nos creara el acceso directo en el escritorio, lo abrimos y vemos que nos despliega un icono en la barra inferior de nuestra maquina, le damos click derecho e ingresamos al panel
de configuración.
En este panel agregaremos las fases, que son como las reglas para el VPN y el tunel, le damos click derecho en Configuracion de VPN, Nueva Fase1.
Esto nos creara una Fase llamada Gateway, alli configuraremos en la pcion Gateway Remoto la direccion del gateway del servidor por el que sale a la WAN, la que vimos en pasos
anteriores, la 192.168.10.124 este es el gateway, en Autenticación seleccionamos la opción Llave secreta, o si lo hicimos por certificado seleccionamos certificado y lo subimos, como lo hicimos por palabra clave, pondremos la palabra clave que pusimos en la configuración de la
autenticación de la conexión, nuestra palabra es 1234567890, y en el IKE el tipo de criptografía que seleccionamos también en las opciones avanzadas de la configuración de la
conexión.
Ahora crearemos el tunel, le damos en gateway click derecho, Nueva Fase2.
Esto nos creara la segunda fase llamada Túnel, allí en las Direcciones, el tipo de Dirección le diremos Dirección IP de Red, en Dirección de LAN remota, como su nombre lo especifica pondremos el gateway del servidor endian de la LAN la 192.168.100.1 con su respectiva
mascara, y en PFS el grupo ya sea el DH2 o el DH5 (esto lo seleccionamos en la configuración avanzada de la conexión en el servidor endian VPN).
Una vez configuradas las dos fases, le damos guardar y aplicar.
Vamos al icono de la barra inferior, y le damos Abrir tunel'Gateway-Tunnel'.
Si nuestras configuraciones están bien, y no tenemos problemas de conectividad entre maquinas, tendremos éxito en la conexión por IPsec, y nos saldrá Túnel abierto.
En el servidor nos dirigimos a IPsec, y vemos en estado y control de conexión, que nuestra conexión esta
abierta.
Si queremos ver los registros, los loggins, etc, ingresamos a Registros en la barra de menu.
Una vez alli, vemos una tabla con todos los registros que podemos ver, buscaremos el de OpenVPN.
Hacemos click en Muestra este registro únicamente, y vemos el registro, que podemos ver alli? por ejemplo la fecha, el usuario y la ip del cliente que se conecto al túnel.
Glosario
IKE (internet key exchange): es un protocolo que nos proporciona la seguridad en el protocolo IPsec, como un método de autenticidad, mediante llaves publicas o privadas. AES: es un estándar de cifrado muy utilizado en criptografia simétrica que funciona mediante un cifrado de bloques. Creo que estos son los términos mas desconocidos, cualquier inquietud por favor comentar y esperar respuesta gracias.
Problemas Errores
Estas configuraciones e instalaciones son bastante sencillas pero a veces resultan pequeños conflictos estas son algunas pautas en caso de algun posible error: * Verificar rangos de direcciones, en the green bow verificar que tengamos bien los gateways tanto de la LAN como de la WAN en las dos fases y que la maquina cliente pertenezca por al menos un adaptador de red a alguno de estas dos redes. * Muchas veces en el OpenVPN no agregamos el KEY el cual algunas veces es necesario para la autenticacion, ingresaremos a Inicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN key y esto nos generara la llave en la carpeta config del OpenVPN y la autenticacion y la conexion deberan ser exitosas.