Instalación de OpenVPN en

Windows7 Guía de Configuración Rápida

Salvador Pluma Tzontecomani

22001133 Versión: 3.0.1

Índice

1. Instalación de OpenVPN.....................................................................................................................1

2. Generación de claves .........................................................................................................................3

2.1. Visión general ........................................................................................................................3

2.2. Generación del certificado master (CA) y su clave ...............................................................4

2.3. Generación del certificado y clave privada para el servidor..................................................7

2.4. Generación del certificado y clave privada para los clientes.................................................7

2.5. Generación de los parámetros Diffie Hellman.......................................................................7

2.5. Archivos de claves.................................................................................................................8

3. Inicio de Servidor.........................................................................................................................8

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

1 1

Este documento describe cómo configurar OpenVPN en un entorno típico Casa-Oficina.

Dado el elevado número de asuntos relacionados para configurar firewalls, VPNs y NAT se tratará de describir la configuración de un sistema completo en lugar de describir únicamente la configuración de la VPN.

En nuestro ejemplo, tanto las redes privadas de Casa como la del Trabajo se unen a Internet por medio de dos puertas de enlace, cada una de las cuales tienen una dirección IP pública. Cada máquina que actua como puerta de enlace tiene dos interfaces de red, una conectada a la red privada y la otra conectada a Internet. Las puertas de enlace dan soporte a los servicios NAT, firewall y VPN para las máquinas de las redes privadas. Tanto la configuración de Casa como la de la Oficina son casi simétricas exceptuando que la Oficina tiene una dirección IP fija mientras que la de Casa tiene una dirección IP dinámica (DHCP).

Los ficheros de configuración de los siguientes ejemplos están también disponibles en el paquete de OpenVPN.

11.. II nnssttaallaacciióónn ddee OOppeennVVPPNN

Antes de Ejecutar el Servidor Gráfico OpenVPN es necesario reunir las siguientes características técnicas y seguir una serie de pasos. Posteriormente se ejecutará la aplicación ServidorVPN.exe del paquete InstaladorServidor proporcionado.

Requerimientos mínimos de hardware y software

� Windows XP , Windows vista, Windows 7 � Conexión a Internet

Para comenzar con OpenVPN necesitamos descargar el instalador para Windows de OpenVPN, el cuál puede obtenerse de la siguiente URL: http://openvpn.net/release/openvpn-2.0.9-install.exe

Figura 1. Descargar y guardar OpenVPN.exe

Esto probablemente nos instale el software de OpenVPN en el siguiente directorio:

C:\Archivos de Programa\OpenVPN

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

2 2

Mensaje Seguridad Nos aparecerá un mensaje de seguridad de Windows. Pulsamos sobre Instalar este software de controlador de todas formas.

Figura 2. Instalar controlador

Hemos completado la instalación. Pulsar sobre Next y posterios mente Pulsamos el botón Finish para dar por terminada la instalación. Una vez terminado el proceso de instalación debemos Ejecutar OpenVPN GUI como Administrador Este paso es MUY IMPORTANTE para el correcto funcionamiento de OpenVPN bajo Windows 7. Tenemos que ejecutar OpeVPN GUI (el programa que usaremos para conectar/desconectar de TUVPN) como Administrador para que OpenVPN funcione correctamente.

Para ello, vamos al menú de Inicio → OpenVPN → OpenVPN GUI, botón derecho y seleccionamos Propiedades.

Figura 3. Ejecutar como Administrador

A continuación abrimos la pestaña Compatibilidad y marcamos la opción Ejecutar este programa como administrador. A partir de este momento, siempre que ejecutemos OpenVPN GUI lo hará como Administrador asegurando el correcto funcionamiento de la VPN.

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

3 3

Parámetros de configuración para la red de Casa y la

Oficina

Casa Oficina

Subred ethernet local

(Dirección privada)

10.0.1.0/24 10.0.0.0/24

Extremo del túnel

(Dirección privada)

10.1.0.2 10.1.0.1

Puerta de enlace

OpenVPN (Dirección

pública)

cliente DHCP, no

necesita ser

especificada

1.2.3.4

Para generar los certificados y claves tanto para un servidor VPN como para sus clientes es necesario tener instalado el paquete OpenVPN. Este documento describe dicha instalación y posterior uso bajo sistema operativo Windows 7.

22.. GGeenneerr aacciióónn ddee ccllaavveess

2.1. Visión general

El primer paso en la construcción de una configuración de

claves en OpenVPN 2.0 es establecer una PKI (infraestructura

de clave pública). La PKI consta de:

• un certificado independiente (también conocido como

una clave pública) y la clave privada

para el servidor y cada cliente, y

• un maestro de autoridad de certificación (CA) de

certificado y la clave que se utiliza para firmar cada uno

de los certificados de servidor y cliente

OpenVPN admite autenticación bidireccional basada en

certificados, lo que significa que el cliente debe autenticar el

certificado del servidor y el servidor debe autenticar el

certificado de los clientes antes de que se establezca la

confianza mutua.

Tanto el servidor como el cliente se autenticarán

primeramente verificando que el certificado presentado por el

otro fue firmado por la autoridad de certificado patrón (CA). A

continuación ambos extremos verificarán la información del

encabezado de los certificados verificando el nombre común o

el tipo de certificado presentado (cliente o servidor).

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

4 4

Este modelo de seguridad presenta las siguientes ventajas:

� El servidor sólo necesita su propio certificado/clave -

no es necesario que conozca los certificados

individuales de cada cliente que pueda conectarse

� El servidor sólo aceptará a clientes cuyos certificados

fueron firmados con el certificado principal (CA) de la

entidad emisora cuya generación veremos más

adelante. Y debido a que el servidor puede realizar esta

comprobación de la firma sin necesidad de acceso a la

clave privada de la entidad emisora de certificados.

� Si una clave privada está en peligro, puede

desactivarse añadiéndose a una CRL (lista de

revocación de certificados). La CRL permite rechazar

certificados comprometidos de forma individual sin

necesidad de tener que regenerar o reconstruir toda la

estructura de claves y certificados (PKI).

� El servidor puede gestionar derechos de acceso

específicos para diferentes clientes basados en los

campos del certificado presentado, tales como el

nombre común.

2.2. Generación del certificado master (CA) y su clave

Nota Importante: Enfocado a esta configuración .. Una vez

que los clientes (Windows/Linux) se conecten a la red VPN

quedarán automáticamente sin conexión a Internet, lo cual NO

podrán acceder a la red mundial. Esto puede ser modificable

en el servidor VPN.

Cómo configurar un servidor de OpenVPN

Figura 4. Servidor de Pasarela OpenVPN con clientes (Windows/Linux) remotos

El servidor VPN hace de pasarela para que todos los clientes

(Windows/Linux) puedan estar comunicados a través del

túnel

OpenVPN, estos al conectarse por medio de Internet al túnel

automáticamente quedan sin línea a la red mundial quedando

como una red local, esto claro esta a través de la VPN.

Cada cliente se encuentra en lugares diferentes

(ciudad/estado/país) con diferentes tipos de segmento de

red, al estar conectados mediante el túnel VPN se crea un red

virtual y se asigna un nuevo segmento de red proporcionada

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

5 5

por el servidor principal en este caso con segmento (por

ejemplo: 10.10.0.0/255.255.255.0 no 192.168.37.0

/255.255.255.0).

En esta sección vamos a generar una certificado/clave de

entidad emisora de certificados principal (CA), una

clave/certificado de servidor y certificados y claves para 3

clientes diferentes.

Para la administración de PKI, utilizaremos un conjunto de secuencias de comandos con OpenVPN.

Para ello, abrir una ventana de símbolo del sistema (Ejecutar cmd) y cambiar al directorio \Archivos de programa\OpenVPN\easy-rsa.

Figura 5. Ejecutar OpeonVPN en CMD

Ejecute el siguiente archivo por lotes para copiar los archivos de configuración en su lugar (este proceso sobrescribirá cualquier archivo vars.bat y openssl.cnf prexistentes):

init-config

Ahora, edite el archivo de variables (llamado vars.bat en Windows) y configure los parámetros de KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG y KEY_EMAIL. No deje ninguno de estos parámetros en blanco. lo que haremos será cambiar estas últimas lineas como se ve acá.

set KEY_COUNTRY=CO set KEY_PROVINCE=CA set KEY_CITY=Manizales set KEY_ORG=TodoTecnologia.net set KEY_EMAIL=todotecnologia.net@gmail.com

Obviamente, ahí pondrás tus propios Datos. te explico. set KEY_COUNTRY=Iniciales de tu país set KEY_PROVINCE= Iniciales de tu provincia set KEY_CITY= El nombre de tu ciudad set KEY_ORG= Tu nombre o el de tu organización. set KEY_EMAIL= El correo de tu organización A continuación mostramos un ejemplo de archivo vars.bat @echo off rem Edit this variable to point to rem the openssl.cnf file included rem with easy-rsa. set HOME=%ProgramFiles%\OpenVPN\easy-rsa set KEY_CONFIG=openssl.cnf

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

6 6

rem Edit this variable to point to rem your soon-to-be-created key rem directory. rem rem WARNING: clean-all will do rem a rm -rf on this directory rem so make sure you define rem it correctly! set KEY_DIR=keys rem Increase this to 2048 if you rem are paranoid. This will slow rem down TLS negotiation performance rem as well as the one-time DH parms rem generation process. set KEY_SIZE=1024 rem These are the default values for fields rem which will be placed in the certificate. rem Change these to reflect your site. rem Don't leave any of these parms blank. set KEY_COUNTRY=SP set KEY_PROVINCE=BCN set KEY_CITY=Barcelona set KEY_ORG=DAVANTEL set KEY_EMAIL=info@davantel.com

A continuación inicie la generación de la PKI a través de la secuencia de comandos:

vars clean-all build-ca El comando final construirá el certificado de la autoridad (CA) de certificación y la clave invocando el comando openssl: @echo off cd %HOME% rem build a cert authority valid for ten years, starting now openssl req -days 3650 -nodes -new -x509 -keyout %KEY_DIR%\ca.key –out %KEY_DIR%\ca.crt -config %KEY_CONFIG% Aparecerá en pantalla los siguientes mensajes mostrando el progreso de la generación del certificado CA y de la clave. ai:easy-rsa # ./build-ca Generating a 1024 bit RSA private key ............++++++ ...........++++++ writing new private key to 'ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [KG]:

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

7 7

State or Province Name (full name) [NA]: Locality Name (eg, city) [BISHKEK]: Organization Name (eg, company) [OpenVPN-TEST]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:OpenVPN-CA Email Address [me@myhost.mydomain]: Si no entramos ningún valor para ningún parámetro, el programa nos tomará los valores definidos en el archivo vars.bat. El único parámetro que debe especificarse explícitamente es el Common Name.

En el ejemplo anterior, utilizamos "OpenVPN-CA".

2.3. Generación del certificado y clave privada para el servidor

Para generar el certificado y la clave privada para el servidor entrar el comando

build-key-server server

Como en el paso anterior, la mayoría de los parámetros pueden tomarse de forma predeterminada a partir del archivo vars.bat. Cuando se le pregunte el Common Name, escriba "server". Teclee ‘y’ para responder afirmativamente al resto de preguntas que le haga el proceso de generación.

2.4. Generación del certificado y clave privada para los clientes

Para generar los certificados y claves privadas para 3 clientes ejecute los comandos siguientes:

build-key client1 build-key client2 build-key client3 Para cada cliente, asegúrese de escribir un Common Name apropiado cuando se le solicite. Por ejemplo "client1" , "client2" y "client3". Utilice siempre un nombre único para cada cliente.

2.5. Generación de los parámetros Diffie Hellman

Estos parámetros deben generarse únicamente para el servidor. Para hacerlo ejecute el comando:

build-dh

A continuación aparecerá en pantalla el progreso de la generación tal y como se muestra a continuation:

ai:easy-rsa # ./build-dh Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time .................+........................................... ...................+.............+.................+.........

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

8 8

2.5. Archivos de claves

Todos los certificados y claves generados en los pasos anteriores se encontrarán en el subdirectorio keys. A continuación los detallamos:

Archivo Es necesario para… Significado Secreto

CA.crt Servidor + todos los clientes Certificado de entidad emisora de certificado raíz

No

CA.key sólo equipo firma clave Clave de entidad emisora de certificados raíz

Si

Dh1024.pem sólo servidor Parámetros de Diffie Hellman No server.crt sólo servidor Certificado de servidor No server.hey sólo servidor Clave del servidor Si cliente1.crt cliente 1 sólo Certificado de Cliente1 No cliente1.key cliente 1 sólo Clave de Cliente 1 Si cliente2.crt cliente 2 sólo Certificado de Cliente2 No cliente2.key cliente 2 sólo Clave de Cliente 2 Si cliente3.crt cliente 3 sólo Certificado de Cliente3 No cliente3.key cliente 3 sólo Clave de Cliente 3 Si

33.. II nniicciiaarr eell SSeerr vviicciioo Para iniciar el servicio ejecuten el OpenVPN GUI el cual debió quedar en su escritorio cuando instalaron el programa.

Figura 6. Iniciar Servidor OpenVPN

Luego en la barra de tareas aparecerá un icono como lo muestra la figura. Le dan doble click, y ya estará funcionando el servidor REDES

Figura 7. Notificación OpenVPN corriendo

Después de darle doble click saldrá una ventana que muestra un log de lo que está haciendo y unos segundos después verán algo como esto.

Figura 7. Conectar Servidor

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

9 9

Finalmente si entran a conexiones de Red verán que las 2 redes están activas

Aclaro que los archivos ca.crt NombreDelCliente.crt NombreDelCliente.key

Deben enviárselos al cliente.

Fuentes:

1. TodoTecnologia.net

Blog dedicado a crear tutoriales de herramientas informáticas y dar a conocer las novedades de la Tecnología.

www.todotecnologia.net/como-configurar-un-servidor-openvpn-en-windows.htm

2. DAVANTEL

Desarrollo avanzado en telecomunicaciones, S.L.

Generación de claves en VPN

www.davantel.com

3. Universidad de Costa Rica Facultad de Ingeniería

IE – 0502 Proyecto Eléctrico Seguridad en Redes Inalámbricas de Área Local.

Instalación de OpenVPN en Windows7

salvador2463@gmail.com

10 10

DDIIPPLLOOMMAADDOO PPOORR MMEEDDIIOOSS VVIIRRTTUUAALLEESS SSOOBBRREE

TTOOPPIICCIISS SSEELLEECCTTOOSS DDEE CCOOMMPPUUTTAACCIIOONN..

DESARROLLO DE HABILIDADES DIGITALES

DESIGNED BY: SALVADOR PLUMA TZONTECOMANI