implementación de vpn cliente-servidor con openvpn y pfsense _ perfect sense.pdf

8/11/2019 Implementacin de VPN Cliente-Servidor con OpenVPN y pfSense _ Perfect Sense.pdf

1/19

24/9/2014 Implementacin de VPN Cliente-Servidor con OpenVPN y pfSense | Perfect Sense

http://www.perfect-sense.info/?p=92 1/19

Versin pfSense: 2.0.3

Mdulos:

OpenVPN Client Export Utility 1.0.11

En el siguiente artculo se explica la implementacin de la funcin de terminacin de tnelesCliente-Servidor con OpenVPN y pfsense, cuya funcionalidad es implementada nativamente enlas actuales versiones.

OpenVPN fu creado en 2001, y actualmente es el estandar a nivel seguridad y performancehabiendo desplazado a protocolos como PPTP y L2TP que demostraron ser vulnerables y notan rpidos.

En los siguientes links puedes encontrar comparativas entre OpenVPN, L2TP y PPTP: link1 ylink2

OpenVPN es actualmente compatible con todos los sistemas operativos.

Autenticacin:

OpenVPN implementa SSL/TLS mediantes certificados RSA que se considera mucho ms seguroque la utilizacin de claves precompartidas. Es posible tambin la implementacin de OpenVPNen conjunto con LDAP o Radius para el manejo de usuarios y permisos, pero en este tutorial seutilizar la autenticacin Local en el pfSense. Vamos a necesitar:

OPENVPN, V2.0.3, VPN

IMPLEMENTACIN DE VPN CLIENTE-SERVIDOR CON OPENVPN Y PFS ENSESEPTEMBER 9, 2013 | GABRIEL | 13 COMMENTS

Perfect Sense
http://www.perfect-sense.info/https://www.ivpn.net/knowledgebase/62/PPTP-vs-L2TP-vs-OpenVPN.htmlhttp://www.perfect-sense.info/http://www.perfect-sense.info/?author=1http://www.perfect-sense.info/?p=92http://www.perfect-sense.info/?cat=16http://www.perfect-sense.info/?cat=13http://www.perfect-sense.info/?cat=15http://www.bestvpn.com/blog/4147/pptp-vs-l2tp-vs-openvpn-vs-sstp/https://www.ivpn.net/knowledgebase/62/PPTP-vs-L2TP-vs-OpenVPN.html


2/19



- Certificado Raiz, utilizado para generar los certificados clientes, en nuestro caso generaremosuno propio, por lo tanto seremos nuestra propia entidad certificadora, sin embargo tambin sepodra utilizar una CA externa. [OpenVPN-CA]

- Certificado Cliente para el pfSense, que nicamente deber estar en el pfSene. [OpenVPN-Servidor]

- Certificados Clientes para usuarios, es necesario un certificado para cada usuario que daremosacceso. [OpenVPN-Gabriel]

Clientes:

Mediante el paquete OpenVPN Client Export Utility es posible generar paquetes instaladorespara cada usuario desde el pfSense que configuraran las pc clientes de manera muy sencilla:bsicamente el paquete est conformado por el instalador de openvpn, el archivo deconfiguracin con los datos de la vpn y los certificados necesarios para conectarse al servidor.Sin embargo, el plugin no siempre mantiene las ltimas versiones de los instaladores; si se va autilizar es recomendable chequear que no estn defasadas las versiones.

Para evitar este problema, en nuestro caso utilizamos el plugin nicamente para generar el zipcon la configuracin para cada usuario (certificados + archivo de configuracin), que

simplemente hay que copiar en la carpeta de configuracin del cliente para funcionar.

Servidor:

Es posible configurar ms de un servidor de OpenVPN en un mismo pfSense con diferentesconfiguraciones (por ejemplo diferentes mtodos de autenticacin, diferente configuracin depuertos, diferentes redes a las que dar acceso, etc).

Topologa:

Nuestro pfSense cuenta con 3 Interfaces: WAN (numeracin pblica), LAN (segmento deusuarios en la red) y DMZ (segmento de servidores en la red). La configuracin que crearemosdar acceso a la red LAN (192.168.1.0/24).

Resumen:

Los pasos para esta implementacin son:

1. Creacin de Certificado Raiz (CA)


3/19



2. Creacin de Certificado Servidor

3. Configuracin del Servidor

4. Creacin de Usuario + Certificado

5. Instalacin de Cliente

Implementacin:

Utilizaremos el Wizard propio de pfSense que simplifica el paso 1, 2 y 3. Para comenzar vamos almen VPN, luego OpenVPN y por ltimo a la solapa Wizards, que nos abrir el asistente deconfiguracin.

1. Seleccionamos el tipo de Servidor, que en nuestro caso ser Local User Access, ya que losusuarios los crearemos y manejaremos mediante el pfSense. Como explicamos antes, tambines posible configurarlo con un servidor LDAP o Radius. Next.

2. El prximo paso ser la configuracin del Certificado Raiz (la entidad certificadora).Estecertificado ser utilizado para luego crear el certificado del servidor y los certificados deusuarios.

Si ya existen CAs cargados en el pfSense el asistente nos dejar seleccionar uno (los mismos sepueden crear desde el men System > Cert Manager) o tambin crear uno nuevo; y en caso deno existir ninguno como en el nuestro, directamente nos llevar a la creacin de uno:


4/19



Completar la informacin requerida respecto a la organizacin, el Key Lenght recomiendoutilizar 2048 ya que es optimizado entre seguro y performante, y el Lifetime es el tiempo de

validez. Add new CA.

3. Ahora es necesario crear el certificado para el servidor, que ser creado en base a la entidadcertificadora creada en el paso anterior.

Si ya existieran certificados creados podramos simplemente seleccionar uno, en nuestro caso,nos llevar directo a la creacin de uno. La mayora de los datos ya estarn completos basadosen los datos de la CA. Faltara completar el nombre y un correo.


5/19



Con los datos completos le damos click a Create new Certificate.

4. A cotinuacin el asistente nos lleva a la configuracin del Servidor, que se divide en 4 grupos:

General OpenVPN Server Information:

Contiene la configuracin de la interface que atender las conexiones (en nuestro caso llegarndesde internet a la interface wan), el puerto y el protocolo que utilizaremos, en nuestro caso losdefault (en caso de cambiarlos, ser necesario tambin cambiarlos en los clientes). No estdems aclarar, que si quisieramos agregar otro Servidor VPN (algo as como otra instancia deOpenVPN), tendremos que elegir otro puerto.

Tambin ser necesario una regla de firewall que permita las conexiones entrantes a ese puertoy procolo en la interface WAN, que crearemos luego.


6/19



Cryptographic Settings:

La configuracin criptogrfica que utilizaremos es la default, ya que nuevamente consideramosque brinda un buen nivel de seguridad y de performance.

Tunnel Settings:

Aqu setearemos la configuracin propia del tunel, esta configuracin es importante.

Tunnel Network, ser la red que crearemos para los clientes que se conecten. Por lo tanto, conesta configuracin estamos definiendo el rango de numeracin que se le asginarn a los clientesal conectarse y tambin la ip de la interface virtual que ser la primera de dicha red. Se deberutilizar una red que no est ya utilizada para evitar problemas de ruteo. En nuestro casoutilizaremos 10.0.1.0/24 (entonces, la interfaz virtual que se crear tendr la 10.0.1.1 y losclientes que se conecten tendrn una direccin asignada entre la 10.0.1.2 y la 10.0.1.254).


7/19



Local Network, define la red a la que daremos acceso y que por ende, ser ruteada en los clientesa travs de la vpn. En nuestro caso, tal cual los descripto en el apartado Topologa,configuraremos la red 192.168.1.0/24.

Tambin se puede utilizar la opcin Redirect Gateway, que lo que har bsicamente es ruteartodo el trfico del cliente por la VPN, esto har que todas las conexiones que se generen seenvien al tunel, incluso por ejemplo las peticiones a numeracin pblica (navegacin web porejemplo), entonces utilizar la salida del pfSense tambin para navegar. A veces se utiliza estemtodo para dar un mayor nivel de seguridad a la red, evitando que el usuario puentee susalida a internet con la red a la que se est conectando saltandose las restricciones que porejemplo puedan estar configuradas en el proxy de navegacin web. Nosotros no utilizaremosest opcin para evitar que se utilice nuestra salida a internet para navegar u otros, y que elusuario nicamente nos enve el trfico destinado a nuestra red.

Podemos agregar un lmite de conexiones concurrentes como medida de seguridad adicional opara asegurar la performance del equipo (cuanto ms usuarios conectados, mayor uso deprocesador).

Tambin habilitaremos la compresin que hace mucho ms performante la conexin.

Client Settings:

Por ltimo las configuraciones que afectarn a los clientes que se conecten. Setearemos laopcin Adress Pool, que afirma la configuracin del Tunnel Network, o sea, hahbilita a que los


8/19



clientes reciban una ip de la red definida (10.0.1.0/24). Si no caeran con su numeracin pblica,y esto es algo que no queremos porque perdemos control, por ejemplo a nivel acls.

Adems setearemos el servidor dns, que en nuestro caso es el propio pfSense, para que elcliente pueda resolver nombres internos.

No necesitamos setear nada ms, por lo que damos a la opcin Next.

5. El prximo paso nos permite agregar automticamente la regla que permite el trfico desdeinternet al puerto y protocolo configurado en el paso anterior.

Adems nos permite agregar o no, una regla en la nueva interface que crear el pfSense, la10.0.1.0/24, donde caern los usuarios conectados, si seleccionamos esta opcin, la regla que se

crear sera de origen ANY, destino ANY, y puerto y protocolo tambin ANY. Ya que nosotros noquremos dar acceso a los usuarios que se conecten a la red DMZ y slamente a la red LAN, noseleccionaremos esta opcin y crearemos la regla a mano. Pueden seleccionar esta opcin si nodesean aplicar restricciones.

Cuando le demos Next, el asistente finaliza e indica que fu configurado el servidorcorrectamente.


9/19



6. Si ahora vamos al men Firewall, y luego a Rules, veremos que se ha agregado la regla en lainterface WAN, que permite todas las conexiones al puerto UDP/1194 y adems que se hacreado una nueva solapa OpenVPN, donde manejaremos las reglas asociadas a todos losservidores OpenVPN:

Cuando vayamos a la solapa OpenVPN, estar vaca sin ninguna regla, pero en caso de quehayan seleccionado la opcin que crea la regla automticamente, aparecer una reglapermitiendo todo el trfico. Nosotros creamos la regla a mano y quedar de la siguiente forma:

Usuarios:

Ahora crearemos un usuario habilitad0 para conectarse, en nuestro caso tambin generaremosun grupo OpenVPN, para incluir en el a este usuario y a todos los que creemos para conectarsea la VPN. Esto sirve para que administrativamente sepamos que usuarios tienen acceso a laVPN, adems de poder asginar permisos de pfSense a todos los usuarios a la vez, por ejemplopara permitir el acceso a algn mdulo de pfSense como el de cambio de Password.

1. Vamos al men System, User Manager y luego a la solapa Groups. All buscamos el cono deagregar (+) y creamos el grupo:


10/19



Le damos Save para crear.

2. Para crear un usuario, volvemos a la solapa Users, y nuevamente vamos al cono de agregar(+):


11/19



Configuraremos las opciones bsicas como el nombre de usuario, el nombre completo, lacontrasea, la asociacin al grupo que creamos antes, y en nuestro caso tambin seteamos unafecha de expiracin que ser a fin de ao.

Seleccionamos la opcin de crear certificado, y nos expander ms opciones:

Debemos poenerle un nombre al certificado y elegir la entidad certificadora que creamos

anteriormente.

Le damos Save y nos crear el usuario y su certificado automticamente.

Podemos ir luego al men System, a la opcin Cert Manager para comprobarlo.

En la solapa CA, veremos la entidad certificadora que creamos:

Y en la solapa Certificates veremos el certificado del Servidor que creamos anteriormente, y elcertificado del usuario gabriel que acabamos de crear. (Tambin veran un certificado default quees que se utilizan al conectarse va HTTPS al WebConfiurator).


12/19



Clientes:

El servidor ya se encuentra configurado y el usuario creado, ahora nos toca configurar el clienteque se conectar con el usuario gabriel.

Para esto es necesario instalar el cliente OpenVPN en el o los equipos que se conectarn y luegocargarle la configuracin del servidor y la del usuario.

Para ayudarnos en la configuracin de los clientes, instalaremos tambin el paquete OpenVPNClient Export Utility que nos permite exportar los zips de configuracin para cada usuario demanera muy sencilla.

Por lo tanto, en primer lugar, instalemos el paquete desde el men System, opcin Packages yluego la solapa Available Packages. Buscamos el paquete y le damos al cono de agregar (+).

Una vez instalado, se agrega en el apartado de OpenVPN (men VPN, opcin OpenVPN), unanueva solapa Client Export:


13/19



Si hicimos todo bien, en la parte de abajo de la pgina, veran un apartado con los nombres de

usuario que estn asociados al certificado de la VPN y de donde podremos exportar los clientespara cada sistema operativo, o la Standard Configuration que nos da un zip con el archivo deconfiguracin de openvpn (*.opvn) y los certificados del usuario para permitir la conexin, estezip debe incorporarse a la carpeta de configuracin del cliente OpenVPN de la pc que va arealizar la configuracin y con esto ya se podr conectar.

Veremos algunos ejemplos de configuracin de clientes:

Instalacin de Cliente OpenVPN en Windows

Existen dos clientes OpenVPN para Windows, el oficial ( http://openvpn.net ) y un Cliente
http://openvpn.net/


14/19



llamado OpenVPN Manager ( https://github.com/jochenwierum/openvpn-manager/ ), estesegundo cliente, soluciona un problema conocido cuando el usuario no tiene permisos deadministrador en la PC con la que se quiere conectar al servidor. Para funcionar la conexin, elcliente a conectar debe poder agregar ruteos (como ya explicamos en la configuracin delServidor) para conocer la red a la que se quiere acceder a travs del tunel que se levant. Sinpermisos de administrador, no es posible realizar esa configuracin, y OpenVPN Managersoluciona esta limitacin mediante la creacin de un servicio especfico que se encarga de dichaconfiguracin.

En caso de no contar con permisos de administrador, se debe utilizar ese cliente que se descargaac ( http://openvpn.jowisoftware.de/downloads/ ), y adems, antes de exportar laconfiguracin, se debe tildar la opcin Management Interface OpenVPNManager, que adapta laconfiguracin para este cliente:

En nuestro caso, tenemos permisos de administrador en el equipo Windows que se conectarpor lo que no utilizaremos la anterior opcin, y aprovecharemos el cliente original de OpenVPN,que realmente es un poco ms performante que el OpenVPN Manager, y adems, se actualizacon mayor periodicidad.

1. Descargamos el Cliente OpenVPN desde el sitio oficial http://openvpn.net/index.php/open-source/downloads.html . Tenemos disponible la versin de 32 o 64 bit, segn corresponda.Descargamos la necesaria.

2. Realizar la instalacin. La misma instalar una nueva interface, por lo tanto ser necesariopermisos de administrador para hacerlo, que solicitar durante el proceso.

3. Finalizada la instalacin, hay que ir al PATH de instalacin y a la carpeta Config, en nuestrocaso es C:Program FilesOpenVPNconfig, all copiamos los archivos de configuracin ycertificados que descargamos con el OpenVPN Client Export Utility.
http://openvpn.net/index.php/open-source/downloads.htmlhttp://openvpn.jowisoftware.de/downloads/https://github.com/jochenwierum/openvpn-manager/


15/19



Con esto ya es suficiente para conectarse a la VPN creada.

4. Ejecutamos el cliente OpenVPN GUI, que se abrir y se mantendr minimizado en la barra delreloj. Al hacer click con el boton derecho sobre el mismo, tendremos la opcin Connect (en casode que tengamos ms de una configuracin VPN, veremos todas las disponibles con surespectiva opcin Conect).

Hacemos click en la opcin Conect para conectarnos.

La conexin se establece y vemos que nos asigna una ip del rango que habamos configurado enla configuracin del Servidor:


16/19



Si revisamos como qued la tabla de ruteo en la PC conectada, veremos que se ha agregado la

ruta a la red 192.168.1.0/24 por la interface de VPN:

Autor: Gabriel Soltz

SI TE GUST ESTE ARTCULO,

HACNOSLO SABER CON UNA DONACIN A LA SIGUIENTE DIRECCIN BITCOIN:

[btcpayments address="1AtS1DY6kRZ6zhUSkB48AxsgqQTyhpfFQg"]

13 THOUGHTS ON IMPLEMENTACIN DE VPN CLIENTE-SERVIDOR CON OPENVPN Y PFSENSE

SEPTEMBER 12, 2013 AT 3:41 PM

Tengo una consulta he creado bien la VPN y me funciona bien pero tengo un problema

no puedo ver los archivos compartidos, aunque le hago ping

Atte..Gracias, los felicito..

OPENVPN OPENVPN CLIENT EXPORT UTILITY PFSENSE VERSION 2.0.3 VPN

Cristian
http://www.perfect-sense.info/?tag=vpnhttp://www.perfect-sense.info/?tag=version-2-0-3http://www.perfect-sense.info/?tag=pfsensehttp://www.perfect-sense.info/?tag=openvpn-client-export-utilityhttp://www.perfect-sense.info/?tag=openvpn


17/19




Llegs por ping al servidor de Shares ?Si es SMB (Windows), acordate que utiliza los puertos 139 y 445 udp y tcp.Lo que deberas hacer es verificar en los logs si ves denegaciones o algn otro error.


Verifica adems si est resolviendo bien el nombre del servidor, probablemente sea unproblema de resolucin de nombres. Si por ejemplo el servidor se llama server01 y tienela IP 10.10.10.10, intenta acceder a \10.10.10.10carpetacompartida y ping a server01


Hola tengo un problema se que la solucion debe ser sencilla pero no le llego, ya tengo laconexion establecida pero una vez conectado solo puedo hacerle ping al pfsense y no a todala LAN, ayuda

gracias


Algunas cosas que podras chequear son:- que no haya denegaciones en los logs (quizs armaste mal la regla en la interfaceOpenVPN)

- si el ping lo hacs por nombre, asegurate que hayas especificado correctamente el dnsque debera resolver el nombre. O prob directamente con ping a las ips internas.- Cheuque que hayas configurado la Local Network, que es la red a la que quers llegar.- Se te agregaron correctamente las rutas hacia la VPN en tu pc ? Acordate que si utilizswindows y el cliente oficial, debs ejecutarlo como adminsitrador.


Si gracias creo que el problema lo estaba causando otro pfsense conectado a la mismaLAN

wpadmin

wpadmin

Daniel Hernandez

Gabriel Soltz

Daniel Hernandez
http://www.perfect-sense.com.ar/


18/19



OCTOBER 7, 2013 AT 9:32 PM

Hola tengo el mismo problema que lei, se conecta la VPN pero al hacer ping a la IP de unequipo de la LAN no me da resultados.

OCTOBER 8, 2013 AT 9:54 AM

Prob de chequear lo que le indiqu a Andrs e indic los resultados.

NOVEMBER 4, 2013 AT 3:04 PM

Una duda. me puedo conectar perfecto a la vpn pero no encuentro las carpetas compartidasy me cambia la mascara de sub red ejemplo selecciono /24 para que me arroje255.255.255.0 y me da 255.255.255.225 espero me puedan ayudarsaludos

NOVEMBER 6, 2013 AT 1:50 AMno me queda claro, si quers contactate por privado.

Slds.

NOVEMBER 26, 2013 AT 12:31 PM

Un cordial saludo. Se que debe ser facil pero no le pego a la solucion y no tengo muchaexperiencia.Tengo un openvpn funcionando en un centos y deseo pasar los usuarios a un pfsense , quepasos debo seguir? cree los usuarios y copie los certificados despues de haber activado elopenvpn, pero no se conecta. Agradezco la informacin al respecto. El pfsense es 2.1

AUGUST 7, 2014 AT 5:43 PM

Gabriel, muchsimas gracias estaba empantanado usando ipsec ya que desde unosequipos se conectada y desde otros no.

Luis Acevedo

Gabriel Soltz

Asanchez

Gabriel Soltz

Uriel Macias

David Lagos S.
http://www.wificafehosting.com/http://www.perfect-sense.com.ar/http://www.perfect-sense.com.ar/


19/19


Infinitas gracias.Aprovecho para preguntarte: Puedo en la misma mquina colocar varios usuarios al mismotiempo y cuando ejecute openvpn pregunta que usuario se quiere conectar?Saludos!!!!

AUGUST 11, 2014 AT 5:43 PM

Hola, cmo va, no me queda clara tu consulta.Te refers a configurar ms de una conexin en un cliente open-vpn (o sea, en el extremodel cliente, no del firewall) ?Si es eso, si pods hacerlo, contra ms de un peer, pero si es un mismo peer (pfsense / o loque sea) con varios usuarios, en realidad con una configuracin basta y cada usuariopondr al conectarse sus propias credenciales.Un Abrazo.

Gabriel

implementación de vpn cliente-servidor con openvpn y pfsense _ perfect sense.pdf

Documents