manual de usuario para la instalación de usuarios vpn (ssl) · pdf filemanual de...

2012 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones S.A. Este documento y, en su caso, cualquier documento anexo al mismo, contiene información de carácter confidencial exclusivamente dirigida a su

destinatario o destinatarios. Queda prohibida su divulgación, copia o distribución a terceros sin la previa autorización escrita de “Sociedad

Andaluza para el Desarrollo de la de las Telecomunicaciones S.A..”. Si no es Ud. el destinatario del documento le ruego lo destruya sin hacer copia digital o física, comunicando a “Sociedad Andaluza para el Desarrollo de las Telecomunicaciones S.A.” vía e-mail o fax la recepción del

presente documento. Toda declaración de voluntad contenida deberá ser tenida por no producida.

MANUAL DE USUARIO PARA LA INSTALACIÓN Y CONFIGURACIÓN DE

USUARIOS VPN (RED NEREA)

Tipo de documento: Manual de Usuario

Edición: 1

Categoría: Uso General

Fecha: 25/03/2015

Nº de Páginas: 1 de 29

2012 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones S.A.

HOJA DE CONTROL DE EDICIONES

Nº

Edición Fecha Editor Naturaleza de la edición

0 24/10/2012 Grupo NEREA Edición inicial

1 25/03/2015 Grupo NEREA Primera edición

Detalles de los cambios de la última edición:

Se añade información sobre instalación del cliente OpenVPN para Android.


1 OBJETO .................................................................................................................................. 4

2 ALCANCE .............................................................................................................................. 4

3 DEFINICIONES ..................................................................................................................... 4

4 INTRODUCCIÓN .................................................................................................................. 4

5 PROCEDIMIENTO DE INSTALACIÓN ........................................................................... 5

5.1. EN DISTRIBUCIONES DE LINUX BASADAS EN DEBIAN (UBUNTU, GUADALINEX…). ....................................................................................................................... 5

5.2. EN DISTRIBUCIONES DE LINUX BASADAS EN RED HAT (RED HAT ENTERPRISE, FEDORA CORE)............................................................................................... 7

5.2.1. FEDORA CORE ................................................................................................................ 7

5.2.2. RED HAT ENTERPRISE .................................................................................................. 8

5.3. EN MICROSOFT WINDOWS ........................................................................................... 11

5.3.1 CONFIGURACIÓN DEL EJECUTABLE "OpenVPN GUI" EN WINDOWS 7………… .............................................................................................................................. 19

5.4 En Android........................................................................................................... 20

6 CONSULTAS FRECUENTES. ........................................................................................... 24

6.1 NO PUEDO INSTALAR OPEN VPN PORQUE NO TENGO PERMISOS DE ADMINISTRADOR. ......................................................................................................... 24

6.2 MENSAJE DE CONEXIÓN FALLIDA. .......................................................... 24

6.3 CÓMO MIRAR EL LOG DE CONEXIÓN. .................................................... 24

6.4 ERROR DE CERTIFICADO EXPIRADO. ..................................................... 25

6.5 ¿PUEDO USAR UN MISMO CERTIFICADO DE USUARIO EN MÁS DE UN PC?.......... ........................................................................................................................... 25

6.6 LENTITUD Y DESCONEXIONES INTERMITENTES. ............................... 25

6.7 MENSAJE “RESTART-PAUSE” ..................................................................... 26

6.8 ACTIVAR TAP-WIN32. .................................................................................... 26

6.9 ¿TIENE LA INTERFAZ VIRTUAL TAP UNA IP DEL RANGO DE NEREA?.......... .......................................................................................................................... 27

6.10 ¿SE HAN CREADO CORRECTAMENTE LAS RUTAS PARA ENCAMINAR EL TRÁFICO A TRAVÉS DE RED NEREA? .......................................... 27

6.11 SOLO PUEDO ACCEDER CON PERFIL ADMINISTRADOR. ................. 28

6.12 ERROR DE APLICACIÓN. .............................................................................. 28

6.13 ERROR 400 EN NAVEGADOR. ....................................................................... 29

6.14 CAMBIO DE CIERRE MANUAL DEL TUNEL VPN A AUTOMÁTICO. 29


1 OBJETO

Este documento se constituye como manual destinado a usuarios finales para la instalación y configuración del túnel VPN sobre SSL contra el Centro de Accesos Remotos de la Red NEREA.

2 ALCANCE

Entidades Locales de Andalucía que precisen utilizar los servicios de las redes SARA/NEREA, no dispongan de conectividad con su Red Provincial (Diputación), y hayan sido autorizados por la Dirección el Proyecto NEREA para la utilización de los servicios del Centro de Accesos Remotos (CAR).

3 DEFINICIONES

A continuación se definen los términos y acrónimos fundamentales para el entendimiento de documento en su contexto:

• AC: Área de Conexión • CAR: Centro de Acceso Remoto • DP: Diputación Provincial • CSC: Centro de Servicios Comunes. • NEREA: Nodo Extendido Regional de la Extranet Administrativa • SARA: Sistema de Aplicaciones y Redes para las Administraciones. • VPN: Red Privada Virtual. • SSL: Secure Sockets Layer, protocolo que proporciona autenticación y privacidad.

4 INTRODUCCIÓN

La interconexión de las Diputaciones Provinciales (DP) y Ayuntamientos Principales a la red NEREA se realizará a través de una infraestructura que se denomina Área de Conexión (AC), ubicada en las dependencias de la Diputación Provincial correspondiente. Esta estructura establece la interconexión mediante el cierre de túneles VPN con un Centro de Servicios Comunes (CSC), que constituye el centro de la estrella de la red NEREA. Aquellas Entidades Locales que por sus características no puedan utilizar como intermedio para su acceso a su Diputación Provincial, podrán acceder directamente a la red NEREA cerrando túneles por Internet con el denominado Centro de Acceso Remoto (CAR), siempre y cuando sea autorizado explícitamente por la Dirección del Proyecto NEREA.


5 PROCEDIMIENTO DE INSTALACIÓN

Se detalla a continuación el procedimiento a seguir para configurar en el puesto del usuario final el cliente al servicio de VPN sobre SSL del CAR de NEREA. Se diferenciará entre los distintos tipos de Sistema Operativos más comunes. Acompañando al presente manual, el CAU de la red NEREA habrá adjuntado los ficheros necesarios para la configuración del servicio, y autenticación de los usuarios.

5.1. EN DISTRIBUCIONES DE LINUX BASADAS EN DEBIAN (UBUNTU, GUADALINEX…).

Los repositorios de software de las distribuciones tipo Debian más habituales incluyen en la actualidad el paquete del producto de VPN sobre SSL seleccionado para el proyecto NEREA. Dicho producto se denomina OpenVPN, y su instalación se lleva a cabo con la orden de descarga e incorporación de paquetes habitual de estas distribuciones. Por ejemplo, en el momento de la redacción del presente documento, en el repositorio de Guadalinex, http://v4.guadalinex.org/ubuntu/pool/universe puede encontrarse la versión 2.0.7 de OpenVPN en el paquete openvpn_2.0.7-1_i386.deb. Los pasos para la instalación del cliente Open VPN serían: 1. Haciendo uso de la orden apt-get, instalar la última versión del producto ofrecida en los repositorios de paquetes $ sudo apt - get install openvpn

2. Desplegar la infraestructura de certificados enviada para el acceso a NEREA. Para no interferir con otros posibles usos del cliente de OpenVPN en el equipo, se creará un subdirectorio diferenciado, denominado certsNEREA, donde se ubicarán el certificado de la Autoridad Certificadora de NEREA (ca.crt), el certificado del usuario (<usuario>.crt) y la clave privada del usuario (<usuario>.key). Por motivos de seguridad, es importante conceder sólo permisos de lectura y escritura sobre la clave privada al usuario root. Si nos encontramos ubicados en la carpeta temporal sobre la que se ha descomprimido el fichero remitido por el CAU de la Red NEREA, observaremos que se ha desempaquetado un fichero de configuración nerea.conf, así como la propia carpeta certsNEREA, lista para ser copiada al directorio de openvpn: $ sudo cp -- r ./certsNEREA /etc/openvpn/ $ sudo chmod 600 /etc/openvpn/certsNEREA/<usuario>. key

3. Establecer la configuración del túnel contra el CAR. El servicio “openvpn” localiza y carga todos los ficheros con extensión “.conf” en el subdirectorio /etc/openvpn. Así, para no interferir con otros túneles que se pudieran tener, se utilizará el fichero /etc/openvpn/nerea.conf. Es importante que en este fichero, la ruta a los certificados coincida con el subdirectorio que se creó en el punto anterior. Si nos encontramos ubicados en la carpeta temporal sobre la que se ha descomprimido el fichero


remitido por el CAU de la Red NEREA, observaremos que tenemos un archivo con nombre nerea.ovpn. Esta extensión es utilizada por el cliente OpenVPN para la plataforma Windows. Para el caso de Linux, bastará con modificar su extensión y copiar dicho fichero al directorio correspondiente: $ sudo rename nerea. ovpn nerea .conf $ sudo cp nerea.conf /etc/openvpn/

El contenido del fichero será el siguiente (particularizado al nombre de usuario asignado): client dev tun proto tcp remote-random remote 217.12.18.211 443 resolv-retry infinite nobind persist-key persist-tun ca certsNEREA/ca.crt cert certsNEREA/<usuario>.crt key certsNEREA/<usuario>.key comp-lzo verb 3

4. Importante: Si en la red local del puesto cliente no está permitida la navegación directa por Internet, sino que fue necesaria la configuración de un servidor Proxy en el navegador, sería necesario añadir la información del Proxy usado en el fichero de configuración de OpenVPN: • sudo vi /etc/openvpn/nerea.conf (con Proxy)

client dev tun proto tcp remote-random remote 217.12.18.211 443 resolv-retry infinite nobind persist-key persist-tun ca certsNEREA/ca.crt cert certsNEREA/<usuario>.crt key certsNEREA/<usuario>.key comp-lzo verb 3 http-proxy <direccion_IP_Proxy> <Puerto_Proxy> auto

5. Una vez establecida la infraestructura de certificados y la configuración específica, se puede proceder a levantar el servicio openvpn. Si se utiliza proxy, durante el arranque del mismo se nos solicitará por línea de comandos las correspondientes credenciales caso de requerir autenticación. $ sudo /etc/init.d/openvpn restart Stopping virtual private network daemon:. Starting virtual private network daemon: nereaEnter Private Key Password: (OK). 6. Tras el periodo de intercambios de certificados entre el puesto cliente y el servidor de túneles, si no sucede a ningún problema, el servicio OpenVPN creará un interfaz virtual de tipo “tunnel” (por defecto tun0), con la dirección IP compatible con la red NEREA que le haya sido asignada.


$ ifconfig tun0

Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00 -00-00-00-00-00-00-00 inet addr:10.128.9.5 P-t-P:10.128.9.6 Mask:255.255. 255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Met ric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier: 0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

7. Adicionalmente, el servicio openvpn crea las rutas necesarias para encaminar de forma correcta el tráfico hacia las redes de NEREA:

8. Por último, para poder acceder correctamente a los servicios ofrecidos a través de CAR, es necesario resolver de forma adecuada los nombres de dominio de los distintos servidores. Aunque algunas distribuciones de Linux lo realizan de forma automática, lo habitual es tener que modificar manualmente la lista de servidores de nombre (DNS) que el equipo del usuario consulta. Para ello, se edita el fichero /etc/resolv.conf y se añade la línea con el servidor de nombres del CSC de NEREA al principio de la lista de servidores DNS: • sudo vi /etc/resolv.conf search <dominio de busqueda> nameserver 10.128.0.143 nameserver <direccion IP de servidor DNS>

Si se desea finalizar el túnel para hacer efectiva la desconexión de la red de NEREA, bastaría con detener el servicio de openvpn y eliminar la línea con el servidor DNS del Centro de Servicios Comunes que se añadió al fichero /etc/resolv.conf.

5.2. EN DISTRIBUCIONES DE LINUX BASADAS EN RED HAT (RED HAT ENTERPRISE, FEDORA CORE)

5.2.1. FEDORA CORE

Los repositorios de Fedora Core incluyen en la actualidad el paquete del producto de VPN sobre SSL seleccionado para el proyecto NEREA. Dicho producto se denomina OpenVPN y, por ejemplo, en el repositorio de Fedora Core 6, http://download.fedora.redhat.com/pub/fedora/linux/extras/6/i386/

puede encontrarse la versión 2.1.0 de OpenVPN en el paquete openvpn-2.1-0.17.rc2.fc6.i386.rpm. Así, para Fedora Core la instalación se realizaría iniciando sesión como root y haciendo uso de la orden yum, instalando la última versión del producto ofrecida en los repositorios de paquetes:

$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use If ace 10.128.9.6 * 255.255.255.255 UH 0 0 0 tun0 10.128.0.65 10.128.9.6 255.255.255.255 UGH 0 0 0 tu n0 10.128.128.0 10.128.9.6 255.255.248.0 UG 0 0 0 tun0 10.128.0.0 10.128.9.6 255.255.128.0 UG 0 0 0 tun0


[root@mipc ~]# yum install openvpn

5.2.2. RED HAT ENTERPRISE

Los canales habituales de Red Hat Enterprise en Red Hat Network no suelen incluir el paquete del producto OpenVPN. Sin embargo, existen paquetes específicos para la versión del Sistema Operativo del puesto cliente disponibles en http://pkgs.repoforge.org/openvpn/ . Al no poder realizarse la instalación automática, sería necesario instalar previamente las dependencias del producto OpenVPN, los paquetes de la librería LZO disponibles en http://rpmfind.net . Los pasos para la instalación serían:

� Descargar de la URL la versión más reciente del paquete lzo correspondiente a nuestro sistema operativo: http://rpmfind.net/linux/rpm2html/search.php?query=lzo&submit=Search+...&system=&

arch= Por ejemplo, si nuestro sistema es Red Hat Enterprise ES v5 para un i386, la descarga en el momento de la redacción del presente documento sería: ftp://rpmfind.net/linux/dag/redhat/el5/en/i386/dag/RPMS/lzo-2.06-1.el5.rf.i386.rpm

� Descargar de la URL la versión más reciente del paquete lzo-devel correspondiente a nuestro

sistema operativo: http://rpmfind.net/linux/rpm2html/search.php?query=lzo-

devel&submit=Search+...&system=&arch=

Siguiendo nuestro ejemplo, la descarga en el momento de la redacción del presente documento sería:

ftp://rpmfind.net/linux/dag/redhat/el5/en/i386/dag/RPMS/lzo-devel-2.06-1.el5.rf.i386.rpm

� Descargarse de la URL la versión más reciente del paquete openvpn correspondiente a nuestro sistema operativo: http://pkgs.repoforge.org/openvpn/

Siguiendo nuestro ejemplo, la descarga en el momento de la redacción del presente documento sería:

http://pkgs.repoforge.org/openvpn/openvpn-2.2.2-1.el5.rf.x86_64.rpm Una vez descargados todos los paquetes, procedemos a instalarlos iniciando sesión como usuario root y ejecutando, desde el directorio donde se descargaron los paquetes, el comando de instalación de los RPM’s: [root@mipc ~]# rpm - ihv lzo - *.rpm openvpn - *.rpm


Una vez instalado el producto en el sistema por alguno de los dos métodos expuestos, los pasos de configuración son en cualquier caso los siguientes:

1. Desplegar la infraestructura de certificados enviada para el acceso a NEREA. Para no

interferir con otros posibles usos del cliente de OpenVPN, se creará un subdirectorio diferenciado, denominado certsNEREA, donde ubicar el certificado de la Autoridad Certificadora de NEREA (ca.crt), el certificado del usuario (<usuario>.crt) y la clave privada del usuario (<usuario>.key). Es importante conceder sólo permisos de lectura y escritura sobre la clave privada al usuario root. Si nos encontramos ubicados en la carpeta temporal sobre la que se ha descomprimido el fichero remitido por el CAU de la Red NEREA, observaremos que se ha desempaquetado un fichero de configuración <nerea.conf>, así como la propia carpeta certsNEREA, lista para ser copiada al directorio de openvpn:

[root@mipc ~]# cp -- r ./certsNEREA /etc/openvpn/ [root@mipc ~]# chmod 600 /etc/openvpn/certsNEREA/<u suario>.key

2. Establecer la configuración del túnel contra el CAR. El servicio “openvpn” localiza y carga todos los ficheros con extensión “.conf” en el subdirectorio /etc/openvpn. Así, para no interferir con otros túneles que se pudieran tener, se creará el fichero /etc/openvpn/nerea.conf. Es importante que en este fichero la ruta a los certificados coincida con el subdirectorio que se creó en el punto anterior. Si nos encontramos ubicados en la carpeta temporal sobre la que se ha descomprimido el fichero remitido por el CAU de la Red NEREA, observaremos que tenemos un archivo con nombre nerea.ovpn. Esta extensión es utilizada por el cliente OpenVPN para la plataforma Windows. Para el caso de Linux, bastará con modificar su extensión y copiar dicho fichero al directorio correspondiente:

[root@mipc ~]# rename nerea.ovpn nerea .conf [root@mipc ~]# cp nerea.conf /etc/openvpn/

El contenido del fichero será el siguiente (particularizado al nombre de usuario asignado):

client dev tun proto tcp remote-random remote 217.12.18.211 443 resolv-retry infinite nobind persist-key persist-tun ca certsNEREA/ca.crt cert certsNEREA/<usuario>.crt key certsNEREA/<usuario>.key comp-lzo verb 3

3. Importante: Si en la red local del puesto cliente no está permitida la navegación directa

por Internet, sino que fue necesaria la configuración de un servidor Proxy en el navegador, sería necesario añadir la información del Proxy usado en el fichero de configuración de OpenVPN:


• vi /etc/openvpn/nerea.conf (sin Proxy)

client dev tun proto tcp remote-random remote 217.12.18.211 443 resolv-retry infinite nobind persist-key persist-tun ca certsNEREA/ca.crt cert certsNEREA/<usuario>.crt key certsNEREA/<usuario>.key comp-lzo verb 3 http-proxy <direccion_IP_Proxy> <Puerto_Proxy> auto

4. Una vez establecida la infraestructura de certificados y la configuración específica, se puede proceder a levantar el servicio openvpn. Si se utiliza proxy, durante el arranque del mismo se nos solicitará por línea de comandos las correspondientes credenciales caso de requerir autenticación.

[root@mipc ~]# /etc/init.d/openvpn start Iniciando openvpn: [ OK ]

5. Tras el periodo de intercambios de certificados entre el puesto cliente y el servidor de túneles, si no sucede ningún problema, el servicio OpenVPN crea un interfaz virtual de tipo “tunnel” (por defecto tun0), con la dirección IP compatible con las redes de NEREA que le ha sido asignada.

[root@mipc~]# ............. tun0

ifconfig Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00 -00-00-00-00-00-00-00 inet addr:10.128.9.5 P-t-P:10.128.9.6 Mask:255.255. 255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Met ric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier: 0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

6. Adicionalmente, el servicio openvpn crea las rutas necesarias para encaminar de forma correcta el tráfico hacia las redes de NEREA:

[root@mipc ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use If ace 10.128.9.6 * 255.255.255.255 UH 0 0 0 tun0 10.128.0.65 10.128.9.6 255.255.255.255 UGH 0 0 0 tu n0 10.128.128.0 10.128.9.6 255.255.248.0 UG 0 0 0 tun0 10.128.0.0 10.128.9.6 255.255.128.0 UG 0 0 0 tun0 ................................................... .................

7. Por último, para poder acceder correctamente a los servicios ofrecidos a través de CAR, es necesario resolver de forma adecuada los nombres de dominio de los distintos servidores. Aunque algunas distribuciones de Linux lo realizan de forma automática, lo habitual es tener


que modificar manualmente la lista de servidores de nombre (DNS) que nuestro puesto consulta. Para ello, se edita el fichero /etc/resolv.conf y se añade la línea con el servidor de nombres del Centro de Servicios Comunes de NEREA al principio de la lista de servidores DNS: • vi /etc/resolv.conf

search <dominio de busqueda> nameserver 10.128.0.143 nameserver <direccion IP de servidor DNS>

Si se desea finalizar el túnel, para hacer efectiva la desconexión de la red de NEREA, con detener el servicio de openvpn y eliminar la línea con el servidor DNS del Centro de Servicios Comunes que se añadió al fichero /etc/resolv.conf.

5.3. EN MICROSOFT WINDOWS Desde el sitio web oficial de OpenVPN puede descargarse el ejecutable autoinstalable para Microsoft Windows. Durante la redacción del presente documento, la última versión ofrecida es la 2.2.2, válida para las versiones Windows XP x86 y x86_64 y Windows Vista x86 y x86_64, y Windows Seven x86 y x86_64. Los pasos a seguir para la instalación son:

1. En la URL http://openvpn.net/index.php/download/community-downloads.html descargar el fichero autoinstalable openvpn-2.2.2-install.exe, lo cual redirige a la página del fichero autoinstalable. Pinchamos sobre el hipervínculo openvpn-2.2.2-install.exe, descargándonos el archivo http://swupdate.openvpn.org/community/releases/openvpn-2.2.2-install.exe, debiéndose seleccionar la opción “Guardar”:

2. Una vez finalizada la descarga, hacemos doble clic sobre el fichero, comenzando así el

proceso de instalación. A continuación se presenta la pantalla de bienvenida, en la cual pulsamos el botón “Next >”:


3. A continuación, se muestra en la pantalla el acuerdo de licencia, el cual aceptamos pulsando el botón “I Agree”:

4. La siguiente pantalla es la de selección de componentes. Dejamos la selección marcada

por defecto, es decir, con todos los componentes seleccionados, y se acepta pulsando el botón “Next >”:


5. A continuación se muestra la pantalla de selección de la ruta de instalación, siendo recomendable no alterar la ruta por defecto, que denominaremos <Ruta-a-programas>\OpenVPN. Se acepta pulsando el botón “Install”:

6. Antes de continuar, el sistema Windows solicita confirmación de la instalación del controlador para el dispositivo de red virtual necesario para la VPN, a lo que se responde pulsando el botón “Instalar”:


7. Se inicia en este punto la instalación propiamente dicha, siendo monitorizable con la barra de estado y con la ventana de salida de mensajes:

8. Si no ocurre ningún error, se completará el progreso de la instalación, apareciendo el mensaje “Installation Complete”. Se acepta este mensaje pulsando el botón “Next >”, lo que lleva a la pantalla de despedida que se cierra con el botón “Finish”:


En este punto la herramienta cliente de OpenVPN se encuentra instalada, pero no se encuentra configurada para cerrar túneles con el Centro de Acceso Remoto de NEREA. Como respuesta a la solicitud, el CAU de la Red NEREA habrá facilitado un archivo comprimido con todos los ficheros necesarios para ello. Los pasos a seguir para la configuración son:

1. Desplegar la infraestructura de certificados enviada para el acceso a NEREA. Para no interferir con otros posibles usos del cliente de OpenVPN, se creará un subdirectorio diferenciado, denominado certsNEREA, donde se ubicarán:

a. Certificado de la Autoridad Certificadora de NEREA (ca.crt)


b. Certificado del usuario (<usuario>.crt) c. Clave privada del usuario (<usuario>.key).

En un explorador de Windows, se abre la carpeta <Ruta-aprogramas>\OpenVPN\config, y se extrae en el mismo el contenido del fichero comprimido que ha recibido desde el CAU de red NEREA correspondiente al usuario VPN que se desee instalar en el equipo:

El contenido de la carpeta ‘certsNEREA’ deberá ser similar al de la imagen siguiente (particularizando para el correspondiente nombre de usuario):


2. Tras el despliegue de certificados y el archivo de configuración, será posible establecer el túnel contra el CAR de la red NEREA. Para ello se hace doble clic sobre el acceso directo “OpenVPN GUI” que la instalación ha creado en el escritorio del usuario, o bien en el Menu Inicio. Esto lanzará la interfaz gráfica del cliente OpenVPN y crea el correspondiente icono en el área de notificación de la barrar de herramientas.

3. Para iniciar la conexión, sobre este icono pulsaremos con el botón derecho del ratón, desplegándose el menú contextual sobre la misma área de notificación. Se seleccionará la opción “Connect”:

En la ventana que esta acción abre, podrá observarse el log con los pasos que se están llevando a cabo para establecer la conexión.


Si se utiliza Proxy y éste requiere autenticación, también se solicitan los credenciales correspondientes:

4. Tras finalizar con éxito el proceso de establecimiento de túneles SSL, ya se está en disposición de acceder a los servicios ofrecidos desde NEREA. El icono del área de notificación cambia su color de rojo a verde y la nueva conexión de red que la instalación de OpenVPN creó pasa de desconectada a conectada. El último mensaje es "Initialization Sequence Completed", es decir, la conexión se estableció correctamente.

5. Para proceder con la desconexión de NEREA basta con seleccionar la opción “Disconnect” del menú contextual del icono del área de notificación de la barra de herramientas:


5.3.1 CONFIGURACIÓN DEL EJECUTABLE "OpenVPN GUI" EN WINDOWS 7

Para la instalación en equipos con este sistema operativo, es necesario modificar algunas propiedades en el ejecutable "OpenVPN GUI". Haciendo click con el botón derecho, seleccionamos Propiedades>Pestaña Compatibilidad:

1) Ejecutar en modo compatibilidad para Windows Vista Service Pack 1 2) Nivel de privilegio: Ejecutar este programa como administrador.


5.4 En Android

Desde el icono de Play Store ( ) de Google play que encontrará en el menú de su dispositivo Android busque “Openvpn” y a continuación pulse “INSTALAR”:

Le aparecerá un mensaje como el que muestra el siguiente dibujo: pulse “ACEPTAR”


Llegado a este punto, debemos instalar los certificados que desde el CAU NEREA le facilitaron siguiendo los siguientes pasos:

1. Con el dispositivo Android conectado a un PC, creamos una nueva carpeta “OPENVPN”

2. Copiamos los certificados que desde el CAU NEREA nos facilitaron (todos en la carpeta OPENVPN que hemos creado):

3. A continuación debemos modificar la ruta de consulta de los certificados en el fichero “nerea.ovpn”. Abrimos el fichero “nerea.ovpn” con un editor de texto y modificamos las siguientes líneas, eliminando lo que marcamos en rojo:

ca certsNEREA/ca.crt cert certsNEREA/testingsandetel1.crt key certsNEREA/testingsandetel1.key


Quedando el fichero de la siguiente manera:

4. Desconectamos el dispositivo del PC e importamos los certificados que hemos copiado, realizando los siguientes pasos:


5. Con esto ya estamos conectados a Red NEREA:


6 CONSULTAS FRECUENTES.

En este apartado se incluyen ejemplos relativos a problemas de conectividad reportados por los usuarios, así como la solución a los mismos.

6.1 NO PUEDO INSTALAR OPEN VPN PORQUE NO TENGO PERMISOS DE ADMINISTRADOR.

Para instalar la aplicación en su PC, ha de contactar con su administrador del equipo o ejecutar el software de instalación desde un usuario con perfil administrador.

6.2 MENSAJE DE CONEXIÓN FALLIDA.

Por favor, revise los log y en caso de que el error no se incluya en este documento, contacte con CAU NEREA remitiendo el log para poder hacer un diagnóstico de la incidencia.

6.3 CÓMO MIRAR EL LOG DE CONEXIÓN.

“Tengo una incidencia y no encuentro el fichero de log para remitirlo al CAU NEREA, y

facilitar así el diagnóstico de la misma.”


• Linux: La información relativa al proceso de conexión se encuentra en el fichero /var/log/openvpn.log. En distribuciones Debían, por defecto se enviarán los mensajes de log a /var/log/syslog, a nos ser que se añada y especifique la directiva "log-append" en el fichero de configuración:

;log-append /var/log/openvpn.log

• Windows: En este caso, la información estará disponible en<Ruta-aprogramas>\OpenVPN\log.

6.4 ERROR DE CERTIFICADO EXPIRADO.

Cuando en los logs de la conexión Open VPN aparece el mensaje de error=”certificate has expired", por favor, contacte con el CAU NEREA para solicitar la renovación de sus certificados de usuario.

6.5 ¿PUEDO USAR UN MISMO CERTIFICADO DE USUARIO EN MÁS DE UN PC?

“Tenemos varios usuarios concurrentes, pero no puede conectarse con más de uno a la

vez. Cuando termina la secuencia indica Initialization Sequence Completed, pero a los

pocos segundos en la barra de tareas de Windows el icono de VPN se pasa a color ámbar

y le sale notificación de Nerea is not conected.”

Un mismo usuario VPN no puede ser utilizado en distintos equipos, ya que cuando se inicia la conexión en el segundo PC, el primero se desconecta y viceversa. En el Log del

servidor se recoge en estos casos:

: MULTI: new connection by client 'usuario' will cause previous active sessions by this client to be

dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same

certificate or username to concurrently connect

Si se desea cerrar el túnel VPN desde más de un PC, se deberán solicitar al CAU de Red NEREA tantos certificados distintos como clientes simultáneos se requieran, teniendo en cuenta que el máximo es de 4 usuarios.

6.6 LENTITUD Y DESCONEXIONES INTERMITENTES.

“Hemos detectado desconexiones intermitentes de los clientes VPN de nuestra Entidad

Local. El cliente tarda en conectarse y cuando consigue conectar, vuelve a desconectarse

al poco tiempo (a los 3 o 4 minutos).”

Para poder diagnosticar si el origen de las caídas es su conexión a Internet, por favor, verifique la accesibilidad del acceso haciendo ping a una IP pública (por ejemplo, a google.es). De esta forma, podrá determinar si hay pérdida de paquetes o tiempo de


respuesta altos (del orden de cientos de ms), ya que en ese caso, el problema es de su salida a Internet y habrá de contactar con su proveedor de servicios. En caso de que las pruebas anteriores sean satisfactorias, por favor, revisen la accesibilidad al servidor VPN de Red NEREA en vigor, cuya IP es 217.12.18.211.

6.7 MENSAJE “RESTART-PAUSE”

“Al intentar conectar con cualquiera de los usuarios VPN asignados a mi entidad local, la

conexión se queda colgada, aparece el mensaje "Restart - Pause" y se desconecta.”

El origen de esta incidencia es la caducidad del certificado; por tanto:

- Si tiene acceso a su red provincial, puede acceder a Red NEREA y sus servicios a través de esta.

- Si no tiene acceso a su red provincial, por favor, contacte con CAU NEREA para solicitar la renovación de los certificados de usuario.

6.8 ACTIVAR TAP-WIN32.

“El usuario proporcionado no conecta con la red NEREA, apareciendo el mensaje: No

se puede conectar con NEREA".

Para solucionar este problema, por favor, verifique si tiene deshabilitado el adaptador de red TAP-WIN32 Adapter. TAP es un simulador de interfaz de red Ethernet (más comúnmente conocido como modo puente o bridge). Estos túneles virtuales encapsulan directamente paquetes Ethernet, permitiendo empaquetar entramados diferentes al IP. Las máquinas situadas detrás de cada uno de los extremos del enlace pueden operar como parte de la misma subred.

Este adaptador es de gran importancia, por lo que en caso de no estar habilitado, por favor, habilítelo, creando así un puente entre el adaptador habitual de su red y el que ha

creado OpenVPN, de forma que los dos adaptadores de red tengan la misma configuración IP y por tanto, actúen como si de una única tarjeta de red se tratara.

¿Cómo lo habilito? En el Panel de Control, vayan a Conexiones de Red y sobre la conexión TAP-Win32, pulse el botón derecho del ratón seleccionando la opción Activar.


6.9 ¿TIENE LA INTERFAZ VIRTUAL TAP UNA IP DEL RANGO DE NEREA?

Con una interfaz de comandos y mediante la orden “ipconfig”, se puede comprobar si la interfaz virtual tiene dirección IP compatible con los rangos de NEREA. También puede observarse si el servidor DNS asignado a esta conexión de área local es el propio del Centro de Servicios Comunes de NEREA, con dirección IP 10.128.0.143.

C: \ Documents and Settings \ usuario>ipconfig /all ................................................... ..................... Adaptador Ethernet Conexión de área local 4 : Sufijo de conexión específica DNS : Descripción. . . . . . . . . . . : TAP-Win32 Adapte r V9 Dirección física. . . . . . . . . : 00-FF-43-9B-46- 46 DHCP habilitado. . . . . . . . . : No Autoconfiguración habilitada. . . : Sí Dirección IP. . . . . . . . . . . : 10.128.9.5 Máscara de subred . . . . . . . . : 255.255.255.252 Puerta de enlace predeterminada : Servidor DHCP . . . . . . . . . . : 10.128.9.6 Servidores DNS . . . . . . . . . .: 10.128.0.143

6.10 ¿SE HAN CREADO CORRECTAMENTE LAS RUTAS PARA ENCAMINAR EL TRÁFICO A TRAVÉS DE RED NEREA?

Para verificar si el lanzamiento de la conexión ha añadido las rutas necesarias para encaminar el tráfico hacia NEREA a través del túnel recién establecido, podemos ejecutar

desde un interfaz de comando la orden “route print”:

C: \ Documents and Settings \ usuario>route print =================================================== ======================== ILista de interfaces 0x1 ........................... MS TCP Loopback int erface 0x2 ...54 55 43 44 52 03 ...... Check Point Virtual Network Adapter For SecureCl ient - Minipuerto del administrador de paquetes 0x3 ...00 0c 29 3c 97 7e ...... VMware Accelerated AMD PCNet Adapter - SecuRemot e Miniport 0x10005 ...00 ff 43 9b 46 46 ...... TAP-Win32 Adapt er V9 - SecuRemote Miniport =================================================== ======================== =================================================== ======================== Rutas activas: Destino de red Máscara de red Puerta de acceso Inte rfaz Métrica ................................................... .... 10.128.0.0 255.255.128.0 10.128.9.6 10.128.9.5 1 10.128.0.65 255.255.255.255 10.128.9.6 10.128.9.5 1 10.128.9.4 255.255.255.252 10.128.9.5 10.128.9.5 30 10.128.9.5 255.255.255.255 127.0.0.1 127.0.0.1 30 10.128.128.0 255.255.248.0 10.128.9.6 10.128.9.5 1 ................................................... .................


6.11 SOLO PUEDO ACCEDER CON PERFIL ADMINISTRADOR.

“Sólo es posible el acceso con perfil de administrador y yo no soy el administrador de mi

PC.”

En clientes OpenVPN ejecutados en cuentas de usuario sin permisos de administración en Sistemas Operativos WINDOWS, se ha registrado que el Sistema Operativo no permite la introducción, por parte del cliente OpenVPN, de determinadas rutas en la tabla de rutas del equipo, lo que conlleva la imposibilidad de acceder a los servicios de NEREA. La solución pasa, necesariamente, porque el administrador de los sistemas informáticos configure en el equipo las rutas necesarias, lo que se puede realizar con los siguientes comandos:

route add 10.128.0.0 mask 255.255.0.0 10.128.64.6 metric 1 if 10.128.64.5 route add 10.128.0.65 mask 255.255.255.255 10.128.64.6 metric 1 if 10.128.64.5

Por favor, tengan en cuenta que si el usuario con el que se quieren añadir las rutas no tiene suficientes privilegios, será necesario añadir el usuario en el grupo de "Operadores de Configuración de Red”. De esta forma, no obtenemos mensajes de error al ejecutar el comando “route add”:

6.12 ERROR DE APLICACIÓN.

“Me han sustituido el ordenador y desde entonces, una vez configurado el acceso a Nerea,

me da un error que no se cómo corregir.”

A continuación se muestra un pantallazo con información del error reportado:

Dicho error tiene su origen en la propia aplicación, por lo que se recomienda revisar tanto la instalación de esta, como el antivirus y cortafuegos de la sede.


6.13 ERROR 400 EN NAVEGADOR.

“No puedo acceder a determinado servicio y me sale un error 400 en el navegador.”

Lo primero que hemos de revisar es si existe algún Firewall o Proxy que este cortando el tráfico. En el caso de que estas no sean las causas del error, se comprobará si es problema del DNS porque tras cerrar la VPN no se utilice el servidor DNS de NEREA. En este caso, el error se resolverá con el cambio manual del servidor DNS de los PC's a la IP 10.128.0.143 en las conexiones del equipo.

6.14 CAMBIO DE CIERRE MANUAL DEL TUNEL VPN A AUTOMÁTICO.

“¿Existe algún modo de automatizar la creación del túnel VPN?”

Sí, es posible automatizarlo como servicio de Windows. Si no se especificó lo contrario, en la instalación del cliente de OpenVPN se creó el servicio "OpenVPN Service". Accediendo a la consola de servicios de Windows, con "Panel de Control>Herramientas Administrativas>Servicios" se puede localizar este servicio, que por defecto está parado y tiene "Tipo de inicio" manual. Editando sus propiedades puede cambiarse el tipo de inicio en automático. Así, cuando se reinicie el servidor se arrancará automáticamente el OpenVPN. De esta forma, no será necesario que ningún usuario lance de forma manual la herramienta gráfica.