Continuando con la temática de VPN, hoy quiero mostrarles como se realiza una VPN para un usuario tipo Road Warrior o Acceso remoto. Este tipo de VPN es muy utilizada ya que básicamente consiste en brindar acceso a la LAN a través de internet a usuarios que no están presentes físicamente en esta; es decir; por ejemplo hay un empleado de una empresa y necesita acceder a los recursos de dicha empresa, pero el empleado no esta ubicado geográficamente en ella, lo que puede hacer es acceder a esta a través de la WAN y mediante la dirección publica de la empresa podrá acceder a los recursos de la LAN.
Para lograr esto vamos a utilizar la siguiente topología.
Como servidor VPN utilizaremos Untangle, un appliance basado en Debian con grandes características y el cual ya habíamos utilizado anteriormente en este post.
Asumiendo entonces que tenemos el Untangle ya instalado procederemos a instalar el servidor OpenVPN.
Como ya sabremos debemos tener una cuenta de usuario creada en la web de Untangle y nos loguearemos con esta para descargar el paquete.
Luego de descargado e instalado nos dirigimos a la configuración de este.
Elegiremos la opción de configurar un servidor VPN y esto iniciara un asistente de configuración.
En este se creara una CA y un certificado digital el cual exportaremos mas adelante para poder autenticar y cifrar la información para el cliente VPN.
Luego nos mostrara las redes a las que tendrá acceso el cliente VPN, en mi caso solo tengo la red LAN, pero si tuviera una red DMZ y quisiera que solo accedieran a dicha red este seria el lugar para definirlo.
Finalizado el proceso comenzamos a configurar las opciones de los clientes, primero añadiremos un nuevo cliente.
En mi caso el cliente se llama ClientesVPN y tiene asignado un pool de direcciones llamado "default".
Ahora en la pestaña avanzado observamos dicho pool de direcciones, y lo editaremos, también podremos crear uno nuevo pero el nombre asignado deberá coincidir con el pool de direcciones al que pertenecen los clientes en el paso anterior.
En mi caso las direcciones IP asignadas al cliente VPN serán en la subred 192.168.100.0/24, si contamos con un servidor DNS que resuelva el nombre del servidor Untangle lo exportamos, de no ser asi lo dejamos como esta.
Ahora basta con aplicar los cambios para que surtan efecto.
Luego de esto vamos a la pestaña administración del Untangle.
Desde aquí permitiremos la administración del servidor de manera externa, con esto lograremos que desde el cliente VPN podamos abrir el Untangle de manera remota y así descargarnos la aplicación cliente VPN y los certificados digitales del servidor para poder instalarlos y autenticarnos.
Esta es mi red, tengo en la parte del fondo el servidor Untangle en el cual existen 2 tarjetas de red (Una en la LAN y otra en la WAN). En la parte derecha tengo un cliente en la red LAN (192.168.1.2) y en la parte derecha esta un host en internet que intentara acceder a el Untangle desde la WEB para recibir una dirección dentro de la red LAN.
Desde el usuario en internet accederemos a la IP publica del Untangle mediante HTTPS y nos autenticamos en el servidor.
Luego entramos a la configuración de la VPN.
Y desde la pestaña clientes nos descargaremos el instalador del cliente OpenVPN y los certificados digitales del servidor.
Comenzamos por descargarnos la aplicación.
Y la instalamos como cualquier software de Windows.
Luego nos descargamos los certificados digitales.
NOTA: Cuando descargamos el instalador de esta manera los certificados se instalan automáticamente y la comunicación entre el cliente y el servidor VPN es satisfactoria, así que el siguiente paso puede ser omitido, de no ser satisfactoria pueden continuar con el proceso instalando los certificados digitales manualmente.
Los extraemos.
Y nos aparecerá primero el archivo con toda la configuración del cliente VPN, entre los datos mas relevantes esta el certificado digital, la llave privada y la IP del servidor VPN, este archivo nos sirve de base para poder modificar el original del cliente.
Estos son los certificados, dándole doble clic sobre estos podremos instalarlos.
Ahora procedemos a conectarlo.
NOTA: El archivo de configuración del cliente mostrado anteriormente puede copiarse completo y pegarse dándole en el botón "Edit Config".
Si todo sale bien nos aparecerá este mensaje.
Nos aparecerá una nueva tarjeta de red con una dirección entre el rango del pool que definimos en el servidor, además si desde el host remoto hasta el cliente en la LAN intentamos dar un ping ya podremos verlo.
Intentare compartir cualquier archivo desde el usuario en la LAN con el cliente VPN.
Ahora me conectare.
Y la compartición de archivos sera exitosa.
Esto es un proceso fácil y muy útil, pueden hacerlo para muchas cosas interesantes como una comunicación VoIP, espero haberles ayudado, no duden en preguntar. ;)
Si has encontrado útil este artículo puedes compartirlo desde tu blog, página Web o foro.
7 comentarios:
excelente post me sirvio muchoooooooooooo
grande, eres grande. totalmente claro, aunque no lo he hecho pienso hacerlo solo tenga un tiempecito.
cual puede ser el error si tienes todas las configuraciones bien hechas instalaste el cliente y hace ping a la 192.168.1.2 exitosamente y a la 192.168.1.3 no llega el paquete
Me alegra mucho que te haya servido. Saludos.
Muchas gracias por tus halagos, espero que me cuentes cuando lo implementes. Saludos.
disculpa una pregunta... me sirvio mucho tu tutorial... gracias... solo un detalle aver si me puedes ayudar... lo que pasa es que mi cliente vpn solo ve la direccion del servidor (untantle) pero las demas direcciones de los demas equipos de la lan no los ve... me podrias decir que me falto? saludos.
Gracias por la dedicación para este tipo de tutoriales de seguridad de redes.
Publicar un comentario