Post on 30-Mar-2016
description
Instalación de OpenVPN en
Windows7 Guía de Configuración Rápida
Salvador Pluma Tzontecomani
22001133 Versión: 3.0.1
Índice
1. Instalación de OpenVPN.....................................................................................................................1
2. Generación de claves .........................................................................................................................3
2.1. Visión general ........................................................................................................................3
2.2. Generación del certificado master (CA) y su clave ...............................................................4
2.3. Generación del certificado y clave privada para el servidor..................................................7
2.4. Generación del certificado y clave privada para los clientes.................................................7
2.5. Generación de los parámetros Diffie Hellman.......................................................................7
2.5. Archivos de claves.................................................................................................................8
3. Inicio de Servidor.........................................................................................................................8
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
1 1
Este documento describe cómo configurar OpenVPN en un entorno típico Casa-Oficina.
Dado el elevado número de asuntos relacionados para configurar firewalls, VPNs y NAT se tratará de describir la configuración de un sistema completo en lugar de describir únicamente la configuración de la VPN.
En nuestro ejemplo, tanto las redes privadas de Casa como la del Trabajo se unen a Internet por medio de dos puertas de enlace, cada una de las cuales tienen una dirección IP pública. Cada máquina que actua como puerta de enlace tiene dos interfaces de red, una conectada a la red privada y la otra conectada a Internet. Las puertas de enlace dan soporte a los servicios NAT, firewall y VPN para las máquinas de las redes privadas. Tanto la configuración de Casa como la de la Oficina son casi simétricas exceptuando que la Oficina tiene una dirección IP fija mientras que la de Casa tiene una dirección IP dinámica (DHCP).
Los ficheros de configuración de los siguientes ejemplos están también disponibles en el paquete de OpenVPN.
11.. II nnssttaallaacciióónn ddee OOppeennVVPPNN
Antes de Ejecutar el Servidor Gráfico OpenVPN es necesario reunir las siguientes características técnicas y seguir una serie de pasos. Posteriormente se ejecutará la aplicación ServidorVPN.exe del paquete InstaladorServidor proporcionado.
Requerimientos mínimos de hardware y software
� Windows XP , Windows vista, Windows 7 � Conexión a Internet
Para comenzar con OpenVPN necesitamos descargar el instalador para Windows de OpenVPN, el cuál puede obtenerse de la siguiente URL: http://openvpn.net/release/openvpn-2.0.9-install.exe
Figura 1. Descargar y guardar OpenVPN.exe
Esto probablemente nos instale el software de OpenVPN en el siguiente directorio:
C:\Archivos de Programa\OpenVPN
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
2 2
Mensaje Seguridad Nos aparecerá un mensaje de seguridad de Windows. Pulsamos sobre Instalar este software de controlador de todas formas.
Figura 2. Instalar controlador
Hemos completado la instalación. Pulsar sobre Next y posterios mente Pulsamos el botón Finish para dar por terminada la instalación. Una vez terminado el proceso de instalación debemos Ejecutar OpenVPN GUI como Administrador Este paso es MUY IMPORTANTE para el correcto funcionamiento de OpenVPN bajo Windows 7. Tenemos que ejecutar OpeVPN GUI (el programa que usaremos para conectar/desconectar de TUVPN) como Administrador para que OpenVPN funcione correctamente.
Para ello, vamos al menú de Inicio → OpenVPN → OpenVPN GUI, botón derecho y seleccionamos Propiedades.
Figura 3. Ejecutar como Administrador
A continuación abrimos la pestaña Compatibilidad y marcamos la opción Ejecutar este programa como administrador. A partir de este momento, siempre que ejecutemos OpenVPN GUI lo hará como Administrador asegurando el correcto funcionamiento de la VPN.
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
3 3
Parámetros de configuración para la red de Casa y la
Oficina
Casa Oficina
Subred ethernet local
(Dirección privada)
10.0.1.0/24 10.0.0.0/24
Extremo del túnel
(Dirección privada)
10.1.0.2 10.1.0.1
Puerta de enlace
OpenVPN (Dirección
pública)
cliente DHCP, no
necesita ser
especificada
1.2.3.4
Para generar los certificados y claves tanto para un servidor VPN como para sus clientes es necesario tener instalado el paquete OpenVPN. Este documento describe dicha instalación y posterior uso bajo sistema operativo Windows 7.
22.. GGeenneerr aacciióónn ddee ccllaavveess
2.1. Visión general
El primer paso en la construcción de una configuración de
claves en OpenVPN 2.0 es establecer una PKI (infraestructura
de clave pública). La PKI consta de:
• un certificado independiente (también conocido como
una clave pública) y la clave privada
para el servidor y cada cliente, y
• un maestro de autoridad de certificación (CA) de
certificado y la clave que se utiliza para firmar cada uno
de los certificados de servidor y cliente
OpenVPN admite autenticación bidireccional basada en
certificados, lo que significa que el cliente debe autenticar el
certificado del servidor y el servidor debe autenticar el
certificado de los clientes antes de que se establezca la
confianza mutua.
Tanto el servidor como el cliente se autenticarán
primeramente verificando que el certificado presentado por el
otro fue firmado por la autoridad de certificado patrón (CA). A
continuación ambos extremos verificarán la información del
encabezado de los certificados verificando el nombre común o
el tipo de certificado presentado (cliente o servidor).
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
4 4
Este modelo de seguridad presenta las siguientes ventajas:
� El servidor sólo necesita su propio certificado/clave -
no es necesario que conozca los certificados
individuales de cada cliente que pueda conectarse
� El servidor sólo aceptará a clientes cuyos certificados
fueron firmados con el certificado principal (CA) de la
entidad emisora cuya generación veremos más
adelante. Y debido a que el servidor puede realizar esta
comprobación de la firma sin necesidad de acceso a la
clave privada de la entidad emisora de certificados.
� Si una clave privada está en peligro, puede
desactivarse añadiéndose a una CRL (lista de
revocación de certificados). La CRL permite rechazar
certificados comprometidos de forma individual sin
necesidad de tener que regenerar o reconstruir toda la
estructura de claves y certificados (PKI).
� El servidor puede gestionar derechos de acceso
específicos para diferentes clientes basados en los
campos del certificado presentado, tales como el
nombre común.
2.2. Generación del certificado master (CA) y su clave
Nota Importante: Enfocado a esta configuración .. Una vez
que los clientes (Windows/Linux) se conecten a la red VPN
quedarán automáticamente sin conexión a Internet, lo cual NO
podrán acceder a la red mundial. Esto puede ser modificable
en el servidor VPN.
Cómo configurar un servidor de OpenVPN
Figura 4. Servidor de Pasarela OpenVPN con clientes (Windows/Linux) remotos
El servidor VPN hace de pasarela para que todos los clientes
(Windows/Linux) puedan estar comunicados a través del
túnel
OpenVPN, estos al conectarse por medio de Internet al túnel
automáticamente quedan sin línea a la red mundial quedando
como una red local, esto claro esta a través de la VPN.
Cada cliente se encuentra en lugares diferentes
(ciudad/estado/país) con diferentes tipos de segmento de
red, al estar conectados mediante el túnel VPN se crea un red
virtual y se asigna un nuevo segmento de red proporcionada
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
5 5
por el servidor principal en este caso con segmento (por
ejemplo: 10.10.0.0/255.255.255.0 no 192.168.37.0
/255.255.255.0).
En esta sección vamos a generar una certificado/clave de
entidad emisora de certificados principal (CA), una
clave/certificado de servidor y certificados y claves para 3
clientes diferentes.
Para la administración de PKI, utilizaremos un conjunto de secuencias de comandos con OpenVPN.
Para ello, abrir una ventana de símbolo del sistema (Ejecutar cmd) y cambiar al directorio \Archivos de programa\OpenVPN\easy-rsa.
Figura 5. Ejecutar OpeonVPN en CMD
Ejecute el siguiente archivo por lotes para copiar los archivos de configuración en su lugar (este proceso sobrescribirá cualquier archivo vars.bat y openssl.cnf prexistentes):
init-config
Ahora, edite el archivo de variables (llamado vars.bat en Windows) y configure los parámetros de KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG y KEY_EMAIL. No deje ninguno de estos parámetros en blanco. lo que haremos será cambiar estas últimas lineas como se ve acá.
set KEY_COUNTRY=CO set KEY_PROVINCE=CA set KEY_CITY=Manizales set KEY_ORG=TodoTecnologia.net set KEY_EMAIL=todotecnologia.net@gmail.com
Obviamente, ahí pondrás tus propios Datos. te explico. set KEY_COUNTRY=Iniciales de tu país set KEY_PROVINCE= Iniciales de tu provincia set KEY_CITY= El nombre de tu ciudad set KEY_ORG= Tu nombre o el de tu organización. set KEY_EMAIL= El correo de tu organización A continuación mostramos un ejemplo de archivo vars.bat @echo off rem Edit this variable to point to rem the openssl.cnf file included rem with easy-rsa. set HOME=%ProgramFiles%\OpenVPN\easy-rsa set KEY_CONFIG=openssl.cnf
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
6 6
rem Edit this variable to point to rem your soon-to-be-created key rem directory. rem rem WARNING: clean-all will do rem a rm -rf on this directory rem so make sure you define rem it correctly! set KEY_DIR=keys rem Increase this to 2048 if you rem are paranoid. This will slow rem down TLS negotiation performance rem as well as the one-time DH parms rem generation process. set KEY_SIZE=1024 rem These are the default values for fields rem which will be placed in the certificate. rem Change these to reflect your site. rem Don't leave any of these parms blank. set KEY_COUNTRY=SP set KEY_PROVINCE=BCN set KEY_CITY=Barcelona set KEY_ORG=DAVANTEL set KEY_EMAIL=info@davantel.com
A continuación inicie la generación de la PKI a través de la secuencia de comandos:
vars clean-all build-ca El comando final construirá el certificado de la autoridad (CA) de certificación y la clave invocando el comando openssl: @echo off cd %HOME% rem build a cert authority valid for ten years, starting now openssl req -days 3650 -nodes -new -x509 -keyout %KEY_DIR%\ca.key –out %KEY_DIR%\ca.crt -config %KEY_CONFIG% Aparecerá en pantalla los siguientes mensajes mostrando el progreso de la generación del certificado CA y de la clave. ai:easy-rsa # ./build-ca Generating a 1024 bit RSA private key ............++++++ ...........++++++ writing new private key to 'ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [KG]:
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
7 7
State or Province Name (full name) [NA]: Locality Name (eg, city) [BISHKEK]: Organization Name (eg, company) [OpenVPN-TEST]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:OpenVPN-CA Email Address [me@myhost.mydomain]: Si no entramos ningún valor para ningún parámetro, el programa nos tomará los valores definidos en el archivo vars.bat. El único parámetro que debe especificarse explícitamente es el Common Name.
En el ejemplo anterior, utilizamos "OpenVPN-CA".
2.3. Generación del certificado y clave privada para el servidor
Para generar el certificado y la clave privada para el servidor entrar el comando
build-key-server server
Como en el paso anterior, la mayoría de los parámetros pueden tomarse de forma predeterminada a partir del archivo vars.bat. Cuando se le pregunte el Common Name, escriba "server". Teclee ‘y’ para responder afirmativamente al resto de preguntas que le haga el proceso de generación.
2.4. Generación del certificado y clave privada para los clientes
Para generar los certificados y claves privadas para 3 clientes ejecute los comandos siguientes:
build-key client1 build-key client2 build-key client3 Para cada cliente, asegúrese de escribir un Common Name apropiado cuando se le solicite. Por ejemplo "client1" , "client2" y "client3". Utilice siempre un nombre único para cada cliente.
2.5. Generación de los parámetros Diffie Hellman
Estos parámetros deben generarse únicamente para el servidor. Para hacerlo ejecute el comando:
build-dh
A continuación aparecerá en pantalla el progreso de la generación tal y como se muestra a continuation:
ai:easy-rsa # ./build-dh Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time .................+........................................... ...................+.............+.................+.........
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
8 8
2.5. Archivos de claves
Todos los certificados y claves generados en los pasos anteriores se encontrarán en el subdirectorio keys. A continuación los detallamos:
Archivo Es necesario para… Significado Secreto
CA.crt Servidor + todos los clientes Certificado de entidad emisora de certificado raíz
No
CA.key sólo equipo firma clave Clave de entidad emisora de certificados raíz
Si
Dh1024.pem sólo servidor Parámetros de Diffie Hellman No server.crt sólo servidor Certificado de servidor No server.hey sólo servidor Clave del servidor Si cliente1.crt cliente 1 sólo Certificado de Cliente1 No cliente1.key cliente 1 sólo Clave de Cliente 1 Si cliente2.crt cliente 2 sólo Certificado de Cliente2 No cliente2.key cliente 2 sólo Clave de Cliente 2 Si cliente3.crt cliente 3 sólo Certificado de Cliente3 No cliente3.key cliente 3 sólo Clave de Cliente 3 Si
33.. II nniicciiaarr eell SSeerr vviicciioo Para iniciar el servicio ejecuten el OpenVPN GUI el cual debió quedar en su escritorio cuando instalaron el programa.
Figura 6. Iniciar Servidor OpenVPN
Luego en la barra de tareas aparecerá un icono como lo muestra la figura. Le dan doble click, y ya estará funcionando el servidor REDES
Figura 7. Notificación OpenVPN corriendo
Después de darle doble click saldrá una ventana que muestra un log de lo que está haciendo y unos segundos después verán algo como esto.
Figura 7. Conectar Servidor
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
9 9
Finalmente si entran a conexiones de Red verán que las 2 redes están activas
Aclaro que los archivos ca.crt NombreDelCliente.crt NombreDelCliente.key
Deben enviárselos al cliente.
Fuentes:
1. TodoTecnologia.net
Blog dedicado a crear tutoriales de herramientas informáticas y dar a conocer las novedades de la Tecnología.
www.todotecnologia.net/como-configurar-un-servidor-openvpn-en-windows.htm
2. DAVANTEL
Desarrollo avanzado en telecomunicaciones, S.L.
Generación de claves en VPN
www.davantel.com
3. Universidad de Costa Rica Facultad de Ingeniería
IE – 0502 Proyecto Eléctrico Seguridad en Redes Inalámbricas de Área Local.
Instalación de OpenVPN en Windows7
salvador2463@gmail.com
10 10
DDIIPPLLOOMMAADDOO PPOORR MMEEDDIIOOSS VVIIRRTTUUAALLEESS SSOOBBRREE
TTOOPPIICCIISS SSEELLEECCTTOOSS DDEE CCOOMMPPUUTTAACCIIOONN..
DESARROLLO DE HABILIDADES DIGITALES
DESIGNED BY: SALVADOR PLUMA TZONTECOMANI