WEBMIN OPENVPN+CA Este manual de configuración de openvpn+CA fue realizado bajo centos con las aplicación de webmin y su excelente facilidad de manejo vía web y su gran repertorio de servicios que soporta para su administración

2010

Z3l0g6er

19/11/2010

DIAGRAMA SIMPLE DE LA RED

PC LAN

IP: 172.16.10.20

WANLANCliente VPN

IP:192.168.1.54

DIRECTORIO ACTIVO

DNS

DHCP

IP: 172.16.10.1

CENTOS + WEBMIN

FIREWALL

VPN

IP WAN

192.168.1.50IP LAN

172.16.10.99

CONEXIÓN VPN

IP TUNEL VPN

10.0.8.11

La instalación de webmin podemos descargan el paquete de la pagina oficial

http://www.webmin.com/download.html que necesitemos según la distribución

que estemos utilizando en nuestro caso centos el paquete correspondiente es

.rpm cuando haya acabado la instalación podemos ingresar a webmin vía web

con la dirección del servidor o un localhost por el puerto 10000 por donde

escucha por defecto. Para ingresar entramos con el usuario de sistema y su

respetiva contraseña.

Para la descargar de firewall shorewall desde la terminal ejecutamos los

siguientes comandos.

wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-4.0.11-

2.noarch.rpm

wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-perl-

4.0.11-2.noarch.rpm

wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-

4.0.11-2.noarch.rpm

luego este comando para la instalación de de los paquetes descargados .

rpm -ivh shorewall-perl-4.0.11-2.noarch.rpm shorewall-shell-4.0.11-2.noarch.rpm shorewall-

4.0.11-2.noarch.rpm

Luego de haber instalado los paquetes de firewall shorewall ingresamos a

webmin para su configuración. Cuando ingresamos en red cortafuego

shorewall podemos ver las opciones que podemos modificar.

Ingresamos a zona de red le damos en editar manualmente nombramos las

zonas de nuestro firewall salvamos y regresamos al menú principal del

shorewall.

Ahora en interfaces de red a las zonas creadas anteriormente le asignaremos

una interfaz de red disponible en nuestro equipo salvar y regresar al menú de

shorewall.

Ahora en políticas por defecto aremos una cuantas como lo muestra la

siguiente imagen.

Por el momento en reglar de cortafuego agregaremos una sola regla de acceso

para permitir las conexiones de los clientes vpn que se aran por el protocolo

UDP y por el puerto 1194 otras peticiones que se hagan al firewall por cual

quier puerto y protocolo serán denegadas las peticiones por las políticas por

defecto.

Enmascaramientos de las interfaces de red.

CONFIGURACION DE OPENVPN+CA

Lo primero que debemos hacer es descargar los paquetes necesarios para la instalación y configuración de este. Las librerías de openvpn el instalador .rpm y el modulo de webmin para openvpn.gz. Luego de la instalación del paquete rpm de openvpn ingresamos vía web a webmin los la dirección del o con un localhost:10000 puerto por donde escucha. Podes encontrar lo archivos necesarios en esta url http://cid-32f370d43eacab36.office.live.com/self.aspx/Webmin-Openvpn/webmin%20openvpn.tar

Cargaremos el modulo de la siguiente forma en webmin/configuración de webmin módulos de webmin.

Buscamos el modulo de openvpn para webmin que anteriormente hemos

descargado y clic en instalar

Instalación correcta, salimos de webmin dándole en view module’s logs o

reiniciar webmin.

Ingresar a webmin en servidores/openvpn+CA primero crearemos Certificación

Authority List .

Llenamos los campos con las debías parámetros se pueden hacer keys zize

(bits) de 1024,2048 y 4096 clic en salvar

Luego de esperar un buen rato por fin Certification Authority list damos en keys

list.

Creamos la Key del servidor seleccionamos key Server server podemos por un

tiempo adecuado de expiración de la key en días y le damos salvar.

Creamos la key del cliente adicionalmente podemos poner una password a

esta key server seleccionamos client

Lista de llaves de entidad certificadora.

Clic en regresar a openvpn administration y ingresamos a VPN List clic en New

VPN Server

Aquí se define servidor de vpn colocándole en el nombre y el puerto por donde

va escuchar las peticiones el modo si va hacer túnel o modo puente, asignarle

el rango de dirección ip que le va dar a nuestros clientes VPN y las de mas

configuraciones las podemos hacer a nuestro gusto según lo que necesitemos

le puede otorgar mas seguridad a nuestra conexión VPN.

Dándole yes o no las opciones que nos ofrece de configuración con estas se

Salvar y se creara nuestra VPN Server List clic en client List para crear

nuestros usuarios VPN.

New client podemos la dirección externa de nuestro servidor y salvar

Lista de clientes vpn dándole exportar nos dará un archivo .ZIP de todo lo

necesario que necesita el usuario para conectarse desde la extranet a la LAN

de nuestra empresa.

Ahora para la entrega de este archivo hay varias formar una de ellas es

entregarla personalmente a cada unos de los usuarios y hacer varias talleres

de cómo se debe instalar y configurar el cliente VPN en la maquina que lo

utilizaran o en cualquier otra, Enviarlo por correo a los usuarios y anterior

mente a verles explicado su uso adicional mandarles adjunto un manual paso a

paso de lo que deben hacer para conectarse exitosamente a el PC de la

empresa, uno de los métodos que se nos ocurrió era montar un ftp y hay

montar los archivos de cada cliente aunque es un poco inseguro por un ataque

así el y robarse estos archivos una de las opciones menos seguras es permitir

desde la extranet que puedan ingresar vía web a webmin y que cada usuario

entre y baje su certificado pero en caso de ataque a esta podrían tomar control

de varios de nuestros servicios claro esta si los tenemos configurado en el

webmin en si son muchas posibilidades de entregar a cada usuario este .zip

pero todos abra un gran o pequeño riesgo nosotros optamos por enviarlo por

correo claro ya que esto lo hacemos en modo de prueba no creo que pase algo

raro.

Bueno luego de a ver enviado los certificados a los cliente no se nos puede

olvidar iniciar nuestro servicio de openvpn+CA dando start OpenVPN

Emplo de envio certificado al cliente.

Configuración del cliente VPN

Al recibir el correo junto a las indicaciones que hay que seguir procedemos a la

ejecución de estas.

Primero descargar openvpn de la url que nos enviaron descargamos en

install.exe

Al descargar lo ejecutamos y procedemos a la instalación en en mensaje de

bienvenidad clic en next.

Aceptamos los términos de la licencia clic en I Agree.

Los componentes que deseamos instalar en nuestro caso los que aparecen por

defecto todo.

Segundo paso descargar el archivo comprimido con nuestro nombre y le

damos extraer

Lo podemos extraer directamente a la siguiente ruta Mipc/archivos de

programas/openvpn/config o también copiando la carpeta que sale del .zip en

inicio/todosprogramas/openvpn/shortcuts/openvpn configuration file directory

Sho rtcuts

Ya como tenemos instalado el openvpn en el icono del escritorio le damos

doble clic para iniciar el servicio.

Al iniciar el servicio aparece un nuevo icono en la barra de herramientas damos

clic derecho conectar.

Ahora nos pide la contraseña que le pusimos a la key de dicho usuario.

“Súper segura”

Y conectado exitosamente

Una prueba de fuego a ver si nuestra configuración esta correcta intentar conectarnos remotamente a un equipo que se encuentra al otro lado de firewall

Y afortunadamente se conecto a nuestro equipo en la LAN iniciamos sesión

Y podemos trabajar tranquilamente desde la casa o desde cualquier parte del mundo.