Implementación de VPN para acceso remoto a la red del CURE para administración de equipos

Se crea una red VPN, mediante OpenVPN para el acceso de los informáticos a la red del CURE, para trabajos de administración remota de los equipos.

Creación de llaves para los usuarios

No situamos en el directorio:

/etc/openvpn/easy-rsa/2.0/

Ejecutamos:

# . ./vars
# ./build-key <nombre_usuario>

Luego de ejecutado este comando, nos pedirá los datos para el certificado. Este certificado se guardará el el directorio:

/etc/openvpn/easy-rsa/2.0/keys/

Se le deberá enviar al nuevo usuario los siguientes archivos:
  • ca.crt
  • <nombre_usuario>.key
  • <nombre_usuario>.crt

Referencia: http://openvpn.net/index.php/open-source/documentation/howto.html#pki

Asignación de rutas para el acceso a los equipos o servicios

En el directorio:

/etc/openvpn/ccd/

Se guardará un archivo de texto, con el nombre del certificado otorgado al usuario, y en este se podrá configurar las rutas que el servidor VPN le enviará al usuario en el momento de conectarse. Además se le podrá otorgar una IP fija si se necesitara.

  • Para definir una IP fija para el cliente, por ejemplo:
    ifconfig-push 164.73.xxx.243 164.73.xxx.244
    

    La conexión puente utiliza dos IPs, una para el propio cliente y otra para la conexión, en este caso el cliente tendrá la IP 164.73.xxx.244

Al hacer cambios en estos archivos, no es necesario reiniciar el servicio para que tomen efectos. Si reiniciar la conexión con el cliente.

Referncia: http://openvpn.net/index.php/open-source/documentation/howto.html#dhcp

Configuración del cliente OpenVPN

Para los clientes se configuran las siguientes opciones en el archivo client.conf que deberá estar en /etc/openvpn:

client

dev tun
proto tcp

remote <IP o dominio del servidor VPN> <puerto de escucha del servidor, normalmente es el 1194>
remote <otra IP u otro dominio del servidor VPN> <puerto de escucha del servidor, normalmente es el 1194>

resolv-retry infinite

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/<certificado_cliente>.crt
key /etc/openvpn/keys/<llave_cliente>.key

comp-lzo
verb 3
status /tmp/openvpn.status
management 127.0.0.1 1195

Si se configura el cliente a través del NetworkManager (luego de instalado el paquete network-manager-openvpn), lo datos son los siguietes:
  • Pasarela: ip o dominio del equipo servidor
En Avanzado marcar:
  • Usar conexión TCP
  • Usar compresión LZO
En Ajustes IPv4 -> Rutas marcar:
  • Usar esta conexión sólo para los recursos de red

Configuración del servidor OpenVPN