Montaje y configuración de una OpenVPN con un Router DD-WRT

Las conexiones VPN permiten el acceso a archivos remotos o conectar oficinas a través de túneles seguros mediante Internet. Incluso puede ser útil para garantizar las conexiones en los puertos o puntos de acceso a Internet Wi-Fi, ocultando el tráfico de Internet de espías locales.

Si no va a tener más de dos docenas de usuarios de VPN, usted podría considerar la creación de su propio servidor VPN usando el firmware del router DD-WRT. Si usted tiene un router inalámbrico compatible, puede cargar el firmware en él. Esto le da un servidor OpenVPN y cliente, y muchas más características frescas. A continuación, puede configurarlo para conexiones de acceso remoto o en el sitio de sitio a las conexiones para conectar oficinas juntos.

DD-WRT soporta dos diferentes protocolos de VPN: Protocolo de túnel punto a punto (PPTP) por sus siglas en inglés, que es muy popular, pero tiene vulnerabilidades, y OpenVPN, que utiliza el sistema Secure Sockets Layer (SSL) y Transport Layer Security (TLS) para una solución mucho más segura. En este tutorial vamos a configurar y utilizar OpenVPN.

En este primero de dos artículos, explicaremos cómo actualizar el router con el firmware DD-WRT, el cambio de la IP del router y de la subred, por razones de compatibilidad, y crear certificados SSL. En la segunda serie, vamos a ver paso a paso la configuración del servidor OpenVPN, la creación de scripts de inicio y cortafuegos, la configuración de los clientes, y la prueba llevada a cabo.

Para el registro, este tutorial se está utilizando la variante de VPN de DD-WRT v24-SP2. Es la construcción de 13064, de fecha 10/10/09. Para la creación de certificados SSL y para los clientes, usamos OpenVPN 2.1.1, publicado el 12/11/09. Los pasos para el uso de otras versiones del firmware o OpenVPN puede variar.

Flash Router VPN con la versión de DD-WRT

Primero, asegúrese de que está utilizando un router inalámbrico que es compatible con DD-WRT y tiene suficiente espacio de almacenamiento NVRAM. Usted querrá seguir las instrucciones para cargar el flash o la versión de VPN de DD-WRT a su router.

Para comprobar la NVRAM disponible, debe utilizar Telnet o SSH para llegar al router. Usted puede descargar y utilizar PuTTY. Seleccione Telnet como el tipo de conexión e introduzca la dirección IP del router (generalmente 192.168.1.1). Luego, para el inicio de sesión DD-WRT, escriba «root». Si has creado una contraseña a través del panel de control basado en Web, lo utilizan, de lo contrario, el valor por defecto es «admin».

Una vez que se conectó a través de Telnet, escriba el siguiente comando:

nvram show | grep size

Si tiene más de 5.200 bytes, está bien, puede seguir.

Cambiar la IP del router y de subred

Recuerde, una conexión VPN conecta dos o más redes. Usted debe asegurarse de que la subred de cada red y las IP no entren en conflicto. Así que si usted está planeando utilizar las conexiones VPN de Internet públicos o Wi-Fi hotspots, debe asegurarse de que su red local y la red VPN no se establecen en una subred común.

El router DD-WRT utiliza una dirección IP tal como 192.168.1.1 muy común, hay que cambiarlo:

Comience por conectar al router y entrar al panel de control basado en la Web introduciendo la dirección IP (192.168.1.1) en su navegador Web. A continuación, haga clic en la ficha Configuración y en la zona router IP, cambie la dirección IP local a 192.168.2.1, y haga clic en «Aplicar Configuración».

Ahora tiene que utilizar la nuevo IP (192.168.2.1) para iniciar sesión en el panel de control DD-WRT.

Crear certificados de servidor y cliente

Usted debe descargar e instalar OpenVPN en un PC utilizando el instalador de Windows. Puede utilizar máquinas Linux también, pero aquí vamos hacerlo bajo Windows, así que vamos de la ruta de Windows. Una vez instalado, sigue estos pasos… Para comenzar:

1. Abra el símbolo del sistema: haga clic en Inicio, escriba cmd y pulse Enter.
2. A continuación, cambie a otro directorio tecleando: cd C:FilesOpenVPNeasy-rsa
3. Ejecute un archivo por lotes para crear archivos de configuración tecleando: init-config
4. Mantenga esta ventana abierta del símbolo del sistema para su uso posterior.

Ahora, abra una ventana de PC y busque el siguiente directorio: C:Program FilesOpenVPNeasy-rsa. Haga clic con el archivo en vars.bat y haga clic en Modificar. Entonces usted tiene que configurar todas las opciones siguientes:

* KEY_COUNTRY
* KEY_PROVINCE
* KEY_CITY
* KEY_ORG
* KEY_EMAIL

Puede cambiar los valores por defecto, que es después del signo igual de cada parámetro. Asegúrese de guardar los cambios cuando haya terminado.

Volver a la ventana del símbolo del sistema e inicializar la PKI introduciendo los siguientes comandos uno cada vez:

varsclean-allbuild-ca

Después de introducir el último comando, se le pedirá para los parámetros que acaba de establecer en el archivo vars.bat. Haga clic en Aceptar para aceptar los parámetros introducidos. Puede dejar el nombre de la unidad organizativa en blanco. Sin embargo, debe introducir un nombre común. casi cualquier cosa va a funcionar. He usado «OpenVPN-CA»

Ahora puede generar un certificado y una clave privada para el servidor escribiendo lo siguiente:

build-key-server server

Se le pedirá para los parámetros de nuevo. Acepte los valores predeterminados para los que estableció en vars.bat. Por el nombre común que en esta ocasión, escriba «server». Asegúrese de introducir una contraseña segura que usted recuerde o guardarla en algún sitio seguro. Cuando se le solicite para firmar y cometer el certificado, escriba «y.»

Ahora, usted puede generar los certificados para los clientes o equipos que se conecten a su servidor OpenVPN en el router DD-WRT. Debe crear una para cada cliente. Sólo tienes que introducir «build-key», seguido de un espacio y un nombre. Por ejemplo, para tres clientes:

build-key client1
build-key client2
build-key client3

Una vez más, se le pedirá para los parámetros. Elegir un nombre común único. Usted puede utilizar el nombre del certificado, como client1, client2 o client3.

Nota: si más adelante debe generar certificados para cliente adicionales, vuelva al directorio de l rsa en su símbolo del sistema, escriba «vars», y luego seguir adelante con el comando build-key, como build-key client2.

Ahora usted debe generar los parámetros de Diffie-Hellman introduciendo:

build-dh

Por último, debería ver todos sus certificados en el directorio siguiente: C:Program FilesOpenVPNeasy-rsakeys

Tenga en cuenta, la entidad emisora, el servidor y todas las claves de cliente deben ser confidenciales y seguras.

Manténgase sintonizado – vamos a terminar de configurar el servidor y los clientes en la parte 2.

Eric Geier es el fundador y CEO de NoWiresSecurity, que ayuda a las empresas fácilmente proteger su Wi-Fi con el cifrado a nivel de empresa, ofreciendo un servicio externalizado RADIUS/802.1X autenticación. Él es también el autor de la creación de redes de computación y libros, para marcas como para los maniquíes y Prensa de Cisco.
Vía: Linux-Party

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *