Scribd Logo
Carica

Benvenuto in Scribd!

  • PFSense OpenVPN Road Warrior

    Caricato da

    gustavoq79
    168 visualizzazioni23 pagine

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    168 visualizzazioni23 pagine

    PFSense OpenVPN Road Warrior

    Caricato da

    gustavoq79

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 23

    1

    www.geronet.com.ar

    Configuracio n de PFSense 2.0 con OpenVPN Road Warrior.


    Esta vez el escenario propuesto consiste en que un cliente requiere conectarse en forma remota a nuestra organizacin con una conexin VPN segura que permita acceder a todos los servicios de la red interna de nuestra empresa. Por eso a continuacin describir los pasos necesarios para realizar esta configuracin implementando un firewall con PFSense 2.0. Escenario:

    Internet Windows 7 Nombre: geronet-vpnuser VPN User

    VPN 172.168.1.0/24

    Firewall Nombre: geronet-firewall1 NIC1 (ISP1): DHCP NIC2 (Interna): 192.168.2.1 SO: PFSense 2.0 OPEN VPN Server

    192.168.2.1/24

    Servidor APP

    Servidor Email

    Servidor [...]

    Los pasos necesarios para conseguir nuestro objetivo son los siguientes: 1. 2. 3. 4. 5. 6. Crear una autoridad certificadora. Crear un tunel VPN. Crear un certificado de servidor. Crear un certificado de cliente. Instalar el cliente en una PC. Establecer la conexin VPN.

    Para comenzar, una vez instalado nuestro PFSense, debemos descargar el paquete Open VPN

    Gernimo Manso

    2 Client Export Utility. Entonces vamos a SystemPackages

    www.geronet.com.ar

    Agregamos la utilidad de exportacin pulsando en el smbolo (+):

    Nos muestra el progreso de la instalacin y debemos verificar que termine correctamente:

    Gernimo Manso

    www.geronet.com.ar

    Ahora crearemos en nuestro servidor la Autoridad certificadora. System Cert Manager

    Pulsando el botn (+) agregaremos una nueva autoridad:

    Gernimo Manso

    www.geronet.com.ar

    Completamos los compos con los datos de nuestra empresa seleccionando en la opcin Method Create an internal Certificate Authority:

    Guardando los cambios con Save podemos verificar en la pantalla anterior que ya se ha creado la autoridad certificadora:

    Gernimo Manso

    www.geronet.com.ar

    Ahora crearemos un usuario al cual le generaremos un certificado para poder conectarse a la VPN. Para ello vamos a System User Manager

    En la pestaa Users pulsamos en el botn (+) para agregar un usuario:

    Gernimo Manso

    www.geronet.com.ar En nuestro caso crearemos el usuario vpnuser y le asignaremos un password.

    Debemos tildar la opcin Click to crate a user certificate para que al momento de crear el usuario, tambin nos genere el certificado. Debemos seleccionar la Autoridad de Certificacin creada anteriormente y podemos definir un tiempo de vida para el certificado:

    Gernimo Manso

    www.geronet.com.ar

    Luego guardando los cambios con Save y volviendo a ingresar a los datos del usuario veremos el certificado creado:

    Gernimo Manso

    8 Nuestro prximo paso ser crear el servidor. Para esto vamos al men VPNOpenVPN:

    www.geronet.com.ar

    Utilizaremos un Wizard llendo a la pestaa del mismo nombre y pulsadon el botn (+):

    En Type of Server, seleccionaremos Local User Access, ya que nuestros usuarios se crearn desde el firewall:

    Pulsamos Next, y seleccionamos la autoridad de certificacin creada:

    Gernimo Manso

    www.geronet.com.ar

    Pulsando Next, generaremos nuestro certificado de Servidor, pulsando el botn Add new Certificate

    En esta pantalla generaremos el certificado que estar en nuestro server. Completamos con los datos de nuestra empresa y pulsamos en Create New Certificate

    Gernimo Manso

    10

    www.geronet.com.ar

    Luego configuraremos los siguientes campos: Inteface: Ser la placa que estar escuchando las conexiones entrantes de la VPN. Por lo general es nuestra WAN. Protocol: Seleccionaremos UPD en este ejemplo. Local Port: por defecto OpenVPN utiliza el 1194. Y lo dejaremos as. Aunque si se cambia no hay problemas. Tildar la opcin TLS Autentication y Generate TLS Key.

    Gernimo Manso

    10

    11

    www.geronet.com.ar

    Seleccionamos un algoritmo de encriptacin. Ej: AES-128:

    En la misma pantalla tambien configuraremos la red que se utilizar en nuestro tunel: Tunnel Network: de acuerdo al ejemplo del primer grfico ingresamos la red: 172.168.1.0/24 En Local Network debemos configurar la red de nuestra LAN Interna, en este caso: 192.168.2.0/24

    Gernimo Manso

    11

    12

    www.geronet.com.ar

    Tambin habilitamos la compresin del tunel. Tildamos la opcin Dynamic IP y Adddress Pool:

    Gernimo Manso

    12

    13

    www.geronet.com.ar

    El resto de las configuraciones por ahora no las modificaremos, y pulsamos Next:

    Gernimo Manso

    13

    14

    www.geronet.com.ar En este paso seleccionamos las opcines Firewall Rule y OpenVPN rule para que el asistene nos genere las reglas para permitir la conexin con la VPN en el firewall:

    Pulsando NEXT, finaliza la configuracin:

    Ahora verificamos en Firewall Rules que se hayan creados las reglas correspondientes en las interfaces WAN y OpenVPN:

    Gernimo Manso

    14

    15

    www.geronet.com.ar

    El siguiente paso consiste en exportar desde nuestro firewall el paquete de instalacin de OpenVPN y la configuracin para nuestro cliente. Bsicamente el paquete instalado en el primer paso nos permitir obtener el instalador del Cliente VPN y su configuracin para cada usuario generado en el sistema. En el ejemplo es nuestro usrvpn creado anteriormente. Para hacer esto vamos al men VPNOpenVPNClient Export

    Gernimo Manso

    15

    16

    www.geronet.com.ar

    Seleccionamos nuestro servidor y hacemos un clic en el link Windows Installer:

    Guardamos el paquete generado para nuestro usuario y luego lo instalaremos en la PC que se conectar remotamente a nuestra red.

    Gernimo Manso

    16

    17 Ejecutamos el instalador:

    www.geronet.com.ar

    Pulsamos Next

    Aceptamos el acuerdo.

    Gernimo Manso

    17

    18

    www.geronet.com.ar

    Dejamos tildada todas las opciones y NEXT

    Pulsamos Install

    Gernimo Manso

    18

    19

    www.geronet.com.ar

    Se nos muestra el mensaje de que se quiere aador un dispositivo, al cual tildamos la opcin Siempre confiar en el Software de OpenVPN Technologies INC y pulsamos Instalar.

    Una vez completada la opcin pulsamos Next para finalizar. Si nos vamos al administrador de dispositivos de red, podremos comprobar que se ha agregado un nuevo adaptador de red:

    Gernimo Manso

    19

    20

    www.geronet.com.ar

    Este es quien controlar nuestra conexin.

    En la carpeta: c:\Program Files\OpenVPN\config\ podremos encontrar que se encuentran los certificados para la conexin y la configuracin necesaria para establecer la VPN. Aqu no de debe modificar nada, es solo para comprobar que se encuentren estos archivos:

    En nuestro escritorio se gener un acceso directo a la interfaz de usuario del cliente VPN, al cual accederemos e ingresaremos nuestro usuario y clave generados en nuestro firewall:

    Gernimo Manso

    20

    21

    www.geronet.com.ar

    Pulsando OK, el sistema tratar de conectarse. Debemos agregar estas excepciones al firewall de Windows si es que lo tenemos activado:

    El sistema genera la conexin segura:

    Gernimo Manso

    21

    22

    www.geronet.com.ar

    Y una vez establecida, podremos ver en nuestro adaptador de red de OpenVPN que ya se encuentra conectado:

    Si entramos a las propiedades de la placa corroboraremos que se nos ha asignado una IP del rango que habamos definido para nuestra VPN:

    Gernimo Manso

    22

    23

    www.geronet.com.ar

    Finalmente ya estamos conectados a nuestra red interna desde cualquier parte del mundo con internet y podremos hacer uso de todos los servicios de lo que nuestra LAN disponga. Saludos.

    Gernimo Manso

    23

    Potrebbero piacerti anche