Inicio Comunicaciones Configuracin de PFSense 2.0 con OpenP! "oad #arrior. Categoras $ %&ge'ra $ %na&isis !umerico $ Comunicaciones $ (stadstica $ Fsica $ )enera& $ *istoria $ Informtica $ Ingeniera de Soft+are $ PFSense $ Pro'&emas $ Sistemas Operati,os $ -ncategori.ed Web & Empresas Inicio Artculos Carrera Proyectos y Experiencia Autor Pgina 1 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! 12"0#"201# $%%p&""'''.gerone%.co(.ar")p*1112 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. Publicado en 05/05/2012 por Geronimo Manso7 Comentarios Esta vez el escenario propuesto consiste en ue un cliente reuiere conectarse en !orma remota a nuestra or"anizaci#n con una cone$i#n %P& se"ura ue permita acceder a todos los servicios de la red interna de nuestra empresa' Por eso a continuaci#n describir( los pasos necesarios para realizar esta con!i"uraci#n implementando un !ire)all con P*+ense 2'0' Escenario, -os pasos necesarios para conse"uir nuestro ob.etivo son los si"uientes, 1' Crear una autoridad certi!icadora' 2' Crear un t/nel %P&' 0' Crear un certi!icado de servidor' 1' Crear un certi!icado de cliente' 5' 2nstalar el cliente en una PC' 3' Establecer la cone$i#n %P&' Para comenzar4 una vez instalado nuestro P*+ense4 debemos descar"ar el pauete Open VPN Client Export tilit!. Entonces vamos a S!ste" Pac#ages $uscar %r &rc'i(o de &rt)culos 5 ma6o 2012 718 5 abril 2012 728 5 noviembre 2011 708 5 octubre 2011 718 5 a"osto 2011 718 5 noviembre 2010 728 5 .ulio 2010 718 5 diciembre 2009 718 5 noviembre 2009 718 5 .ulio 2009 7:8 5 marzo 2009 718 5 enero 2009 718 5 diciembre 200: 708 5 noviembre 200: 718 5 octubre 200: 738 5 septiembre 200: 728 5 a"osto 200: 718 5 .ulio 200: 738 5 .unio 200: 718 5 ma6o 200: 728 5 abril 200: 738 5 marzo 200: 7108 5 !ebrero 200: 718 Pgina 2 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! 12"0#"201# $%%p&""'''.gerone%.co(.ar")p*1112 Agregamos la utilidad de exportacin pulsando en el smbolo (+): Nos muestra el progreso de la instalacin y debemos verificar que termine correctamente: Ahora crearemos en nuestro servidor la Autoridad certificadora System Cert Manager Pgina # de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! 12"0#"201# $%%p&""'''.gerone%.co(.ar")p*1112 !ulsando el botn (+) agregaremos una nueva autoridad: "ompletamos los campos con los datos de nuestra empresa seleccionando en la opcin #ethod Create an internal Certificate Authority: $uardando los cambios con Save podemos verificar en la pantalla anterior que ya se ha creado la autoridad certificadora: Ahora crearemos un usuario al cual le generaremos un certificado para poder conectarse a la %!N !ara ello vamos a System User Manager Pgina 4 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! "2#0$#20"$ %&&p'##(((.gerone&.co).ar#*p+"""2 En la pestaa Users pulsamos en el botn (+) para agregar un usuario: En nuestro caso crearemos el usuario vpnuser y le asignaremos un password. Debemos tildar la opcin Click to crate a user certificate para ue al momento de crear el usuario! tambi"n nos genere el certi#icado. certi#icado: Pgina 5 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! "2#0$#20"$ %&&p'##(((.gerone&.co).ar#*p+"""2 Luego guardando los cambios con Save y volviendo a ingresar a los datos del usuario veremos el certificado creado: Nuestro prximo paso ser crear el servidor. Para esto vamos al men VPN OpenVPN: Utilizaremos un izard llendo a la pesta!a del mismo nombre y pulsadon el botn "#$: %n &ype of 'erver( seleccionaremos Local User Access( ya )ue nuestros usuarios se crearn desde el fire*all: Pgina 6 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! "2#0$#20"$ %&&p'##(((.gerone&.co).ar#*p+"""2 Pulsamos Next, y seleccionamos la autoridad de certificacin creada: Pulsando Next, generaremos nuestro certificado de Servidor, pulsando el botn Add new Certificate En esta pantalla generaremos el certificado que estar en nuestro server. ompletamos con los datos de nuestra empresa y pulsamos en !Create New Certificate" Pgina 7 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! "2#0$#20"$ %&&p'##(((.gerone&.co).ar#*p+"""2 Luego configuraremos los siguientes campos: Inteface: Ser la placa que estar escuchando las conexiones entrantes de la VPN. Por lo general es nuestra WAN. Protocol: Seleccionaremos UP en este e!emplo. Local Port: por defecto "penVPN utili#a el 1194. $ lo de!aremos as%. Aunque si se cam&ia no ha' pro&lemas. (ildar la opci)n TLS Autentication ' Generate TLS Key. Seleccionamos un algoritmo de encriptaci)n. Ej: AES-128: Pgina 8 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! "2#0$#20"$ %&&p'##(((.gerone&.co).ar#*p+"""2 En la misma pantalla tambien configuraremos la red que se utilizar en nuestro tunel: Tunnel Network: de acuerdo al ejemplo del primer grfico ingresamos la red: 172.168.1.0/24 En Local Network debemos configurar la red de nuestra LAN Interna, en este caso: 192.168.2.0/24 Tambin abilitamos la compresin el tunel. Tildamos la opci!n !"namic #$ " %ress $ool: Pgina 9 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! "2#0$#20"$ %&&p'##(((.gerone&.co).ar#*p+"""2 El resto de las configuraciones por aora no las modificaremos, " pulsamos Next: En este paso seleccionamos las opciones Firewall Rule " OpenVPN rule para que el asistente nos genere las reglas para permitir la cone#i!n con la $%N en el fire&all: %ulsando NEXT, finaliza la configuraci!n: Pgina "0 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! "2#0$#20"$ %&&p'##(((.gerone&.co).ar#*p+"""2 Ahora verificamos en Firewall Rules que se hayan creados las reglas correspondientes en las interfaces WAN y OpenVPN: El siguiente paso consiste en exportar desde nuestro firewall el paquete de instalacin de OpenVPN y la configuracin para nuestro cliente! "#sicamente el paquete instalado en el primer paso nos permitir# o$tener el instalador del %liente VPN y su configuracin para cada usuario generado en el sistema! En el e&emplo es nuestro usrvpn creado anteriormente! Para hacer esto vamos al men' VPN OpenVPN Client Export Pgina 11 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! 12"0#"201# $%%p&""'''.gerone%.co(.ar")p*1112 Seleccionamos nuestro servidor y hacemos un clic en el link Windows Installer: Guardamos el paquete generado para nuestro usuario y luego lo instalaremos en la PC que se conectar remotamente a nuestra red. Ejecutamos el instalador: Pulsamos Next Pgina 12 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! 12"0#"201# $%%p&""'''.gerone%.co(.ar")p*1112 Aceptamos el acuerdo. Dejamos tildada todas las opciones y NEXT Pgina 1# de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | GRON! 12"0#"201# $%%p&""'''.gerone%.co(.ar")p*1112 Pulsamos Install Se nos muestra el mensaje de que se quiere aador un dispositivo, al cual tildamos la opcin Siempre confiar en el Software de OpenVPN Technologies INC y pulsamos Instalar. Una vez completada la opcin pulsamos Next para finalizar. Si nos vamos al administrador de dispositivos de red, podremos comprobar que se ha agregado un nuevo adaptador de red !ste es quien controlar" nuestra cone#in. !n la carpeta c:\Program Files\OpenVPN\config\ podremos encontrar que se encuentran los certificados para la cone#in y Pgina 14 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | !RON!" 12#0$#201$ %&&p'##(((.gerone&.co).ar#*p+1112 la configuracin necesaria para establecer la VPN. Aqu no de debe modificar nada, es solo para comprobar que se encuentren estos archivos: En nuestro escritorio se gener un acceso directo a la interfa de usuario del cliente VPN, al cual accederemos e ingresaremos nuestro usuario ! clave generados en nuestro fire"all: Pulsando #$, el sistema tratar% de conectarse. &ebemos agregar estas e'cepciones al fire"all de (indo"s si es que lo tenemos activado: Pgina 15 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | !RON!" 12#0$#201$ %&&p'##(((.gerone&.co).ar#*p+1112 El sistema genera la conexin segura: Y una vez establecida, podremos ver en nuestro adaptador de red de OpenVPN que ya se encuentra conectado: i entramos a las propiedades de la placa corroboraremos que se nos !a asignado una "P del rango que !ab#amos de$inido para nuestra VPN: Pgina 16 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | !RON!" 12#0$#201$ %&&p'##(((.gerone&.co).ar#*p+1112 Configurar un firewall con failover PFSense 2.0.1. Finalmente ya estamos conectados a nuestra red interna desde cualquier parte del mundo con internet y podremos hacer uso de todos los servicios de los que nuestra !" disponga. #escargar $utorial% $utorial Configurar PFSense con &pen'P" (oad )arrior Saludos. Etiquetado con: firewall, !", pfsense, road warrior, vpn, wan Publicado en: Comunicaciones, *nform+tica, PFSense, Sistemas &perativos 7 comentarios sobre Configuracin de PFSense 2.0 con !en"P# $oad %arrior.& ,ota dice% 12-0.-2012 a las 1%./ pm 0 c1mo hacer que los equipos )indows mantengan siempre la misma *P amigo2 &rlando Curieles dice% 23-0/-2012 a las 3%.. am Me gusta A 5 personas les gusta esto. Regstrate para ver qu les gusta a tus amigos. Pgina 17 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | !RON!" 12#0$#201$ %&&p'##(((.gerone&.co).ar#*p+1112 Buenos das Amigo realic todos los pasos que sealas y me funciona perfecto en mi vlan local puedo hacer las pruebas y conectarme correctamente desde una maquina virtual con NAT, pero cuando lo hago desde afuera de mi oficina me da un error, cambie la ip en el archivo de configuracin por mi ! publica y en la consola del fire"all veo que esta bloqueando la cone#in, no se supone que esta configuracin debera hacer la e#cepcin para la $!N % &racias de antemano' (#celente Tutorial &erardo )ambrano dice* +,-++-./+. a las ++*,. am estimado logro tene acceso a la red local en los clientes vpn como hago % no puedo hacer pin a los pc dentro de la lan &eronimo 0anso dice* +1-++-./+. a las ++*12 pm &erardo, has habilitado el tr3fico entre la $!N y la 4AN% 5as habilitado el protocolo 60!% 7aludos' 8orge dice* /,-/.-./+, a las ,*19 pm (stimados , debo informar que siguiendo todos los pasos , no me fue posible reali:ar la cone#ion , puesto que no me aparecen los certificados en la ruta que si indica , ahora en el escritorio si esta el icono que se menciona , pero no me de8a ingresar user ni pass , espero poder ;avid <abry dice* +.-/.-./+, a las =*+2 pm (#celente tutorial &ernimo, muy bien documentados los pasos, m3s claro no puede ser' <elicitaciones y muchas gracias por publicarlo, me fue e#tremadamente >til' 6ordiales saludos Pgina 18 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | !RON!" 12#0$#201$ %&&p'##(((.gerone&.co).ar#*p+1112 Enrique Del Rio dice: 14/02/2013 a las 5:46 pm Solucion a la NO conexion: mi me dio el mismo pro!lema" pero #odo radica!a en dos cosas" 1$% El rou#er de conexion a la &N es#a!a !loquenado las cosas" lo con'i(ure en D)*" para que #omara la +p pu!lica$ 2$% l correr la expor#acion del cer#i'icado arri!a dice si es desde la conexion ,N" &N" - en mi caso la D-ndns" la seleccionas - lis#o .orre a una /elocidad impresiona#e" parece que es#as den#ro de ,N$ 0a 1ice prue!as con ip1one" ipad - 2in xp - en #odas de 'orma 'ormida!le Deja un comentario 3u direcci4n de correo elec#r4nico no ser5 pu!licada$ ,os campos necesarios es#5n marcados 6 Nombre 6 Correo electrnico 6 Sitio web Comentario Publicar comentario Pgina 19 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | !RON!" 12#0$#201$ %&&p'##(((.gerone&.co).ar#*p+1112 2013 GERONET Responsive Theme Funciona con WordPress Pgina 20 de 20 Configuracin de PFSense 2.0 con OpenVPN Road Warrior. | !RON!" 12#0$#201$ %&&p'##(((.gerone&.co).ar#*p+1112