2010

WEBMIN
OPENVPN+CA
Este manual de configuración de openvpn+CA fue realizado bajo centos con las
aplicación de webmin y su excelente facilidad de manejo vía web y su gran
repertorio de servicios que soporta para su administración

Z3l0g6er
19/11/2010
DIAGRAMA SIMPLE DE LA RED
DIRECTORIO ACTIVO
DNS
DHCP
IP: 172.16.10.1

CENTOS + WEBMIN
FIREWALL
VPN

IP WAN
Cliente VPN 192.168.1.50
IP LAN LAN
IP:192.168.1.54 WAN 172.16.10.99
PC LAN
IP: 172.16.10.20
IP TUNEL VPN
10.0.8.11 CONEXIÓN VPN

La instalación de webmin podemos descargan el paquete de la pagina oficial

http://www.webmin.com/download.html que necesitemos según la distribución
que estemos utilizando en nuestro caso centos el paquete correspondiente es
.rpm cuando haya acabado la instalación podemos ingresar a webmin vía web
con la dirección del servidor o un localhost por el puerto 10000 por donde
escucha por defecto. Para ingresar entramos con el usuario de sistema y su
respetiva contraseña.

Para la descargar de firewall shorewall desde la terminal ejecutamos los

siguientes comandos.

wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-4.0.11-
2.noarch.rpm
wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-perl-
4.0.11-2.noarch.rpm
wget http://www.invoca.ch/pub/packages/shorewall/4.0/shorewall-4.0.11/shorewall-shell-
4.0.11-2.noarch.rpm

luego este comando para la instalación de de los paquetes descargados .

rpm -ivh shorewall-perl-4.0.11-2.noarch.rpm shorewall-shell-4.0.11-2.noarch.rpm shorewall-
4.0.11-2.noarch.rpm

Luego de haber instalado los paquetes de firewall shorewall ingresamos a

webmin para su configuración. Cuando ingresamos en red cortafuego
shorewall podemos ver las opciones que podemos modificar.

Ingresamos a zona de red le damos en editar manualmente nombramos las

zonas de nuestro firewall salvamos y regresamos al menú principal del
shorewall.
Ahora en interfaces de red a las zonas creadas anteriormente le asignaremos
una interfaz de red disponible en nuestro equipo salvar y regresar al menú de
shorewall.

Ahora en políticas por defecto aremos una cuantas como lo muestra la

siguiente imagen.
Por el momento en reglar de cortafuego agregaremos una sola regla de acceso
para permitir las conexiones de los clientes vpn que se aran por el protocolo
UDP y por el puerto 1194 otras peticiones que se hagan al firewall por cual
quier puerto y protocolo serán denegadas las peticiones por las políticas por
defecto.

Enmascaramientos de las interfaces de red.

CONFIGURACION DE OPENVPN+CA

Lo primero que debemos hacer es descargar los paquetes necesarios para la

instalación y configuración de este.
Las librerías de openvpn el instalador .rpm y el modulo de webmin para
openvpn.gz.
Luego de la instalación del paquete rpm de openvpn ingresamos vía web a
webmin los la dirección del o con un localhost:10000 puerto por donde
escucha.
Podes encontrar lo archivos necesarios en esta url http://cid-
32f370d43eacab36.office.live.com/self.aspx/Webmin-
Openvpn/webmin%20openvpn.tar

Cargaremos el modulo de la siguiente forma en webmin/configuración de

webmin módulos de webmin.
Buscamos el modulo de openvpn para webmin que anteriormente hemos
descargado y clic en instalar

Instalación correcta, salimos de webmin dándole en view module’s logs o

reiniciar webmin.

Ingresar a webmin en servidores/openvpn+CA primero crearemos Certificación

Authority List .
Llenamos los campos con las debías parámetros se pueden hacer keys zize
(bits) de 1024,2048 y 4096 clic en salvar
Luego de esperar un buen rato por fin Certification Authority list damos en keys
list.

Creamos la Key del servidor seleccionamos key Server server podemos por un
tiempo adecuado de expiración de la key en días y le damos salvar.
Creamos la key del cliente adicionalmente podemos poner una password a
esta key server seleccionamos client
Lista de llaves de entidad certificadora.
Clic en regresar a openvpn administration y ingresamos a VPN List clic en New
VPN Server

Aquí se define servidor de vpn colocándole en el nombre y el puerto por donde

va escuchar las peticiones el modo si va hacer túnel o modo puente, asignarle
el rango de dirección ip que le va dar a nuestros clientes VPN y las de mas
configuraciones las podemos hacer a nuestro gusto según lo que necesitemos
le puede otorgar mas seguridad a nuestra conexión VPN.
Dándole yes o no las opciones que nos ofrece de configuración con estas se
Salvar y se creara nuestra VPN Server List clic en client List para crear
nuestros usuarios VPN.

New client podemos la dirección externa de nuestro servidor y salvar

Lista de clientes vpn dándole exportar nos dará un archivo .ZIP de todo lo
necesario que necesita el usuario para conectarse desde la extranet a la LAN
de nuestra empresa.

Ahora para la entrega de este archivo hay varias formar una de ellas es
entregarla personalmente a cada unos de los usuarios y hacer varias talleres
de cómo se debe instalar y configurar el cliente VPN en la maquina que lo
utilizaran o en cualquier otra, Enviarlo por correo a los usuarios y anterior
mente a verles explicado su uso adicional mandarles adjunto un manual paso a
paso de lo que deben hacer para conectarse exitosamente a el PC de la
empresa, uno de los métodos que se nos ocurrió era montar un ftp y hay
montar los archivos de cada cliente aunque es un poco inseguro por un ataque
así el y robarse estos archivos una de las opciones menos seguras es permitir
desde la extranet que puedan ingresar vía web a webmin y que cada usuario
entre y baje su certificado pero en caso de ataque a esta podrían tomar control
de varios de nuestros servicios claro esta si los tenemos configurado en el
webmin en si son muchas posibilidades de entregar a cada usuario este .zip
pero todos abra un gran o pequeño riesgo nosotros optamos por enviarlo por
correo claro ya que esto lo hacemos en modo de prueba no creo que pase algo
raro.

Bueno luego de a ver enviado los certificados a los cliente no se nos puede
olvidar iniciar nuestro servicio de openvpn+CA dando start OpenVPN
Emplo de envio certificado al cliente.

Configuración del cliente VPN

Al recibir el correo junto a las indicaciones que hay que seguir procedemos a la
ejecución de estas.

Primero descargar openvpn de la url que nos enviaron descargamos en

install.exe
Al descargar lo ejecutamos y procedemos a la instalación en en mensaje de
bienvenidad clic en next.

Aceptamos los términos de la licencia clic en I Agree.

Los componentes que deseamos instalar en nuestro caso los que aparecen por
defecto todo.
Segundo paso descargar el archivo comprimido con nuestro nombre y le
damos extraer

Lo podemos extraer directamente a la siguiente ruta Mipc/archivos de

programas/openvpn/config o también copiando la carpeta que sale del .zip en
inicio/todosprogramas/openvpn/shortcuts/openvpn configuration file directory
S ho rtcuts
Ya como tenemos instalado el openvpn en el icono del escritorio le damos
doble clic para iniciar el servicio.

Al iniciar el servicio aparece un nuevo icono en la barra de herramientas damos

clic derecho conectar.

Ahora nos pide la contraseña que le pusimos a la key de dicho usuario.

“Súper segura”
Y conectado exitosamente

Una prueba de fuego a ver si nuestra configuración esta correcta intentar

conectarnos remotamente a un equipo que se encuentra al otro lado de firewall

Y afortunadamente se conecto a nuestro equipo en la LAN iniciamos sesión

Y podemos trabajar tranquilamente desde la casa o desde cualquier parte del
mundo.