- Introducción
- Instalación de OpenVPN GUI
- Generación de certificados y claves
- VPN Server
- VPN Cliente
- VPN Cliente en Windows
- VPN Cliente en Android
- VPN Cliente en teléfonos IP
Introducción
Una red privada virtual (VPN) es una red de datos, que utiliza la infraestructura de telecomunicaciones pública, manteniendo la privacidad y la seguridad, como si fuese una red privada, por medio de protocolos seguros (tunneling, TLS, etc) y procedimientos de encriptación para protección de la información.
La implementación que se presenta, en esta guía, está basada en OpenVPN y muestra como generar los archivos necesarios, que contienen los certificados, claves y configuración, para establecer una VPN en el sistema VoIP.
Debido a sus características, la implementación de una VPN, está especialmente recomendada para establecer las conexiones con las extensiones remotas.
Instalación de OpenVPN GUI
Se requiere la instalación de la interfase gráfica de usuario OpenVPN GUI, como herramienta, para generación de los archivos que contienen la información de seguridad (certificados y claves).
De acuerdo a la versión del sistema operativo Windows y su arquitectura (32 ó 64 bits) debe seleccionarse el paquete de instalación correspondiente.
Para descarga, puede utilizarse el siguiente link:
https://openvpn.net/community-downloads/
Debe tenerse en cuenta que el usuario requiere permisos administrativos para instalar OpenVPN.
Una vez descargado el instalador (openvpn-install-2.4.9-I601-Win10.exe para Windows 10 o semejante), al ejecutarlo, se presenta una ventana (Welcome to the OpenVPN Setup Wizard) como la que se muestra en la siguiente imagen:
Al pulsar Next >, aparece la siguiente ventana (License Agreement), donde puede leerse el acuerdo de licencia para este producto:
Para continuar, debe aceptarse con la opción I Agree.
Al presentarse la siguiente ventana (Choose Components), debe verificarse que se encuentren seleccionadas las opciones:
- OpenVPN GUI
- EasyRSA 2 Certificate Management Scripts
requeridas para la generación de certificados y claves:
Al pulsar Next >, se muestra la siguiente ventana (Choose Install Location), donde puede elegirse la carpeta para la instalación del producto. Se recomienda seleccionar una carpeta, tal como: C:\OpenVPN , o en otra unidad, para evitar problemas de escritura y simplificar la ruta, donde van a generarse los archivos de seguridad. Debe tenerse en cuenta, que todas las referencias subsiguientes, son relativas a esta carpeta.
Una vez ingresada, la carpeta destino, para iniciar el proceso de instalación, debe seleccionarse la opción: Install.
Durante el proceso de instalación, se muestra la actividad en pantalla, hasta completarlo. Luego, debe pulsarse la opción Next >, para continuar.
Por último, se presenta la ventana de finalización. Pulsando Finish, se cierra el instalador.
Generación de certificados y claves
Modificar el archivo vars.bat.sample
Utilizando un editor de texto, tal como el notepad, debe abrirse el archivo:
OpenVPN_Install_Dir\easy-rsa\vars.bat.sample (OpenVPN_Install_Dir representa la carpeta de instalación, por ejemplo: C:\OpenVPN), en este caso corresponde a:
C:\OpenVPN\easy-rsa\vars.bat.sample
para modificar los valores de los siguientes parámetros:
set HOME=C:\OpenVPN\easy-rsa
set KEY_SIZE=2048
Editar la información de registración
Los valores, por defecto, que se muestran a continuación, corresponden a los campos que serán colocados en el certificado.
Modificando estos valores, para reflejar la información de la empresa o el sitio, se logra simplificar el ingreso de datos, en la generación de archivos.
No debe dejarse ninguno de estos parámetros en blanco o vacío.
A modo de ejemplo, a continuación, se muestran valores que podrían identificar un sitio:
set KEY_COUNTRY=AR
set KEY_PROVINCE=SF
set KEY_CITY=Rosario
set KEY_ORG=Empresa
set KEY_EMAIL=info@empresa.com.ar
set KEY_CN=changeme
set KEY_NAME=Empresa
set KEY_OU=admin
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234
Los valores ingresados, en este archivo, se presentan por defecto, para completar los campos correspondientes, cuando se generan los archivos de certificados y claves.
Inicialización del entorno de ejecución
En Windows, desde Inicio, con el botón derecho del mouse, seleccionar la opción: Ejecutar y luego ingresar el comando cmd. Pulsar Aceptar, para ejecutar el comando:
En la ventana de consola, ejecutar los comandos mostrados para inicializar el entorno de ejecución:
Generación del certificado/clave raíz Certificate Authority (CA)
Ejecutar el comando: build-ca
Generación de la clave de intercambio Diffie-Hellman (DH)
Ejecutar el comando: build-dh
Generación del certificado para el server
Ejecutar el comando: build-key-server <server-name>
Generación de los certificados para los clientes
Ejecutar el comando: build-key <client-name>
Generación de la clave ta
Ejecutar el comando: openvpn --genkey --secret keys/ta.key
Listado de archivos cliente/servidor
En la carpeta:
OpenVPN_Install_Dir\easy-rsa\keys (OpenVPN_Install_Dir representa la carpeta de instalación, por ejemplo: C:\OpenVPN), en este caso corresponde a:
C:\OpenVPN\easy-rsa\keys
se encuentran los archivos de certificados y claves, recientemente generados:
Desde esta carpeta se obtienen los archivos necesarios para la configuración de cada equipo, según se trate del server o alguno de los clientes, de acuerdo a la siguiente tabla:
VPN Server
Ingresando a la interfase web de la IP PBX, debe seleccionarse la opción: Network Configuration > VPN Server.
En esta ventana, se ingresan los parámetros correspondientes a la configuración del server, de acuerdo a las siguientes definiciones:
Una vez configurados, los parámetros del server, puede habilitarse el servicio desde la opción: Enable OpenVPN. En la parte superior de la pantalla, aparece el mensaje: Running
Para verificar el estado del servidor VPN, puede utilizarse, desde la interfase web, la opción de menú: System Information. El estado, de este servicio, aparece en la sección VPN Server Status, como se observa en la siguiente imagen:
Cuentas de VPN Server
Cuando se configura el modo de autenticación: auth-user-pass, el servidor VPN permite el acceso de clientes, con nombre y password de cuentas. Desde el lado cliente, se requiere enviar nombre y password de la cuenta, cuando se conecta al servidor VPN. Sólo los clientes que pasen el proceso de autenticación podrán conectarse al servidor.
Las cuentas de VPN Server, sólo pueden configurarse en modo de autenticación: auth-user-pass, cuando el server está en el estado: Running
En la siguiente tabla se encuentra la descripción de los parámetros, para la configuración de las cuentras de VPN Server:
Direcciones IP estáticas en VPN Server
Para asignar direcciones IP estáticas específicas a clientes específicos, o cuando un cliente que se conecta, tiene una subred privada detrás y requiere tener acceso a la VPN, puede utilizarse alguna de las siguientes opciones de configuración, de acuerdo al dispositivo utilizado:
- Cuando VPN Server configura un dispositivo TUN:
- Cuando VPN Server configura un dispositivo TAP:
En la siguiente tabla se encuentra la descripción de los parámetros, para la configuración de las direcciones IP estáticas en el VPN Server:
Clientes conectados al VPN Server
Para ver los clientes conectados al VPN Server, puede utilizarse la opción de menú: VPN Server, seleccionando la solapa Connected Clients:
VPN Cliente
Para configurar el equipo IP PBX como VPN Cliente, debe seleccionarse la opción: Network Configuration > VPN Client.
- Seleccionando la opción Custom, en el parámetro Type, los valores de los campos pueden ingresarse en forma individual,
al igual que los archivos de certificados y claves, que también pueden seleccionarse en forma separada.
En la siguiente imagen se muestran, a modo de ejemplo, los parámetros de configuración correspondientes al cliente VPN: client2.
- Seleccionando la opción Package, al ingresar el archivo de configuración, los valores de los campos se obtienen en forma automática, a partir de su contenido.
En la siguiente tabla se encuentra la descripción de los parámetros, para la configuración de la función VPN Cliente:
Para verificar el estado del cliente VPN, desde el VPN Server, puede utilizarse, desde su interfase web, la opción: VPN Server > Connected Clients.
Desde el VPN Server, puede verse en este ejemplo, el cliente VPN: client2.
Para verificar el estado del cliente VPN, puede utilizarse, desde su interfase web, la opción de menú: System Information.
El estado, de este servicio, aparece en la sección VPN Client Status.
VPN Cliente en Windows
Instalación de OpenVPN en Windows
Seguir los pasos explicados en el tema: Instalación de OpenVPN.
Copiar certificados y claves a la carpeta de configuración
Editar el archivo de configuración
Modificar el archivo de configuración del cliente OpenVPN, de acuerdo la conexión utilizada:
client
dev tun
proto udp
remote 190.193.55.98 61944
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-128-CBC
;verb 3
Conectar al VPN Server
Utilizando la opción Conectar, desde el ícono de OpenVPN GUI, en el área de notificación de Windows, puede establecerse la conexión segura con el VPN Server.
En la ventana de estado, puede observarse la actividad en el cliente VPN:
Verificar la conexión con el VPN Server
Puede accederse a la interfase web del equipo IP PBX, para verificar la conexión con el VPN Server, utilizando la dirección IP: 10.8.0.1, desde el navegador.
Revisión: 27/07/2020