Tunel VPN endian conexin virtual IPSEC, the green bow

Tnel VPN conexin virtual IPsec

En esta entrada, configuraremos un tnel virtual para conectarnos a una red LAN desde un
host en la WAN por medio de OpenVPN y una conexin virtual con IPsec, todo esto lo
haremos con endian firewall, y para el cliente utilizaremos the green bow.

VPN (Virtual private network)

Red privada virtual, es una tecnologa de red que nos permite realizar una conexin de una
red local a una red publica, como por ejemplo conectarnos desde nuestro hogar a nuestra
oficina a travs de internet, con unas caractersticas esenciales tales como la autenticacin, la
integridad y la confidencialidad sin olvidar el no repudio ( verificacin de firma).
Algunos tipos:
VPN de acceso remoto: es una de las conexiones mas comunes, un ejemplo de esta seria una
conexin desde nuestro hogar a nuestra oficina mediante internet.
VPN punto a punto: esta conexin podra ser implementada por ejemplo cuando queremos
conectar varias oficinas remotas de una sede en particular entre si, mediante un tnel
permanente en internet.
IPsec
Son varios protocolos que actan en la capa 3 del modelo OSI, implementando seguridad, en
este caso a los tneles vpn, se encarga de autenticar usuarios, cifrar datos enviados, en
resumen permitir una conexin virtual segura.
Software's:
OpenVPN
Es un software que permite realizar conexiones virtuales con autenticacin de usuarios y host
remotos, lo utilizaremos en el servidor, y OpenVPN Client para el cliente fuera de la LAN.
The Green Bow
Es un software que ofrece soluciones de seguridad y acta como Cliente VPN, lo
instalaremos en el cliente remoto en la WAN.

Direcciones:
LAN: 192.168.100.0 /24
WAN: 192.168.10.0 /24
Rango OpenVPN: 192.168.100.129 - 192.168.100.190
Endian Firewall VPN Gateway LAN: 192.168.100.1
Endian Firewall VPN Gateway WAN: 192.168.10.1
Cliente Servidor en LAN: 192.168.100.2
Cliente remoto IP WAN: 192.168.10.159
Cliente remoto IP LAN mediante OpenVPN: 192.168.100.130
La instalacin de Endian Firewall es bastante sencilla y como en entradas anteriores ya esta
explicada, no la agregaremos a esta entrada, pero por si las dudas anexo este link con la
isntalacion y configuracion del mismo.
Link: http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html
Configuraciones
OpenVPN
En la barra de manu de endian, ingresaremos a VPN

Una vez all en Servidor OpenVPN activaremos el servidor, y le daremos el rango de ip

disponibles de la LAN que entregara a nuestros clientes VPN.

Luego ingresamos a Cuentas donde crearemos el usuario con el que nos conectaremos, le
damos el nombre y la contrasea, y en Empujar solo estas redes, damos la direccin de la
LAN pero esto es opcional, y le damos guardar.

Una vez creado nuestro usuario lo podemos visualizar en Configuracion de la cuenta, alli nos
aparece un link de descarga el cual contiene nuestro certificado CA, lo descargaremos y lo
copiaremos en una maquina cliente VPN.

Lo copiamos en el cliente.

Continuando con la configuracin, ingresamos a Avanzado, donde configuraremos el puerto

(1194) y el protocolo (UDP), le damos guardar y reiniciar.

En opciones global de envo de parmetros, agregaremos la direccin de nuestro servidor

aunque esto es para un DNS, nosotros no tenemos servidor de nombres pero igual
pondremos la direccin del gateway de LAN de nuestro servidor endian.

En la configuracin de autenticacin le diremos que es tipo PSK (usuario/contrasea), le

damos guardar y reiniciar.

Ahora miraremos cual es la direccin de gateway por el que les servidor endian sale a la
WAN, ingresamos a Sistema, buscamos Enlaces activos y la miramos, en nuestro caso es la
192.168.10.124, esto es para saber a que gateway se dirigira el cliente.

Ahora desde la maquina cliente descargaremos y configuraremos OpenVPN para la conexion,

lo podemos descargar de:

http://openvpn.net/index.php/open-source/downloads.html
Una vez descargado, lo instalamos, la instalacin es sencilla no requiere configuraciones, nos
dirigiremos la carpeta de ejemplos de configuracin del OpenVPN, ubicada en: Mi PC, Disco
local C, Archivos de programa, OpenVPN, sample-config.

All buscaremos el archivo client, y lo abriremos con wordpad, lo editaremos, click derecho
abrir con, y buscamos wordpad.

Una vez terminado de editar el archivo client, lo copiaremos en la carpeta config.

Ahora copiaremos el certificado en la carpeta config, ubicada en la carpeta OpenVPN, (en el
pantallaso podemos ver la ruta completa)

En la conexin suele surgir un problema de falla de conexin, es porque falta generar la llave,
ingresaremos a Inicio, todos los programas, OpenVPN, utilities, Generate a static OpenVPN
key.

Esto nos generara una llave llamada key en la carpeta config.

Ahora abriremos el OpenVPN GUI y nos saldr un icono en la barra inferior del equipo le
damos click derecho, Connect.

Ahora nos loggearemos con el usuario que creamos anteriormente en el servidor endian VPN.
usuario: daniel
contrasea: sena.123

Ahora tenemos conexion con el servidor mediante OpenVPN.

Como lo verificamos? ingresamos a la consola de administracin y hacemos un ipconfig,

veremos como nos asigno un nuevo adaptador de red con la ip del rango que asignamos al
principio la 192.168.100.129.

Y vemos que el icono paso de rojo a verde, la conexin es exitosa.

Tunel IPSEC
ingresamos al servidor nuevamente a VPN.

ingresamos a IPsec y activamos el servicio, le damos guardar.

En Estado y control de conexin aadiremos una nueva conexin, un nuevo tnel, le damos
aadir.

El tipo de conexion sera VPN tipo host-to-net (roadwarrior).

En la configuracin solo agregaremos el nombre y lo activaremos los dems parmetros los

dejamos como estn, a no ser de que queramos hacer otro tipo de configuracin, como por
ejemplo cambiar la accin de cuando se cae el tnel.

En Autenticacin la haremos por palabra clave compartida, la primera opcin, en caso tal de
que queramos hacerlo por certificado, tambin estn las opciones para subirlo, o generar uno,
y le damos guardar.

En avanzadas, podemos elegir el tipo de encriptacion, los grupos IKE entre otros parmetros
de cifrado.

Una vez creada la conexin vemos que el estado del tunel es CERRADO.

Configuracion del cliente

Software: The Green Bow (VPN Client)
Este software lo podemos descargar de:

http://www.thegreenbow.com/es/vpn_down.html
Una vez descargado e instalado the green bow, lo configuraremos, la instalacin
no requiere configuraciones, por eso no la agregue en esta entrada , despus de
instalarlo nos creara el acceso directo en el escritorio, lo abrimos y vemos que nos despliega
un icono en la barra inferior de nuestra maquina, le damos click derecho e ingresamos al panel
de configuracin.

En este panel agregaremos las fases, que son como las reglas para el VPN y el tunel, le
damos click derecho en Configuracion de VPN, Nueva Fase1.

Esto nos creara una Fase llamada Gateway, alli configuraremos en la pcion Gateway Remoto
la direccion del gateway del servidor por el que sale a la WAN, la que vimos en pasos
anteriores, la 192.168.10.124 este es el gateway, en Autenticacin seleccionamos la opcin
Llave secreta, o si lo hicimos por certificado seleccionamos certificado y lo subimos, como lo
hicimos por palabra clave, pondremos la palabra clave que pusimos en la configuracin de la
autenticacin de la conexin, nuestra palabra es 1234567890, y en el IKE el tipo de
criptografa que seleccionamos tambin en las opciones avanzadas de la configuracin de la
conexin.

Ahora crearemos el tunel, le damos en gateway click derecho, Nueva Fase2.

Esto nos creara la segunda fase llamada Tnel, all en las Direcciones, el tipo de Direccin le
diremos Direccin IP de Red, en Direccin de LAN remota, como su nombre lo especifica
pondremos el gateway del servidor endian de la LAN la 192.168.100.1 con su respectiva
mascara, y en PFS el grupo ya sea el DH2 o el DH5 (esto lo seleccionamos en la
configuracin avanzada de la conexin en el servidor endian VPN).

Una vez configuradas las dos fases, le damos guardar y aplicar.

Vamos al icono de la barra inferior, y le damos Abrir tunel'Gateway-Tunnel'.

Si nuestras configuraciones estn bien, y no tenemos problemas de conectividad entre

maquinas, tendremos xito en la conexin por IPsec, y nos saldr Tnel abierto.

En el servidor nos dirigimos a IPsec, y vemos en estado y control de conexin, que nuestra conexin esta
abierta.

Si queremos ver los registros, los loggins, etc, ingresamos a Registros en la barra de menu.

Una vez alli, vemos una tabla con todos los registros que podemos ver, buscaremos el de
OpenVPN.

Hacemos click en Muestra este registro nicamente, y vemos el registro, que podemos ver
alli? por ejemplo la fecha, el usuario y la ip del cliente que se conecto al tnel.

Glosario
IKE (internet key exchange): es un protocolo que nos proporciona la seguridad en el protocolo
IPsec, como un mtodo de autenticidad, mediante llaves publicas o privadas.
AES: es un estndar de cifrado muy utilizado en criptografia simtrica que funciona mediante
un cifrado de bloques.
Creo que estos son los trminos mas desconocidos, cualquier inquietud por favor comentar y
esperar respuesta gracias.

Problemas Errores
Estas configuraciones e instalaciones son bastante sencillas pero a veces resultan pequeos
conflictos estas son algunas pautas en caso de algun posible error:
* Verificar rangos de direcciones, en the green bow verificar que tengamos bien los gateways
tanto de la LAN como de la WAN en las dos fases y que la maquina cliente pertenezca por al
menos un adaptador de red a alguno de estas dos redes.
* Muchas veces en el OpenVPN no agregamos el KEY el cual algunas veces es necesario
para la autenticacion, ingresaremos a Inicio, todos los programas, OpenVPN, utilities,
Generate a static OpenVPN key y esto nos generara la llave en la carpeta config del
OpenVPN y la autenticacion y la conexion deberan ser exitosas.