Ingeniero
www.geronet.com.ar
Configuracio n de PFSense 2.0 con OpenVPN Road Warrior.
Esta vez el escenario propuesto consiste en que un cliente requiere conectarse en forma remota a nuestra organización con una conexión VPN segura que permita acceder a todos los servicios de la red interna de nuestra empresa. Por eso a continuación describiré los pasos necesarios para realizar esta configuraciónimplementando un firewall con PFSense 2.0. Escenario:
Internet Windows 7 Nombre: geronet-vpnuser VPN User
VPN 172.168.1.0/24
Firewall Nombre: geronet-firewall1 NIC1 (ISP1): DHCP NIC2 (Interna): 192.168.2.1 SO: PFSense 2.0 OPEN VPN Server
192.168.2.1/24
Servidor APP
Servidor Email
Servidor [...]
Los pasos necesarios para conseguir nuestro objetivo son los siguientes: 1. 2. 3.4. 5. 6. Crear una autoridad certificadora. Crear un tunel VPN. Crear un certificado de servidor. Crear un certificado de cliente. Instalar el cliente en una PC. Establecer la conexión VPN.
Para comenzar, una vez instalado nuestro PFSense, debemos descargar el paquete Open VPN
Gerónimo Manso
1
2 Client Export Utility. Entonces vamos a SystemPackages
www.geronet.com.arAgregamos la utilidad de exportación pulsando en el símbolo (+):
Nos muestra el progreso de la instalación y debemos verificar que termine correctamente:
Gerónimo Manso
2
3
www.geronet.com.ar
Ahora crearemos en nuestro servidor la Autoridad certificadora. System Cert Manager
Pulsando el botón (+) agregaremos una nueva autoridad:
Gerónimo Manso
3
4
www.geronet.com.arCompletamos los compos con los datos de nuestra empresa seleccionando en la opción Method “Create an internal Certificate Authority”:
Guardando los cambios con “Save” podemos verificar en la pantalla anterior que ya se ha creado la autoridad certificadora:
Gerónimo Manso
4
5
www.geronet.com.ar
Ahora crearemos un usuario al cual le generaremos un certificado para poderconectarse a la VPN. Para ello vamos a System User Manager
En la pestaña Users pulsamos en el botón (+) para agregar un usuario:
Gerónimo Manso
5
6
www.geronet.com.ar En nuestro caso crearemos el usuario “vpnuser” y le asignaremos un password.
Debemos tildar la opción “Click to créate a user certificate” para que al momento de crear el usuario, también nos genere el certificado.Debemos seleccionar la Autoridad de Certificación creada anteriormente y podemos definir un tiempo de vida para el certificado:
Gerónimo Manso
6
7
www.geronet.com.ar
Luego guardando los cambios con Save y volviendo a ingresar a los datos del usuario veremos el certificado creado:
Gerónimo Manso
7
8 Nuestro próximo paso será crear el servidor. Para esto vamos al menúVPNOpenVPN:
www.geronet.com.ar
Utilizaremos un Wizard llendo a la pestaña del mismo nombre y pulsadon el botón (+):
En Type of Server, seleccionaremos Local User Access, ya que nuestros usuarios se crearán desde el firewall:
Pulsamos Next, y seleccionamos la autoridad de certificación creada:
Gerónimo Manso
8
9
www.geronet.com.ar
Pulsando Next, generaremos nuestro certificado deServidor, pulsando el botón Add new Certificate
En esta pantalla generaremos el certificado que estará en nuestro server. Completamos con los datos de nuestra empresa y pulsamos en “Create New Certificate”
Gerónimo Manso
9
10
www.geronet.com.ar
Luego configuraremos los siguientes campos: Inteface: Será la placa que estará escuchando las conexiones entrantes de la VPN. Por logeneral es nuestra WAN. Protocol: Seleccionaremos UPD en este ejemplo. Local Port: por defecto OpenVPN utiliza el 1194. Y lo dejaremos así. Aunque si se cambia no hay problemas. Tildar la opción TLS Autentication y Generate TLS Key.
Gerónimo Manso
10
11
www.geronet.com.ar
Seleccionamos un algoritmo de encriptación. Ej: AES-128:
En la misma pantalla tambien configuraremos la red...
Regístrate para leer el documento completo.