Diferencias

Muestra las diferencias entre dos versiones de la página.

--- informatica:certificaciones:lpic:lpic-2:212_system_security:212.5_openvpn [2021/04/19 15:12] – creado tempwin
+++ informatica:certificaciones:lpic:lpic-2:212_system_security:212.5_openvpn [2021/04/23 10:32] (actual) – [Archivos de configuración] tempwin
@@ Línea 11: / Línea 11: @@
     * ''openvpn''
- OpenVPN es un programa open source para la creación de túneles
+**OpenVPN** es un programa open source para la creación de túneles seguros (VPN, //Virtual Private Network//).
-seguros (VPN).
-• A diferencia de las VPN habituales, no se basa en IPsec sino en SSL
+<WRAP center round info 60%>
-• Proporciona servicios de:
+OpenVPN está disponible en Debian a través del paquete ''openvpn''
-• Autenticación: soporta varios modos, pero los dos más
+</WRAP>
-comunes son la autentificación por compartición de
-claves y la autentificación con certificados digitales X509.
+A diferencia de las VPN habituales, no se basa en IPsec sino en **SSL**.
-• Confidencialidad: la confidencialidad de las
-comunicaciones está garantizada por el uso de la librería
+Proporciona servicios de:
-OpenSSL. Para la encriptación se utiliza por defecto el
-algoritmo Blowfish.
+  * **Autenticación**: soporta varios modos, pero los dos más comunes son la autentificación por compartición de claves y la autentificación con certificados digitales X509.
-• Control de integridad.
+  * **Confidencialidad**: la confidencialidad de las comunicaciones está garantizada por el uso de la librería OpenSSL. Para la encriptación se utiliza por defecto el algoritmo Blowfish.
-.5: OpenVPN (2)
+  * **Control de integridad**.
-Modos de funcionamiento:
-• point-to-point: en el que los dos protagonistas de la
+===== Modos de funcionamiento =====
-VPN (Cliente y Servidor) son al mismo tiempo los
-extremos del túnel y los extremos de la
+  * **point-to-point**: en el que los dos protagonistas de la VPN (Cliente y Servidor) son al mismo tiempo los extremos del túnel y los extremos de la comunicación.
-comunicación.
+  * **site-to-site**: dos servidores OpenVPN proporcionan entonces un túnel, pero los extremos del tráfico son las dos redes conectadas. De este modo, los servidores OpenVPN realizan además una función de enrutamiento entre ambas redes. Este modo nos permitirá conectar máquinas de una red a máquinas de una red distinta.
-• site-to-site: dos servidores OpenVPN proporcionan
+  * **bridge**: se conectan dos redes remotas como si se hubiera añadido un cable entre los switches. Es un modo muy poco utilizado. DHCP puede funcionar en este modo (y cualquier servicio que funciona por broadcast) para funcionar entre sedes.
-entonces un túnel, pero los extremos del tráfico son
-las dos redes conectadas. De este modo, los
+===== Creación de un túnel punto a punto =====
-servidores OpenVPN realizan además una función de
-enrutamiento entre ambas redes.
+==== Gestión de la autenticación ====
-• bridge: se conectan dos redes remotas como si se
-hubiera añadido un cable entre los switches. Es un
+Generamos el fichero de clave en el **servidor**:
-modo muy poco utilizado.
-.5: OpenVPN (2)
-Creación de un túnel punto a punto
-.Generamos el fichero de clave en el servidor:
 <code>
-openvpn --genkey --secret secret.key
+openvpn --genkey --secret <archivo_clave.key>
 </code>
-.Es necesario que el cliente tenga la clave:
+Ejemplo:
 <code>
-scp secret.key root@cliente:/root
+# cat archivo_clave.key
+#
+# 2048 bit OpenVPN static key
+#
+-----BEGIN OpenVPN Static key V1-----
+ae11344ce37de44dcce059ecf9fa573f
+a2694d5531bc7ed144a12a099c4ef8ce
+(...)
+d37552cd4f29ff6b719588056a60777
+cc2aff71bf339f5293bf08f2ce4df
+-----END OpenVPN Static key V1-----
 </code>
-.Establecemos la configuración:
+Es necesario que el cliente tenga la clave creada en el servidor, así que se la pasamos:
-Los archivos de configuración se encuentran por defecto en
-el directorio /etc/openvpn y suelen llamarse client.conf y server.conf:
 <code>
-remote <servbidor>
+scp archivo_clave.key root@cliente:/root
+</code>
+==== Archivos de configuración ====
+Los archivos de configuración se encuentran por defecto en el directorio ''/etc/openvpn'' y suelen llamarse ''client.conf'' y ''server.conf'':
+<code>
+remote <servidor>
 dev tun
 ifconfig <IP_local> <IP_remota>
@@ Línea 64: / Línea 76: @@
   * ''remote servidor'': en el cliente únicamente. ''servidor'' indica el nombre o la dirección IP del servidor al que se debe conectar la VPN.
-  * ''dev tun'': crea una encapsulación de tipo túnel.
+  * ''dev tun'': crea una encapsulación de tipo túnel, es decir, point-to-point o site-to-site (''tap'' es para conexión bridge).
   * ''ifconfig IP_local IP_remota'': establece las direcciones locales y remotas de los extremos de la comunicación. Estas direcciones estarán visibles en forma de interfaz virtual en la configuración de red del host.
   * ''secret archivo_clave'': indica qué archivo contiene la clave compartida, idéntica en ambas máquinas.
   * ''route red_remota máscara'': parámetro del cliente: indica la dirección de red privada detrás del servidor para que el tráfico con destino esta red se enrute correctamente por la VPN.
+Iniciamos el servicio (cliente / servidor):
-.5: OpenVPN (2)
-Creación de un túnel punto a punto
-.Iniciamos el servicio (cliente / servidor):
 <code>
@@ Línea 78: / Línea 87: @@
 </code>
-.5: OpenVPN (2)
+Ejemplo completo:
-Ejemplo
 <code>
+# En el servidor
 # vi /etc/openvpn/server.conf
@@ Línea 90: / Línea 99: @@
 <code>
-vi /etc/openvpn/client.conf
+# En el cliente
+# vi /etc/openvpn/client.conf
 remote vpn.example.com
@@ Línea 99: / Línea 109: @@
 </code>
-•Se puede comprobar el correcto funcionamiento con el
+Se puede comprobar el correcto funcionamiento con el comando ping.
-comando ping.
-•OpenVPN por defecto, utiliza el puerto 1194/UDP.
+OpenVPN por defecto, utiliza el puerto **1194/UDP**.
-•Para obtener la información de routing y la lista de clientes
-actualmente conectados podemos ejecutar en el servidor el
+Para obtener la información de routing y la lista de clientes actualmente conectados podemos ejecutar en el servidor el comando:
-comando:
 <code>
@@ Línea 110: / Línea 119: @@
 </code>
-.5: OpenVPN (2)
+Ejemplo de una sesión:
-PREGUNTA DE EXAMEN:
-Which directive in the OpenVPN client.conf specifies
+<code>
-the remote server and port that the client should
+servidor# ifconfig tun0
-connect to? (Provide only the directive, without any
+tun0: error fetching interface information: Device not found
-options or parameters)
-.5: OpenVPN (2)
+servidor# /etc/init.d/openvpn start
-PREGUNTA DE EXAMEN:
+Starting virtual private network daemon: client.
-What types of virtual network devices does OpenVPN use for
-connections? (Choose TWO corrects answers.)
+servidor# ifconfig tun0
-A. eth
+tun0    Link encap:UNSPEC    HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
-B. tap
+        inet adr:10.8.0.2 P-t-P:10.8.0.1 Mask:255.255.255.255
-C. lo
+        UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
-D. tun
+        RX packets:0 errors:0 dropped:0 overruns:0 frame:0
-E. ppp
+        TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100
+        RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
+servidor# ping 10.8.0.1
+PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
+bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=0.864 ms
+</code>