Guia: configuració d'openvpn en routers als seus

El servidor OpenVPN en aquests routers és una funcionalitat que va començar en l'excel·lent mod de firmware de RMerlin (basat al seu torn en la implementació d'OpenVPN realitzada en el relativament popular firmware de routers Tomato), per sort des de la versió 374.2050 de l'firmware oficial aquesta opció s'inclou per defecte, i és summament senzilla de configurar.

Això no vol dir que no puguem configurar tots els detalls com abans, però s'automatitzen diverses tedioses tasques, com la generació de les claus pública i privada que abans calia realitzar manualment, permetent una autenticació per certificats sense necessitat de massa temps ni coneixements per l'usuari.

Per què utilitzar OpenVPN en lloc de servidor PPTP usual?

La resposta és simple, és un mètode bastant més segur (veure) que el servidor PPTP que s'utilitza habitualment en entorns domèstics i routers per la seva senzillesa, és relativament estàndard, no és significativament més costós en recursos, és molt més flexible, i encara que alguna cosa tediós de configurar és molt còmode un cop familiaritzats amb l'entorn.

De fet, és senzill configurar un servidor PPTP en un equip Windows, sense instal·lar cap programari addicional, seguint guies com l'existent a. Però molt millor configurar en l'router, que a més de estalviar-nos el requisit de redirigir ports i crear regles de tallafocs, està sempre encès per acceptar connexions. I si pot ser més segur que PPTP, és a dir, el mètode que nosaltres explicarem amb OpenVPN, molt millor.

Nota: També es pot configurar un servidor OpenVPN en un PC usual, en cas de no disposar d'un router amb aquest firmware o compatible amb DD-WRT / OpenWRT. Per als usuaris interessats en aquest punt recomanem seguir l'article corresponent a la wiki de Debian, que detalla perfectament els passos a seguir en

Manual de configuració pas a pas

Aquesta no pretén ser una guia exhaustiva de configuració, sinó una primera presa de contacte per tenir corrent un servidor bàsic que posteriorment podrà ser configurat a mida de cada usuari.

Els passos a seguir són els següents:

1. Ens connectem a l'router des de qualsevol navegador, introduint la IP a la barra d'adreces (per defecte 192.168.1.1, encara que en aquesta guia serà 10.20.30.1), identificant-nos amb el nostre usuari i contrasenya (per defecte admin / admin en routers Asus, però si estem seguint aquesta guia ja haurien de portar temps canviats) Ens anem a menú VPN dins d'opcions avançades, ia la pestanya OpenVPN seleccionem la primera instància (Server 1), movem l'interruptor a la posició ON. No cal, però sí recomanable afegir usuaris per a la nostra VPN, en aquest cas hem triat proves / proves com a usuari / password, recomanem per descomptat utilitzar una contrasenya més robusta per utilitzar-lo en un entorn real. Punxem en el botó "+" per afegir l'usuari i ja podem aplicar els canvis amb el botó Aplica situat a la part inferior de la pàgina.

   

   OPCIONAL A l'activar el servidor veiem que ha aparegut un desplegable en el qual podem seleccionar Configuració avançada i canviar els paràmetres que necessitem. En el nostre cas, utilitzarem la configuració per defecte. Si volem obligar l'ús d'usuari i contrasenya, aquest és el lloc per fer-ho

   

   Per als usuaris que vulguin una configuració totalment manual, és possible generar els nostres propis certificats / claus per als usuaris que vulguem utilitzant easy-rsa, tal com es descriu en. En aquest cas el més senzill és generar les claus des del PC i configurar els tres valors necessaris punxant en el següent enllaç (tecles és una mala traducció de "keys", claus, en el firmware):

   

   Aquest tipus de configuració és bastant avançada, pel que és recomanable que els usuaris que vulguin aventurar-se a això configurin i provin abans un servidor amb les claus autogenerades. No és una bona pràctica per a un neòfit configurar el servidor d'aquesta manera sense experiència prèvia.

1. Ja tenim el servidor funcionant. Ara ens falta transferir els certificats als clients per a una connexió segura. En es pot veure exemples detallats dels arxius server.conf i client.conf (respectivament, client.ovpn i server.ovpn en Windows) amb comentaris i documentació, però en el nostre cas és molt més senzill utilitzar el botó d'Exportar

   L'arxiu que obtindrem tindrà una pinta semblant a aquest (claus eliminades per seguretat):

   

   El paràmetre que he marcat és la direcció del nostre servidor, que probablement no s'hagi configurat correctament en alguns casos on el DDNS no "sap" la direcció a la qual apunta (com és el meu cas, que faig servir Dnsomatic per tenir una direcció que apunt sempre al meu IP dinàmica).

   Tot i que la configuració correcta és així, amb una direcció fixa, cap problema si no es té configurat un DDNS, per fer proves es pot omplir aquest camp amb la IP WAN del nostre router (la IP externa, és a dir, la que es pot veure en http://cualesmiip.com o http://echoip.com), amb la pega que cada vegada que la nostra IP canviï haurem editar el document per reflectir-ho. Com la connexió és a l'router, evidentment no hem de redirigir puertos.Solo ens queda configurar el client. Ens descarreguem l'última versió des de la seva pàgina web https://openvpn.net/index.php/download/community-downloads.html, en el nostre cas serà la de Windows i de 64bits. La instal·lació és senzilla i no la detallarem. Per a un ús general no cal canviar cap de les opcions per defecte.

   

   Ara, depenent de la versió instal·lada, hem de copiar l'arxiu que hem exportat anteriorment (l'hem anomenat client1.ovpn) a directori de configuració de client. En Windows, el directori té el Arxius de programa / OpenVPN / config / (Arxius de programa (x86) / OpenVPN / config / en el cas de la versió de 32 bits). Ja només queda executar el client com a administrador, ens demanarà usuari i contrasenya a més dels certificats que ja van a l'arxiu de configuració si ho hem configurat perquè ho faci. En cas contrari entrem directament. Si tot ha anat bé, veurem un registre similar a aquest en el log (captura presa en un escenari sense validació per contrasenya). La icona de la pantalla verda de la barra de tasques ens confirma que estem connectats, i ens informarà de la IP virtual assignada a l'equip des del que vam llançar el client a la VPN.

   

Des d'aquest moment l'equip es comportarà com si estigués connectat físicament a la xarxa local gestionada pel router en el qual hem configurat el servidor OpenVPN.

Podem monitoritzar des del nostre router totes les connexions d'aquest tipus. Per exemple, que el configura com hem descrit i connectant-nos des del portàtil, veurem alguna cosa com això en la secció VPN-> VPN Status

Nota: De vegades és problemàtic connectar-se a una VPN des de dins de la nostra pròpia xarxa (lògicament, ja que és un ús bastant artificial intentar connectar una xarxa local amb ella mateixa a través d'una VPN), si algú té problemes perquè li funcioni la connexió després d'haver seguit tots els passos seria molt recomanable provar amb la connexió de dades d'un telèfon mòbil (via tethering, per exemple), amb una punxa USB 3G / 4G, o directament des d'una altra localització.

Esperem que aquesta guia us sigui útil per augmentar la seguretat de les vostres connexions a la xarxa de casa des de l'exterior. Animeu-vos a deixar qualsevol dubte o observació en els comentaris.