¿ Cómo crear una VPN con OpenVPN y routers Teltonika ? (III)
Jose R. Salvador
April 24, 2019
Configuración de una VPN TUN
Configuración del router servidor
Como en el caso de una VPN TAP crearemos primero unainstancia de servidor VPN que por defecto ya será del tipo TUN. Podemos dejarpor defecto los valores correspondientes al puerto (1194), protocolo (UDP) yhabilitar o deshabilitar la compresión LZO. También tendremos que cargar losmismos certificados y claves que ya vimos en modo TAP.
La principal diferencia respecto a la VPN TAP es que en modoTUN cada extremo de la VPN tiene una dirección IP virtual que corresponde alendpoint (extremo de la VPN). Estas direcciones NO pueden coincidir ni con lasdirecciones IP WAN ni LAN de ninguno de los extremos. En este sentidorecomendamos, por ejemplo, escribir el rango sugerido de 172.16.1.0 y255.255.255.0 (aunque aparezcan en color gris claro debemos escribir losvalores). Cada endpoint (servidor y clientes) tendrá una pareja de direcciones IPvirtuales en este rango. El servidor toma por defecto las direcciones172.16.1.1 y 172.16.1.2
En el campo Push option no es necesario añadir ninguna rutamanualmente ya que a través de la configuración de los clientes TLS yarealizaremos automáticamente esta configuración.
A diferencia del servidor en modo TAP, una vez configuradoslos parámetros anteriores, en la parte inferior de la pantalla deberemos ircreando los clientes TLS, uno por cada router cliente añadido. Para ello ledaremos un nombre (no es importante) y pincharemos en Add.
Repetimos aquí el diagrama de nuestra red para ilustrar lacreación del cliente1 (client1). Una vez añadido el cliente TLS, el router generaautomáticamente un VPN instance name. En el campo Endpoint name podemosescribir un texto identificativo (pero no es importante de cara alestablecimiento de la conexión). En elcampo Common name (CN) sí debemos escribir el mismo texto que usamos para elparámetro CN del certificado del cliente. Este CN es el que asocia uncertificado a un cliente TLS determinado. En Virtual local endpoint usaremosuna dirección IP del rango de tipo par empezando por la .4 y en el virtualremote endpoint usaremos la dirección IP justo anterior (.3 por ejemplo). Estasduplas de direcciones establecen unos túneles punto a punto entre el servidor ycada uno de los clientes. El servidor se reserva las direcciones impares y losclientes las pares inmediatamente superiores. Si no escribimos la dirección IPel servidor VPN nos asignará una por DHCP pero nos interesa tener localizadocada cliente para poder accederlo a través de esta IP virtual por ejemplo paratemas de gestión. Finalmente, en Private network pondremos el rango de la LANdel router cliente (192.168.2.0 según el ejemplo descrito para client1). Estaconfiguración permite al router servidor crear la ruta estática capaz deenrutar el tráfico con destino 192.168.2.0 a través de la IP virtual 172.16.1.4
Configuración del router cliente
De igual forma que con la VPN TAP iremos a Services – VPN –OpenVPN y crearemos una instancia de cliente VPN. Por defecto se creará en modoTUN. Pinchando en Edit podremos habilitarla y editarla.
Verificaremos el puerto, protocolo y compresión para quecoincidan con la configuración del servidor y cargaremos los mismoscertificados y claves que vimos en las redes TAP. Recordemos que debemos cargar el certificado cuyoparámetro CN corresponde al parámetro CN que hemos creado en el cliente TLSañadido en el servidor VPN.
Si tenemos alguna duda respecto al parámetro CN de nuestrocertificado podemos verificarlo simplemente abriéndolo desde Windows. Iremos ala pestaña Detalles y luego seleccionaremos el campo Sujeto. En la parte inferiorde la ventana nos aparecen los parámetros incluyendo el CN (Common Name)
La única diferencia respecto a la configuración del clienteTAP es que en este caso debemos indicarle al router cliente la red LAN delservidor VPN y la máscara de red. No es necesario escribir nada en el campoExtra options. Estos parámetros permiten al router cliente enrutar el tráficohacia esa red destino a través de la IP virtual del túnel correspondiente alservidor (172.16.1.3 en nuestro caso para client1).
Verificación del VPN y Troubleshooting
Los procedimientos para la verificación y el troubleshootingde una VPN tipo TUN son idénticos a los descritos para las redes TAP.
Si te interesó esta serie de tres posts puedes descargártelos en formato de documento PDF simplemente suscribiéndote a nuestro blog por email y recibrás un email con el link de descarga.
[wpforms id=»2117″]
Reply