¿ Cómo crear una VPN con OpenVPN y routers Teltonika ?

Introducción

Este documento describe cómo configurar una VPN entrerouters Teltonika usando el protocolo OpenVPN.

Los motivos para crear una VPN pueden ser:

• Poder acceder remotamente a los routers y a losequipos detrás de ellos sin necesidad de tener un IP pública o accesible denuestro operador móvil

• Poder ejecutar comunicaciones entre un servidorcentral (SCADA) y múltiples clientes remotos (autómatas) como si todos loselementos estuvieran conectados en la misma red

Tipos de VPN

En toda VPN debemos tener un único servidor y uno o variosclientes. Si sólo tenemos un cliente podemos usar como método de autenticación‘static key’. Sin embargo, en este documento describiremos cómo usar el métodode autenticación TLS que nos permite crear una VPN con un servidor y múltiplesclientes.

Por defecto, cuando creamos una VPN los clientes no puedencomunicarse entre sí. Esto es útil si usamos una VPN para comunicar con equiposde diferentes usuarios/clientes por temas de seguridad. El SCADA, por tanto,deberá estar siempre conectado detrás del router servidor para así podercomunicar con todos los routers clientes.

Si por el contrario queremos construir una red abierta podemoshabilitar en el router servidor la comunicación entre clientes.

A nivel lógico existen dos tipos de VPN: TAP o bridged y TUNo routed.

VPN TAP

Es una VPN de nivel 2 donde todos los equipos conectados ala VPN están en el mismo rango. Asimismo, los interfaces LAN de los extremos dela VPN, es decir, el router servidor y los routers cliente también están eneste mismo rango.

Es el tipo de VPN más sencillo y permite comunicar condispositivos terminales que no permitan la configuración de un gateway o rutapor defecto.

En la siguiente figura vemos un ejemplo. Hemos colocado elrouter servidor de la VPN detrás de un router de banda ancha (ADSL o FTTH) conuna dirección IP fija (necesitamos una IP fija en el servidor porque losclientes deben apuntar a dicha dirección en su conexión).

El router servidor se conecta a la LAN de nuestro router debanda ancha a través del puerto WAN RJ45. Por tanto,  en este router deberemos configurar el puertoWAN como Wired RJ45.

Asimismo, tendremos que redireccionar el puerto TCP/UDP 1194en el router ADSL/FTTH hacia la IP WAN del router servidor de nuestra VPN(192.168.1.8 en nuestro ejemplo). De esta forma, cuando los clientesestablezcan la conexión los paquetes de entrada se redirigirán automáticamentea nuestro servidor VPN.

En una VPN TAP debemos tener cuidado con el direccionamientoIP de los diferentes elementos puesto que todos compartirán rango una vezestablecida la VPN. Por tanto, si queremos habilitar el servicio DHCP en losdiferentes routers clientes y servidor tengamos en cuenta que deben tener poolsde direcciones diferentes. Aun así, recomendamos usar direcciones IP fijas paratodos los dispositivos a conectar en la VPN.

VPN TUN

En este caso se trata de una red privada virtual de nivel 3o ruteada. Topológicamente es más compleja ya que los extremos de esta VPN (esdecir, el router servidor y los routers clientes llamados también ‘endpoints’)deben tener configuradas las rutas estáticas para alcanzar todas las redeslocales de los otros extremos.

En una VPN TUN, a diferencia de una VPN TAP, la red LANdetrás del router servidor y las redes LAN detrás de los routers cliente tienenque estar en rangos diferentes. Asimismo, todas ellas deben estar en rangosdiferentes de los extremos de los túneles VPN o endpoints. Los extremos de laVPN realizan las tareas de rutado de paquetes entre el endpoint y la red localy representan unas direcciones IP virtuales que no tenemos en redes TAP.

En la siguiente figura tenemos un ejemplo. En color rojohemos indicado las direcciones IP de los endpoints (172.16.1.0). Como veremos másadelante, conviene configurar de forma manual estas direcciones para cadacliente que configuremos. Y en color azul, verde y gris las redes LAN delservidor y los dos clientes. Como vemos cada una está en un rango diferentes192.168.0.0, 192.168.2.0 y 192.168.3.0 respectivamente. No hemos usado el192.168.1.0 porque está asignado a la WAN del router servidor (conectado en laLAN del router ADSL/FTTH).

Más adelante explicaremos, al configurar los clientes TLS cómo el servidor sabe la red remota de cada extremo de la VPN y a qué endpoint corresponde.