GNU/Linux >> Tutoriales Linux >  >> Panels >> OpenVPN

Configuración de un servidor OpenVPN con OPNsense y Viscosity

Las redes privadas virtuales (VPN) se pueden utilizar para una serie de aplicaciones muy útiles. Puede conectarse de forma segura a cualquier punto de acceso WiFi público. Puede superar las restricciones de bloqueo geográfico en sus sitios web favoritos. E incluso puede conectarse a la red de su hogar u oficina desde cualquier parte del mundo, como si estuviera sentado en su escritorio. Esta guía lo guiará a través del proceso de configurar su propio servidor OpenVPN y conectarse a él con su copia de Viscosity.

Ejecutar su propio servidor OpenVPN le permitirá encriptar todo lo que hace en Internet, para que pueda realizar sus operaciones bancarias en línea de manera segura en el WiFi gratuito de su café favorito. Todo lo que envíe a través de la conexión VPN se cifrará desde su dispositivo hasta que llegue a su servidor OpenVPN en casa. La configuración de su servidor OpenVPN para acceder a la red de su hogar u oficina le brinda acceso completo a todos sus archivos en su red.

Esta guía lo guiará a través de los pasos necesarios para configurar un servidor OpenVPN en una instancia de OPNsense que le permita acceder de manera segura a la red de su hogar/oficina desde una ubicación remota y, opcionalmente, enviar todo el tráfico de su red a través de ella para que pueda acceder a Internet. también de forma segura.

Esta guía no tratará ningún problema relacionado con la configuración de su enrutador. Es probable que un servidor que ejecuta OPNsense actúe como un enrutador, por lo que supondremos que el servidor OPNsense está conectado directamente a Internet con su propia dirección IP.

Preparación

Para esta guía, asumimos:

  • Ya ha instalado la última versión de OPNsense (21.1 en el momento de escribir este artículo)
  • OPNsense se ha configurado con al menos una interfaz WAN y una interfaz LAN
  • Está conectado con su dispositivo cliente al servidor OPNsense a través de su interfaz LAN durante esta guía
  • Esta instalación de OPNsense es una instalación nueva
  • Ya tiene una copia de Viscosity instalada en su dispositivo cliente

Si necesita descargar e instalar una copia de OPNsense, puede encontrar información en https://opnsense.org/download/. No cubriremos los detalles de la configuración de una instancia de OPNsense, se pueden encontrar muchas guías en línea. Si está ejecutando una versión diferente de OPNsense, es muy probable que se apliquen muchos o incluso todos los pasos descritos en esta guía. Si desea configurar un servidor OpenVPN en un sistema operativo diferente, consulte nuestras otras guías.

Su dispositivo cliente debe estar conectado al servidor OPNsense a través de la interfaz LAN. Esto es necesario para poder acceder a la GUI web de OPNsense. Los detalles de cómo puede lograr esto dependen de su configuración de red particular.

Si aún no tiene una copia de Viscosity instalada en su cliente, consulte esta guía de configuración para instalar Viscosity (Mac | Windows).

Soporte

Lamentablemente, no podemos brindar asistencia directa para configurar su propio servidor OpenVPN. Brindamos esta guía como cortesía para ayudarlo a comenzar y aprovechar al máximo su copia de Viscosity. Hemos probado minuciosamente los pasos de esta guía para asegurarnos de que, si sigue las instrucciones que se detallan a continuación, debería estar bien encaminado para disfrutar de los beneficios de ejecutar su propio servidor OpenVPN.

OPNsense tiene soporte comercial y comunitario para su producto. Si necesita más información o ayuda, eche un vistazo a sus opciones en https://wiki.opnsense.org/support.html

Cómo empezar

Primero debe iniciar sesión en la GUI de OPNsense desde su dispositivo cliente conectado a la interfaz LAN del servidor de OPNsense. Abra un navegador en su cliente y navegue hasta la dirección IP de la interfaz LAN de su servidor OPNsense (https://192.168.1.1 por defecto). Deberá iniciar sesión. Las credenciales predeterminadas se encuentran a continuación, pero se le debería haber pedido que las cambiara por algo personal cuando instaló OPNsense:

User: root
Password: opnsense

Esta configuración se puede realizar desde cualquier cuenta de usuario si ha creado diferentes usuarios o funciones, siempre que tengan permisos de administrador del sistema.

Servidor DNS

Si está utilizando OPNsense como su enrutador, lo más probable es que ya haya configurado el DNS. Sin embargo, si se trata de una instalación nueva, al menos OPNsense necesita saber dónde buscar para pasar las solicitudes de DNS. Podemos configurar esto así:

  1. Haga clic en System> Settings> General a la izquierda
  2. En los Servidores DNS sección, establezca los dos primeros servidores DNS en 8.8.8.8 y 8.8.4.4 (Google DNS). Si desea usar diferentes servidores DNS, siéntase libre de usarlos aquí.
  3. Configure Usar puerta de enlace desplegable a su interfaz WAN para cada entrada.
  4. Haga clic en Save en la parte inferior.

Su servidor OPNsense ahora debería poder resolver DNS. Puede probar esto abriendo un símbolo del sistema en Windows o Terminal en Mac y escribiendo nslookup sparklabs.com. 192.168.1.1 donde 192.168.1.1 es la dirección IP de su servidor OPNsense.

Asistente de OpenVPN

Se puede configurar un servidor OpenVPN para la mayoría de los casos de uso utilizando el asistente integrado.

  1. Haga clic en VPN> OpenVPN> Servers a la izquierda.
  2. En la parte inferior de la nueva página, haga clic en el ícono de varita a la izquierda de Usar un asistente para configurar un nuevo servidor .
  3. En la página Selección del tipo de autenticación, asegúrese de Tipo de servidor está configurado para Acceso de usuario local y haga clic en Siguiente.
  4. Ahora necesitamos crear una Autoridad de certificación (CA).
    1. Establecer el Nombre de la descripción campo a 'OPNsense-CA'.
    2. Deje la Longitud de la clave a 2048 bits y configure el Vida útil a 3650
    3. Los campos restantes son para identificar el servidor, configúrelos adecuadamente para usted.


  5. Haga clic en Agregar nueva CA para continuar.
  6. Haga clic en Agregar nuevo certificado en la página siguiente.
  7. En Agregar un certificado de servidor página, establezca el Nombre descriptivo al servidor , deje la Longitud de la clave a 2048 bits y configure el Vida útil a 3650. El resto de la información ya debe estar precargada.
  8. Haga clic en Crear nuevo certificado para continuar.
  9. La página siguiente debería ser Configuración del servidor , establezca lo siguiente:
    1. Establecer interfaz a WAN.
    2. Asegurar Protocolo es UDP y Puerto es 1194.
    3. Establezca una descripción, por ejemplo, "Mi servidor".
    4. Cambiar la longitud de los parámetros DH a 2048 como mínimo. Si está ejecutando un hardware moderno, configúrelo en 4096 (de lo contrario, esperará mucho tiempo).
    5. Cambiar algoritmo de cifrado a 'AES-256-CBC (clave de 256 bits, bloque de 128 bits)'
    6. Cambiar el algoritmo de resumen de autenticación a 'SHA256 (256 bits)' como mínimo. Si utiliza hardware moderno, cambie esto a 'SHA512' (es posible que tenga problemas de conexión en hardware antiguo).
    7. En la red de túneles IPv4 campo, ingrese '10.0.8.0/24'
    8. Para permitir el acceso a las máquinas en la red local, ingrese su rango de IP local en la Red local entorno. Probablemente será algo así como 192.168.1.0/24.
    9. Establecer la Compresión a 'Deshabilitado'.
    10. Establecer Servidor DNS 1 a 10.0.8.1.
  10. Todas las demás configuraciones se pueden dejar como predeterminadas. Haga clic en Siguiente .
  11. En la Configuración de reglas de cortafuegos , marque tanto la Regla de cortafuegos y regla OpenVPN casillas de verificación y haga clic en Siguiente . Si tiene una configuración no predeterminada, deberá verificar dos veces lo que se agrega al final del asistente.
  12. Ahora debería ver Su configuración ahora está completa. . ¡Felicidades, ya casi llegamos! Haga clic en Finalizar .

Configuración de usuario

De forma predeterminada, conectarse a un servidor OPNsense OpenVPN requiere un certificado de usuario y un nombre de usuario y contraseña. Esta es una buena práctica y usaremos este valor predeterminado para cada usuario que quiera conectarse. Necesitamos crear una cuenta de usuario para cada persona a la que desee permitir el acceso a su servidor. También puede usar usuarios existentes si lo desea, pero deberá asegurarse de que se genere un certificado para ellos utilizando la CA que creamos durante el asistente.

Creando un Nuevo Usuario

Para crear un nuevo usuario:

  1. Haga clic en System> Access> Users a la izquierda.
  2. Haga clic en Agregar en la parte superior derecha de la página Usuarios.
  3. Introduzca un nombre de usuario , Contraseña y marque la casilla Haga clic para crear un certificado de usuario más abajo.
  4. Complete cualquier otro campo que desee, pero no es obligatorio.
  5. Haga clic en Guardar.
  6. Accederá a una página de Certificados. Seleccione 'Crear un certificado interno' en el Método caja desplegable. La página se reorganizará sola.
  7. Garantizar Autoridad de certificación es el nombre que creamos durante el asistente que debería ser 'OPNsense-CA' y Escriba es 'Certificado de cliente'.
  8. Cambiar Vida útil (días) a 3650.


  9. Haga clic en Guardar.
  10. Volverá a la página Crear usuario, los certificados de usuario ahora deberían tener una entrada, haga clic en Guardar en la parte inferior de nuevo.
  11. Debería aparecer un cuadro azul en el cuadro con "Los cambios se han aplicado correctamente". Hemos agregado un nuevo usuario que ahora podemos usar.



Creando un certificado para un usuario existente

Para crear un certificado para un usuario existente:

  1. Haga clic en System> Access> Users a la izquierda.
  2. Haga clic en el botón de edición (un lápiz) junto al usuario.
  3. Haga clic en + (más) debajo de Nombre en Certificados de usuario campo.
  4. Accederá a una página de Certificados. Seleccione 'Crear un certificado interno' en el Método caja desplegable. La página se reorganizará sola.
  5. Garantizar Autoridad de certificación es el nombre que creamos durante el asistente que debería ser 'OPNsense-CA' y Escriba es 'Certificado de cliente'.
  6. Cambiar Vida útil (días) a 3650.
  7. Haga clic en Guardar.
  8. Volverá a la página Crear usuario, los certificados de usuario ahora deberían tener una entrada, haga clic en Guardar en la parte inferior de nuevo.
  9. Debería aparecer un cuadro azul en el cuadro con "Los cambios se han aplicado correctamente". Hemos agregado un nuevo usuario que ahora podemos usar.

Grupos de Usuarios (Opcional)

Si tiene usuarios para varias tareas en su servidor OPNsense que no desea que tengan acceso a la VPN, puede crear un grupo de usuarios para controlar el acceso a su servidor VPN. Para crear un grupo:

  1. Haga clic en System> Access> Groups a la izquierda.
  2. Haga clic en + (más) en la parte inferior derecha de la página Usuarios para agregar un nuevo usuario.
  3. Establecer el Nombre del grupo a 'VPN', también puede establecer una Descripción que reconocerá, algo así como 'Grupo de acceso al servidor VPN'.
  4. Puede agregar usuarios al grupo ahora pero haciendo clic en su nombre en la lista de la izquierda, luego haga clic en la flecha derecha.
  5. Haga clic en Guardar

Ahora debemos permitir que solo este grupo acceda al servidor. Para hacer esto:

  1. Haga clic en VPN> OpenVPN> Servers a la izquierda.
  2. Haga clic en el botón de edición (lápiz) junto a su servidor OpenVPN.
  3. Cambie el grupo Enforce local a 'VPN' (o el nombre que le dio a su grupo VPN si es algo diferente).
  4. Desplácese hasta la parte inferior y haga clic en Guardar .


Configuración de la viscosidad

Si ha llegado hasta aquí, ahora debería poder conectarse a su servidor OpenVPN, ¡felicidades! Ahora podemos configurar la Viscosidad.

Exportar conexión desde OPNsense

Primero deberá descargar la configuración de OPNsense. OPNsense lo hace extremadamente fácil al proporcionar conexiones listas para usar para varios dispositivos, incluidas conexiones preparadas específicamente para Viscosity. Para llegar a estos:

  1. Haga clic en VPN> OpenVPN> Client Export a la izquierda.
  2. En Paquetes de instalación de clientes, haga clic en el cuadro desplegable Exportar junto al usuario para el que desea exportar una configuración y seleccione "Paquete de viscosidad". Se descargará una conexión Visz.



Importar conexión en viscosidad

La interfaz proporcionada por las versiones de Viscosity para Mac y Windows es intencionalmente muy similar. Como tal, centraremos nuestra guía en la versión para Mac, señalando las diferencias con la versión de Windows a medida que surjan.

Si aún no tiene Viscosity ejecutándose, inicie Viscosity ahora. En la versión Mac verá aparecer el icono Viscosidad en la barra de menú. En la versión de Windows verá aparecer el icono de Viscosidad en la bandeja del sistema.

Haga clic en el ícono de Viscosidad en la barra de menú (Windows :bandeja del sistema) y seleccione 'Preferencias...':




Esto le muestra la lista de conexiones VPN disponibles. Asumimos que recientemente instaló Viscosity, por lo que esta lista está vacía. Haga clic en el botón '+' y seleccione Import Connection> From File... :



Navegue hasta la ubicación del archivo de configuración Viscosity y ábralo. Verá un mensaje emergente para indicar que la conexión se ha importado.

Ahora haga doble clic en la conexión en la ventana de Preferencias para que aparezca la configuración de la conexión. Si usó la conexión correcta exportada desde OPNsense, todo lo que necesita hacer es cambiar el nombre de la conexión a algo que pueda reconocer y verificar que la dirección del servidor sea correcta.




Guarde la conexión y ahora debería poder conectarse.

(Opcional) Permitir el acceso a Internet

De manera predeterminada, la conexión VPN permitirá el acceso al servidor de archivos y otras computadoras en la red doméstica/de oficina (LAN). Sin embargo, si también desea que todo el tráfico de Internet se envíe a través de la conexión VPN, es necesario realizar una edición final en la conexión:

  1. Haga doble clic en su conexión en la ventana de preferencias de viscosidad para abrir el editor de conexiones
  2. Haga clic en Redes pestaña.
  3. Haga clic en el menú desplegable "Todo el tráfico" y seleccione la opción "Enviar todo el tráfico a través de una conexión VPN". No es necesario ingresar una puerta de enlace predeterminada.
  4. Haga clic en Save botón.

Conectando y usando su conexión VPN

Ahora está listo para conectarse. Haga clic en el ícono de Viscosity en la barra de menú de macOS o en la bandeja del sistema de Windows para abrir el menú Viscosity, seleccione la conexión que importó y Viscosity se conectará.

Para verificar que la VPN esté funcionando, puede abrir la ventana Detalles desde el menú Viscosidad. Esto le permitirá ver los detalles de la conexión, el tráfico y el registro de OpenVPN.



Eso es todo, ha configurado su propio servidor OpenVPN. ¡Felicitaciones, ahora puede disfrutar de los beneficios de operar su propio servidor OpenVPN!


OpenVPN

  1. Cómo instalar y configurar un servidor OpenVPN en Ubuntu 22.04

  2. Cómo instalar y alojar un servidor OpenVPN con Docker

  3. Configuración de un servidor de ofuscación con Obfsproxy y Viscosity

  4. Instale y configure el servidor OpenVPN en Ubuntu 20.04

  5. Instalar y configurar el servidor OpenVPN FreeBSD 12

Configuración de un servidor OpenVPN con Sophos XG y Viscosity

Configuración de un servidor OpenVPN con Synology y Viscosity

Configuración de un servidor OpenVPN con enrutador Tomato y Viscosity

Configuración de un servidor OpenVPN con Ubiquiti EdgeRouter (EdgeOS) y Viscosity

Configuración de un servidor OpenVPN con Ubuntu y Viscosity

Configuración de un servidor OpenVPN con VyOS y Viscosity