Professional Documents
Culture Documents
SEGURIDAD PERIMETRAL
Laboratorio N 5
OpenVPN SSL
Tecsup
OpenVPN SSL
OPENVPN SSL
PREPARACIN DEL ENTORNO
Se crear el siguiente entorno de trabajo: LAS IPS SON SOLO REFERENCIALES. UTILIZARA EL
RANGO DE Ips que utiliz para el laboratorio 1. El laboratorio se realizar en grupos de 2
personas.
Nota : El laboratorio se realizar con una mquina virtual entregada por el instructor.
1. Preparar las siguientes mquinas virtuales:
(1) Linux CentOS 6.5 con nombre VPN-1QUITRU
(2) Linux CentOS 6.5 con nombre VPN-2QUITRU
(3) Centos 6.5 o superior con nombre CLI-1QUITRU
(4) Centos 6.5 o superior con nombre CLI-2QUITRU
2. Configurar Centos 6.5
Nombre Linux: CLI-1QUITRU
Direccin IP:
o IP
: 172.16.14.2
o Mscara
: 255.255.255.252
o Gateway
: 172.16.14.1
o DNS
: No tiene
3. Configurar Centos 6.5
Nombre Linux: CLI-2QUITRU
Direccin IP:
o IP
: 172.15.15.2
o Mscara
: 255.255.255.252
o Gateway
: 172.15.15.1
o DNS
: No tiene
Pg. 2 de 26
Tecsup
OpenVPN SSL
4. Configurar VPN01
Nombre Linux: VPN-1QUITRU
NIC1:
o Direccin IP:
IP
Mscara
Gateway
DNS
NIC2:
o Direccin IP:
IP
Mscara
Gateway
DNS
5. Configurar VPN02
(5) Nombre Linux: VPN-2QUITRU
NIC1:
o Direccin IP:
IP
Mscara
Gateway
DNS
NIC2:
o Direccin IP:
IP
Mscara
Gateway
DNS
: 172.16.14.1
: 255.255.255.252
: No tiene
: No tiene
: 192.168.10.2
: 255.255.255.0
: No tiene
: No tiene
: 172.15.15.1
: 255.255.255.252
: No tiene
: No tiene
: 192.168.10.3
: 255.255.255.0
: No tiene
: No tiene
Ping destino
VPN-1QUITRU 172.16.14.1
VPN-2QUITRU 172.15.15.1
VPN-2QUITRU 192.168.10.3
Resultado
Exitoso
Exitoso
Exitoso
7. Definir polticas IPTABLES permisibles en VPN-1QUITRU para ofrecer acceso sin restriccin.
Crear el directorio: /etc/openvpn
Crear el script: /etc/openvpn/poli.sh con el siguiente contenido:
Pg. 3 de 26
Tecsup
OpenVPN SSL
# chmod +x poli.sh
# ./poli.sh
# iptables t nat L
SE CREAN LAS REGLAS IPTABLES EN VPN1
Pg. 4 de 26
Tecsup
OpenVPN SSL
Ping destino
VPN-1QUITRU 192.168.10.2
VPN-2QUITRU 192.168.10.3
Resultado
Exitoso
Exitoso
9. Definir polticas IPTABLES permisibles en VPN02 para ofrecer acceso sin restriccin.
Crear el directorio: /etc/openvpn
Crear el script: /etc/openvpn/poli.sh con el siguiente contenido:
Pg. 5 de 26
Tecsup
OpenVPN SSL
# chmod +x poli.sh
# ./poli.sh
# iptables t nat L
Ping destino
VPN-1QUITRU 192.168.10.2
VPN-2QUITRU 192.168.10.3
CLI-1QUITRU 172.16.14.2
Pg. 6 de 26
Resultado
Exitoso
Exitoso
Fallido
Tecsup
OpenVPN SSL
Pg. 7 de 26
Tecsup
OpenVPN SSL
o
o
Verificar el
funcionamiento de
OpenVPN:
o # cd /
o # openvpn
--genkey
--secret key
# openvpn --test-crypto --secret key
El auto test (self-test) deber ser satisfactorio.
# cat key
Mostrar el contenido de la clave esttica creada por OpenVPN.
Pg. 8 de 26
Tecsup
OpenVPN SSL
Pg. 9 de 26
Tecsup
OpenVPN SSL
Pg. 10 de 26
Tecsup
OpenVPN SSL
Ping destino
TUN01 10.0.11.1
TUN02 10.0.11.2
CLI-2QUITRU 172.15.15.2
Resultado
Exitoso
Exitoso
Fallido
Pg. 11 de 26
Tecsup
OpenVPN SSL
19. Habilitar el enrutamiento para que las redes 172.16.14.0/29 y 192.168.2.0/24 puedan
comunicarse.
En VPN01 ejecutar:
o openvpn --remote 192.168.10.3 --dev tun1 --ifconfig 10.0.11.1 10.0.11.2 --route
172.15.15.0 255.255.255.252 10.0.11.2
o
Indica la interface del tnel en donde ubicar a la red, en este caso 172.15.15.0/29.
En VPN02 ejecutar:
o openvpn --remote 192.168.10.2 --dev tun2 --ifconfig 10.0.11.2 10.0.11.1 --route
172.16.14.0 255.255.255.252 10.0.11.1
o Indica la interface del tnel en donde ubicar a la red, en este caso 172.16.14.0/29.
TNEL VPN-1
TNEL VPN-2
Pg. 12 de 26
Tecsup
OpenVPN SSL
Ping destino
TUN01 10.0.11.1
TUN02 10.0.11.2
CLI-2QUITRU 172.15.15.2
Resultado
Exitoso
Exitoso
Exitoso
NOTA: EN ESTE CASO, SIN NECESIDAD DE GATEWAY EN LA INTERFAZ ETH1 DEL VPN 1 Y
VPN 2 HAY CONECTIVIDAD DE EXTREMO A EXTREMO DEBIDO AL TNEL CREADO
21. Cancelar el tnel establecido.
CREACIN DE UN TUNEL CON CLAVE COMPARTIDA
** El tnel se crear utilizando una clave simtrica creada en VPN01 y copiada a VPN02 para
establecer la comunicacin.
Pg. 13 de 26
Tecsup
OpenVPN SSL
cd /etc/openvpn
openvpn --genkey --secret key
cat key
scp key root@192.168.10.3:/etc/openvpn
En VPN01 ejecutar:
o openvpn --remote 192.168.10.3 --dev tun1 --ifconfig 10.0.11.1 10.0.11.2 --route
172.15.15.0 255.255.255.252 10.0.11.2 --secret key
En VPN02 ejecutar:
o openvpn --remote 192.168.10.2 --dev tun2 --ifconfig 10.0.11.2 10.0.11.1 --route
172.16.14.0 255.255.255.252 10.0.11.1 --secret key
TNEL VPN-1
Pg. 14 de 26
Tecsup
OpenVPN SSL
TNEL VPN-2
Ping destino
TUN01 10.0.11.1
TUN02 10.0.11.2
CLI-2QUITRU 172.15.15.2
Pg. 15 de 26
Resultado
Exitoso
Exitoso
Exitoso
Tecsup
OpenVPN SSL
NOTA: EN ESTE CASO, SIN NECESIDAD DE GATEWAY EN LA INTERFAZ ETH1 DEL VPN 1 Y
VPN 2 HAY CONECTIVIDAD DE EXTREMO A EXTREMO DEBIDO AL TNEL CREADO
25. Cancelar el tnel establecido. (ctrl + C)
USO DE ARCHIVO DE CONFIGURACIN
** En vez de invocar a openvpn y escribir los parmetros del tnel se puede crear un archivo que
contenga dichos parmetros para facilitar la configuracin del tnel.
26. En VPN01 crear el archivo /etc/openvpn/oficina1.conf con el siguiente contenido:
#INTERFACE
dev tun1
port 1195
#LLAVE
secret /etc/openvpn/key
#COMPPRESION DE TRFICO
comp-lzo
#MONITOREO TUNEL
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
Pg. 16 de 26
Tecsup
OpenVPN SSL
#INTERFACE
remote 192.168.10.2
dev tun2
port 1195
nobind
#LLAVE
secret /etc/openvpn/key
#COMPPRESION DE TRFICO
comp-lzo
#MONITOREO TUNEL
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
Pg. 17 de 26
Tecsup
OpenVPN SSL
En VPN01 ejecutar:
o openvpn --config oficina1.conf
Pg. 18 de 26
Tecsup
OpenVPN SSL
En VPN02 ejecutar:
o openvpn --config oficina2.conf
Ping destino
TUN01 10.0.11.1
TUN02 10.0.11.2
VPN-2QUITRU 172.15.15.1
Resultado
Exitoso
Exitoso
Exitoso
Pg. 19 de 26
Tecsup
OpenVPN SSL
ESQUEMA DE LA RED
: 172.16.14.2
: 255.255.255.252
: 172.16.14.1
: No tiene
: 172.15.15.2
: 255.255.255.252
: 172.15.15.1
: No tiene
: 172.16.14.1
: 255.255.255.252
: No tiene
: No tiene
: 192.168.10.2
: 255.255.255.0
: 192.168.10.1
: No tiene
Pg. 20 de 26
Tecsup
OpenVPN SSL
: 172.15.15.1
: 255.255.255.252
: No tiene
: No tiene
: 192.168.10.3
: 255.255.255.0
: 192.168.10.1
: No tiene
Pg. 21 de 26
Tecsup
OpenVPN SSL
Pg. 22 de 26
Tecsup
OpenVPN SSL
Pg. 23 de 26
Tecsup
OpenVPN SSL
Pg. 24 de 26
Tecsup
OpenVPN SSL
Pg. 25 de 26
Tecsup
OpenVPN SSL
CONCLUSIONES Y RECOMENDACIONES
- Se comprob la funcionalidad de implementar VPN en un entorno donde se cumpla con los 5
Pilares de la Seguridad con los paquetes que salen de la red interna hacia internet
estableciendo claves y tneles en los servidores VPN y clientes remotos.
Pg. 26 de 26