Instalación del Cliente OpenVPN en EdgeOS

Posted on
X

Privacidad & Cookies

Este sitio utiliza cookies. Al continuar, usted acepta su uso. Obtenga más información, incluido cómo controlar las cookies.

¡Lo tengo!

Anuncios

Fondo

yo soy de ninguna manera una red de aficionado. He hecho un trabajo limitado de consola de Cisco en mi carrera de TI, por lo que sumergirme en EdgeOS todavía me llevó un par de días darme cuenta. Es algo similar a Cisco IOS, por lo que si está familiarizado con eso, solo tenga en cuenta que los principios entre IOS y EdgeOS son los mismos, excepto que hay diferentes comandos para hacer lo que desea.

Compré el EdgeRouter X principalmente basado en las excelentes críticas que Steve Gibson dio en el podcast Security Now: un enrutador de CAD 70 CAD / 5 50 USD que tenía la mayoría de las capacidades de enrutamiento de nivel empresarial que se ven en el costoso Juniper o Cisco gear, sin el costo.

Escribí este recorrido porque me llevó días averiguar qué DEBE hacer para usar EdgeRouter X solo como cliente OpenVPN. Mucha de la información que encontré fue para usarla también como un servidor OpenVPN. Además, parte de la información no estaba completa de manera instructiva (paso a paso), incluidas las publicaciones de soporte de Ubiquity, o estaba demasiado involucrada debido a la preferencia personal de alguien (ej. configurar solo clientes específicos para usar el túnel VPN en lugar de toda la LAN).

Este recorrido lo llevará desde desbloquear el EdgeRouter X a la conectividad del cliente OpenVPN para toda la LAN, con suerte con relativa simplicidad. Estoy escribiendo esto asumiendo que tienes un conocimiento básico de los términos de redes y computadoras. Los comentarios sobre cómo mejorar esta guía son bienvenidos en los comentarios.

Configuración inicial

El EdgeRouter X NO viene preconfigurado con servicios DHCP como lo hacen la mayoría de los enrutadores comerciales. Como resultado, tendrá que hacer un par de pasos para ponerlo en un estado de «compra en tienda».

  1. Asigne estáticamente el adaptador de red de su computadora a la subred 192.168.1.0 / 24 y conéctese físicamente al puerto eth0.
  2. Diríjase a https://192.168.1.1/ en su navegador. Inicie sesión con las credenciales predeterminadas:
    • nombre de usuario: ubnt
    • contraseña: ubnt
  3. Haga clic en la pestaña Asistentes y vaya a la configuración de WAN+2LAN2.
    • Este asistente configurará eth0 para que sea su puerto WAN, y eth1, eth2, eth3 y eth4 como puertos LAN.
      • » ¡Pero estoy usando eth0 ahora mismo para hablar con el router!»Lo sé. Continúe de cualquier manera.
    • Este asistente también configura servicios DHCP para su LAN.
      • Nota: para facilitar y simplificar la configuración general (configuración del cliente post OpenVPN), configure sus servidores DNS dentro del ámbito DHCP en Google (8.8.8.8 / 8.8.4.4) o Level3 (4.2.2.2 / 4.2.2.3). Al hacerlo, podrá utilizar los mismos arrendamientos DHCP y la misma configuración de DNS en su LAN para conexiones VPN y no VPN.
  4. Una vez que el Asistente se haya completado y el enrutador se reinicie, cambie su conexión de red física de eth0 a eth1 y conecte su conexión a Internet a eth0.
    • «Oh, ya veo lo que hiciste allí

Ahora que hemos terminado con lo básico y tenemos una configuración de enrutador típica «comprada en la tienda» (1x WAN, 4x LAN) para trabajar, podemos comenzar a crear nuestra conexión de cliente OpenVPN.

Configuración del cliente OpenVPN

Estos pasos son cómo conseguí que OpenVPN trabajara personalmente con TorGuard en sus servicios de IP compartida e IP estática. Puede que haya mejores maneras de hacer esto, y puede que no esté ejecutando rutas eficientes como resultado (recuerde, no soy un gurú de la red), pero después de revisar los tutoriales en línea durante 3 días, puedo asegurarle que esto lo pondrá en marcha con la menor cantidad de pasos & comandos.

Hay 4 pasos básicos involucrados.

  • Crear / descargar / tener acceso a su proveedor de VPN *.archivo ovpn
  • Transferir el *.archivo ovpn (y certificados, si es necesario) al enrutador
  • Crear una interfaz en el enrutador que apunte al *.archivo ovpn (y certificados) para su configuración
  • Establecer una regla NAT de origen enmascarar (enrutar) todo el tráfico LAN a la conexión VPN.

Te mostraré dos formas diferentes de configurar las cosas. La sección Usar certificados explicará cómo configuré el acceso al servicio IP compartido de TorGuard, que implicaba apuntar a archivos de certificados y claves separados en la configuración de OpenVPN. El uso de SOLO el *.la sección de archivos ovpn repasará cómo configuré el acceso al servicio de IP estática de TorGuard usando, supongo, solo el *.archivo ovpn(que tiene incorporado el certificado y la información clave).

Usando certificados

Estos pasos configuran el EdgeRouter X como un cliente OpenVPN con proveedores que utilizan un certificado y archivos de clave junto con el *.archivo ovpn.

1.) Descargue los archivos de configuración de la página de descargas de TorGuard (o de su proveedor de VPN). Usé los archivos de configuración UDP de OpenVPN.

  • Descomprima los archivos y elija el sitio IP compartido al que desea conectarse. En mi caso, fue TorGuard.USA-SEATTLE.ovpn

2.) Crear un nuevo archivo de texto llamado pass.txt.

  • Ponga el nombre de usuario de su servicio VPN en la primera línea y la contraseña del servicio VPN en la segunda línea.
  • Guarde el archivo.

3.) Editar el *.ovpn archivo con cualquier editor de texto y ajustar las siguientes:

  • en la línea de el dice, ‘ca’, hacerla: 
    • ca /config/auth/ca.crt
  • en la línea que dice ‘tls-auth’, hacerla: 
    • tls-auth /config/auth/ta.key 1
  • en la línea que dice ‘auth-user-pass’, hacerla: 
    • auth-user-pass /config/auth/pass.txt
  • para Guardar los cambios.
  • Nota: dependiendo de su proveedor de servicios, las líneas ca y remote-cert-tls en el *.es posible que el archivo opvn tenga que apuntar a *.archivos pem en su lugar. Consulte con su proveedor de servicios los ajustes necesarios.

4.) Transfiera los siguientes archivos al EdgeRouter X a través de SSH. Puede usar FileZilla para hacerlo usando una interfaz gráfica de usuario, o puede usar SCP para hacerlo a través de la línea de comandos, ya sea que funcione.

  • el *.archivo ovpn va a /config/
  • *.crt/*.pem/*.los archivos de claves van a/config/auth/
  • el pase.archivo txt, también va a /config/auth/

5.) Abra una línea de comandos SSH (usando terminal en macOS, putty en Windows o usando el botón CLI dentro de la página de configuración del enrutador) y:

  • Inicie sesión en el enrutador:
  • ejecute los siguientes comandos: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • TAN PRONTO COMO SE CONFIRME, SE INICIARÁ EL TÚNEL VPN.
    • ¡Prepárate para estar fuera de línea si las cosas salen bien! El paso 6 lo volverá a conectar (a través de la VPN)
  • Ahora puede ir a la página de la consola web del enrutador y ver que se ha agregado una nueva interfaz vtun0 al panel de control. Aquí es donde puede Habilitar / Deshabilitar la interfaz para activar/desactivar la conexión VPN.
    • La interfaz siempre dirá Conectado incluso cuando la interfaz esté desactivada. Eso está bien, ya que las mascaradas en el Paso 6 determinarán a dónde va tu tráfico LAN.
  • Nota 1: nameyourconnection se refiere al nombre de la .archivo ovpn que transfirió al directorio / config / en el paso 4.
  • Nota 2: si hay una forma de hacer esto a través del Árbol de configuración de EdgeRouter X, házmelo saber y lo agregaré a la guía, ya que esta es la única parte del proceso que encontré que REQUIERE la línea de comandos.

6.) Agregue una máscara LAN para apuntar su tráfico LAN a la nueva interfaz vtun0

  • En la página web de administración del enrutador (https://192.168.1.1), haga clic en Firewall/NAT y, a continuación, haga clic en la pestaña NAT.
  • Haga clic en el botón Agregar regla NAT de origen
    • Descripción – ‘mascarada para vtun0’
    • Interfaz de salida – seleccione ‘vtun0’
    • Traducción – seleccione ‘Usar mascarada’
    • Protocolo – seleccione ‘Todos los protocolos’
    • Haga clic en Guardar
  • Arrastre la nueva línea vtun0 por encima de la línea WAN, luego haga clic en ‘Guardar orden de regla’
    • Esto garantiza que el enrutamiento LAN a la VPN se procese antes de esa WAN. Cuando el túnel VPN está activo, se utiliza la mascarada vtun0. Cuando el túnel está desactivado, se utiliza la mascarada WAN.

Si algo sale mal, puede verificar los Registros para ver si hubo algún problema al establecer la conexión OpenVPN.

  • En la página web de administración del enrutador (https://192.168.1.1), haga clic en Caja de herramientas, el Monitor de registro
  • Vea si hay algún mensaje que diga:
    • «Secuencia de iniciación completada», lo que indica que la conexión se realizó correctamente, o
    • «xxxxx.archivo xxx no encontrado » – lo que significa que hay un error tipográfico / desajuste entre el *.archivo ovpn y los archivos en el enrutador. Verificar & arreglar sus caminos & nombres de archivo.
Usando el *.Archivo ovpn

TorGuard tiene esta característica ingeniosa donde creará un *.archivo ovpn para la conexión de su elección e incluya la información del certificado en el archivo. Esto facilita aún más la configuración de la conexión, ya que es el único ajuste que debe realizar en el *.el archivo ovpn apunta la línea ‘pase de usuario de autorización’ a su pase.archivo txt en / config / auth.

Aquí está la configuración paso a paso.

1.) Descargue el*.archivo de configuración de ovpn y asegúrese (usando un editor de texto) de que tenga la información de su proveedor.

2.) Crear un nuevo archivo de texto llamado pass.txt.

  • Ponga el nombre de usuario de su servicio VPN en la primera línea y la contraseña del servicio VPN en la segunda línea.
  • Guarde el archivo.

3.) Editar el *.archivo ovpn con cualquier editor de texto y ajuste lo siguiente:

  • en la línea que dice ‘auth-user-pass’, hágalo: 
    • auth-user-pass /config/auth/pass.txt
  • Guarde los cambios.

4.) Transfiera los siguientes archivos al EdgeRouter X a través de SSH. Puede usar FileZilla para hacerlo usando una interfaz gráfica de usuario, o puede usar SCP para hacerlo a través de la línea de comandos, ya sea que funcione.

  • el *.archivo ovpn va a /config/
  • el pase.archivo txt, también va a /config/auth/

5.) Abra una línea de comandos SSH (usando terminal en macOS, putty en Windows o usando el botón CLI dentro de la página de configuración del enrutador) y:

  • Inicie sesión en el enrutador:
  • ejecute los siguientes comandos: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • TAN PRONTO COMO SE CONFIRME, SE INICIARÁ EL TÚNEL VPN.
    • ¡Prepárate para estar fuera de línea si las cosas salen bien! Paso 6 volverá en línea (a través de la VPN)

6.) Agregue una máscara LAN para apuntar su tráfico LAN a la nueva interfaz vtun0

  • En la página web de administración del enrutador (https://192.168.1.1), haga clic en Firewall/NAT y, a continuación, haga clic en la pestaña NAT.
  • Haga clic en el botón Agregar regla NAT de origen
    • Descripción – ‘mascarada para vtun0’
    • Interfaz de salida – seleccione ‘vtun0’
    • Traducción – seleccione ‘Usar mascarada’
    • Protocolo – seleccione ‘Todos los protocolos’
    • Haga clic en Guardar
  • Arrastre la nueva línea vtun0 por encima de la línea WAN, luego haga clic en ‘Guardar orden de regla’

Súper simple.

Desearía haber sabido sobre el sencillo *.opción ovpn antes de comenzar, ya que mi vtun0 se configura con certificados (para VPN IP compartida), pero mi vtun1 se configura con un solo archivo de configuración (para VPN IP estática).

¿Qué sigue en mi lista de configuración?

Bueno, en realidad, no necesito VPN IP compartida (vtun0) en el enrutador, solo la necesito en mi computadora, y TorGuard tiene un cliente Mac para eso. Lo que probablemente quiero como configuración permanente es que el Apple TV use la IP VPN estática (vtun1). El siguiente objetivo de configuración será:

  • configurar una asignación estática DHCP para el Apple TV (fácil de hacer en la interfaz de usuario)
  • configurar un grupo de clientes del que el Apple TV estará separado
  • asignar ese grupo de clientes a la conexión vtun1.

Una vez completado, podré hacer que todos los dispositivos usen la WAN, excepto el Apple TV, que siempre usará vtun1. De esa manera, no tendré que iniciar y apagar vtun1 en el enrutador para usar la VPN IP estática con el Apple TV.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.