3Aug
Hace algunas semanas cubrimos la instalación de Tomato, un firmware de enrutador de fuente abierta, en su Linksys WRT54GL.Hoy repasaremos cómo instalar OpenVPN junto a Tomato y configurarlo para acceder a la red de su hogar desde cualquier lugar del mundo.
¿Qué es OpenVPN?
Una red privada virtual( VPN) es una conexión confiable y segura entre una red de área local( LAN) y otra. Piensa en tu enrutador como el intermediario entre las redes a las que te estás conectando. Tanto su computadora como el servidor OpenVPN( su enrutador en este caso) "dan la mano" utilizando certificados que se validan entre sí.Tras la validación, tanto el cliente como el servidor acuerdan confiar el uno en el otro y luego se permite el acceso al cliente en la red del servidor.
Por lo general, el software y el hardware de VPN cuestan mucho dinero para implementar. Si aún no lo ha adivinado, OpenVPN es una solución de VPN de código abierto que es( tambor giratorio) libre. Tomato, junto con OpenVPN, es una solución perfecta para quienes desean una conexión segura entre dos redes sin tener que abrir su billetera. Por supuesto, OpenVPN no funcionará nada más sacarlo de la caja. Se necesita un poco de ajuste y configuración para hacerlo bien. No se preocupe sin embargo;estamos aquí para facilitarle ese proceso, así que tome una taza de café caliente y comencemos.
Para obtener más información sobre OpenVPN, visite el sitio oficial ¿Qué es OpenVPN?página.
Prerrequisitos
Esta guía asume que actualmente está ejecutando Windows 7 en su PC y que está usando una cuenta administrativa. Si eres un usuario de Mac o Linux, esta guía te dará una idea de cómo funcionan las cosas, sin embargo, es posible que tengas que investigar un poco más por tu cuenta para que todo sea perfecto. Además, instalaremos una versión especial de Tomate llamada TomatoUSB VPN en un enrutador Linksys WRT54GL versión 1.1.Para saber si su enrutador es compatible con TomatoUSB, consulte su página Tipos de compilación.
El comienzo de esta guía asume que tiene:
- el firmware original de Linksys instalado en su enrutador o
- el firmware Tomato que describimos en nuestro último artículo
Tome nota del texto sobre ciertos pasos que indican si es para firmware Linksys o Tomato.
Instalación de TomatoUSB
En un artículo anterior discutimos cómo instalar el firmware original de Tomato v1.28 desde el sitio web de PolarCloud. Desafortunadamente, esa versión de Tomato no vino con el soporte de OpenVPN, entonces instalaremos una versión más nueva llamada TomatoUSB VPN .
Lo primero que debe hacer es dirigirse a la página de inicio de TomatoUSB y hacer clic en el enlace Descargar Tomato USB.
Descargue VPN en la sección Kernel 2.4( estable) .Guarde el archivo. rar en su computadora.
Necesitarás un programa para extraer el archivo. rar. Sugerimos utilizar WinRAR, ya que es gratuito y fácil de usar. Puede descargarse una copia de la versión gratuita en su sitio web. Después de instalar WinRAR, haga clic derecho en el archivo que descargó y haga clic en Extraer aquí.Debería ver dos archivos llamados CHANGELOG y tomato-NDUSB-1.28.8754-vpn3.6.trx.
Si está ejecutando el firmware de Linksys. ..
Abra su navegador e ingrese la dirección IP de su enrutador( el valor predeterminado es 192.168.1.1).Se le pedirá un nombre de usuario y contraseña. Los valores predeterminados para un Linksys WRT54GL son "admin" y "admin".
Haga clic en la pestaña Administración en la parte superior. A continuación, haga clic en Actualización de firmware como se ve a continuación.
Haga clic en el botón Examinar y navegue hasta los archivos VPN de TomatoUSB extraídos. Seleccione el archivo tomato-NDUSB-1.28.8754-vpn3.6.trx y haga clic en el botón Actualizar en la interfaz web. Su enrutador comenzará a instalar TomatoUSB VPN, y le tomará menos de un minuto en completarse. Después de aproximadamente un minuto, abra un símbolo del sistema y escriba ipconfig -release para determinar la nueva dirección IP del enrutador. Luego escriba ipconfig -renew .La dirección IP a la derecha de la Puerta de enlace predeterminada. .. es la dirección IP de su enrutador.
Nota : Después de instalar Tomato, vaya a Administración & gt;Configuración y seleccione "Borrar todas las NVRAM. ..".
Si está ejecutando el firmware Tomato. ..
Abra su navegador e ingrese la dirección IP de su enrutador. Suponemos que si instaló Tomato, conocerá la dirección IP de su enrutador. Si no está seguro, probablemente esté configurado con el valor predeterminado de 192.168.1.1.Después, escribe tu nombre de usuario y contraseña.
Aunque no es necesario, es posible que desee hacer una copia de seguridad de su configuración actual de Tomato antes de actualizar a TomatoUSB VPN, por si acaso. Para guardar su configuración, vaya a Administración & gt;Configuración y haga clic en el botón Copia de seguridad. Esto le pedirá que guarde el archivo. cfg en su computadora.
Ahora es el momento de actualizar Tomato a TomatoUSB VPN.Haga clic en Actualizar en la columna izquierda y haga clic en el botón Elegir archivo. Navegue a los archivos que extrajimos anteriormente y elija el archivo tomato-NDUSB-1.28.8754-vpn3.6.trx .Luego haz clic en el botón de actualización.
Se le pedirá que confirme la actualización;solo haga clic en Aceptar.
Su enrutador comenzará a cargar el nuevo firmware y se reiniciará en un minuto.
Puede tener la misma dirección IP o una diferente después de que se reinicie. En nuestro caso, la configuración del enrutador seguía siendo la misma, por lo tanto, nuestra dirección IP seguía siendo la misma. Para determinar la nueva dirección IP de su enrutador, abra un símbolo del sistema y escriba ipconfig -release .Luego escriba ipconfig -renew .La dirección IP a la derecha de la Puerta de enlace predeterminada. .. es la dirección de su enrutador. Si su configuración vuelve a los valores predeterminados, vuelva a la página Configuración( Configuración de administración) y haga clic en el botón Elegir archivo en Restaurar configuración. Busque el archivo. cfg que guardó anteriormente en su computadora y haga clic en el botón Restaurar.
Configuración de OpenVPN
Ya sea que haya instalado el firmware de Linksys o el firmware de Tomato, ahora debe tener instalada la nueva VPN de TomatoUSB en su enrutador. Notarás algunos menús nuevos en la columna de la izquierda, incluidos Uso de la Web, USB y NAS, y Túnel de VPN.Para esta guía, solo nos preocupa el menú Túnel VPN, así que adelante y haga clic en Túnel VPN.Mantenga esta ventana del navegador abierta;Volveremos en breve.
Ahora veamos la página de descargas de OpenVPN y descarguemos el instalador de Windows OpenVPN.En esta guía, usaremos la segunda versión más reciente de OpenVPN llamada 2.1.4.La última versión( 2.2.0) tiene un error que haría este proceso aún más complicado. El archivo que estamos descargando instalará el programa OpenVPN que te permite conectarte a tu red VPN, así que asegúrate de instalar este programa en cualquier otra computadora que desees actuar como clientes( ya que veremos cómo hacerlo).luego).Guarde el archivo. exe de openvpn-2.1.4-install en su computadora.
Navegue hasta el archivo OpenVPN que acabamos de descargar y haga doble clic en él. Esto comenzará la instalación de OpenVPN en su computadora. Ejecutar a través del instalador con todos los valores predeterminados marcados. Durante la instalación, aparecerá un cuadro de diálogo solicitando la instalación de un nuevo adaptador de red virtual llamado TAP-Win32.Haga clic en el botón Instalar.
Ahora que tiene OpenVPN instalado en su computadora, debemos comenzar a crear los certificados y las claves para autenticar los dispositivos.
Creación de certificados y claves
Haga clic en el botón de Inicio de Windows y navegue en Accesorios. Verá el programa Command Prompt. Haga clic derecho sobre él y haga clic en Ejecutar como administrador.
En el símbolo del sistema, escriba cd c: \ Archivos de programa( x86) \ OpenVPN \ easy-rsa si está ejecutando Windows 7 de 64 bits como se ve a continuación. Escriba cd c: \ Archivos de programa \ OpenVPN \ easy-rsa si está ejecutando Windows 7 de 32 bits. Luego presione Enter.
Ahora escriba init-config y presione Enter para copiar dos archivos llamados vars.bat y openssl.cnf en la carpeta easy-rsa. Mantenga su solicitud de comando ya que volveremos en breve.
Navegue a C: \ Archivos de programa( x86) \ OpenVPN \ easy-rsa ( o C: \ Archivos de programa \ OpenVPN \ easy-rsa en Windows 7 de 32 bits) y haga clic con el botón derecho en el archivo llamado vars.bat .Haga clic en Editar para abrirlo en el Bloc de notas. Alternativamente, recomendamos abrir este archivo con Notepad ++ ya que formatea el texto en el archivo mucho mejor. Puede descargar Notepad ++ desde su página de inicio.
La parte inferior del archivo es lo que nos preocupa. A partir de la línea 31, cambie el valor KEY_COUNTRY , KEY_PROVINCE valor, etc. a su país, provincia, etc. Por ejemplo, cambiamos nuestra provincia a "IL", a "Chicago", org a "HowToGeek"y envíe un correo electrónico a nuestra propia dirección de correo electrónico. Además, si está ejecutando Windows 7 de 64 bits, cambie el valor de HOME en la línea 6 a % ProgramFiles( x86)% \ OpenVPN \ easy-rsa .No cambie este valor si está ejecutando Windows 7 de 32 bits. Su archivo debería tener un aspecto similar al nuestro a continuación( con sus respectivos valores, por supuesto).Guarde el archivo sobrescribiéndolo una vez que haya terminado de editarlo.
Regrese al símbolo del sistema y escriba vars y presione Enter. Luego escriba clean-all y presione Enter. Finalmente, escriba build-ca y presione Enter.
Después de ejecutar el comando build-ca , se le pedirá que ingrese su nombre de país, estado, localidad, etc. Como ya configuramos estos parámetros en nuestro archivo vars.bat , podemos omitir estas opcionesal presionar Enter, pero! Antes de comenzar a cerrar de golpe la tecla Enter, tenga cuidado con el parámetro Common Name. Puede ingresar cualquier cosa en este parámetro( es decir, su nombre).Solo asegúrese de ingresar algo .Este comando generará dos archivos( un certificado de CA raíz y una clave de CA raíz) en la carpeta easy-rsa / keys.
Ahora vamos a construir una clave para un cliente. En el mismo símbolo del sistema, escriba build-key client1 .Puede cambiar "client1" a cualquier cosa que desee( es decir, Acer-Laptop).Solo asegúrese de ingresar el mismo nombre que el Nombre común cuando se le solicite. Por ejemplo, cuando ejecuta el comando build-key Acer-Laptop , su Nombre común debe ser "Acer-Laptop".Ejecutar todos los valores predeterminados como el último paso que hicimos( a excepción de Nombre común, por supuesto).Sin embargo, al final se le pedirá que firme el certificado y que se comprometa. Escriba "y" para ambos y haga clic en Entrar.
Además, no se preocupe si recibió el error "no se puede escribir 'estado aleatorio'".Me he dado cuenta de que sus certificados aún se hacen sin problemas. Este comando generará dos archivos( una clave Client1 y un certificado Client1) en la carpeta easy-rsa / keys. Si desea crear otra clave para otro cliente, repita el paso anterior, pero asegúrese de cambiar el Nombre común.
El último certificado que generaremos es la clave del servidor. En el mismo símbolo del sistema, escriba build-key-server server .Puede reemplazar "servidor" al final del comando con cualquier cosa que desee( es decir, HowToGeek-Server).Como siempre, asegúrese de ingresar el mismo nombre que el Nombre común cuando se le solicite. Por ejemplo, cuando ejecuta el comando build-key-server HowToGeek-Server , su nombre común debe ser "HowToGeek-Server".Presiona Enter y ejecuta todos los valores predeterminados excepto Nombre común. Al final, escriba "y" para firmar el certificado y confirmar. Este comando generará dos archivos( una clave de servidor y un certificado de servidor) en la carpeta easy-rsa / keys.
Ahora tenemos que generar los parámetros de Diffie Hellman. El protocolo Diffie Hellman "permite a dos usuarios intercambiar una clave secreta por un medio inseguro sin ningún secreto previo".Puede leer más sobre Diffie Hellman en el sitio web de RSA.
En el mismo símbolo del sistema, escriba build-dh .Este comando generará un archivo( dh1024.pem) en la carpeta easy-rsa / keys.
Creación de los archivos de configuración para el cliente
Antes de editar cualquier archivo de configuración, debemos configurar un servicio DNS dinámico. Utilice este servicio si su ISP le emite una dirección IP externa dinámica cada cierto tiempo. Si tiene una dirección IP externa estática, salte al siguiente paso.
Sugerimos utilizar DynDNS.com, un servicio que le permite apuntar un nombre de host( es decir, howtogeek.dyndns.org) a una dirección IP dinámica. Es importante que OpenVPN siempre conozca la dirección IP pública de su red, y al usar DynDNS, OpenVPN siempre sabrá cómo ubicar su red sin importar cuál sea su dirección IP pública. Regístrese para obtener un nombre de host y apúntelo a su dirección IP pública. Una vez que se haya registrado para el servicio, no se olvide de configurar el servicio de actualización automática en Tomato en Basic & gt;DDNS.
Ahora volvemos a configurar OpenVPN.En el Explorador de Windows, vaya a C: \ Archivos de programa( x86) \ OpenVPN \ sample-config si está ejecutando Windows 7 o de 64 bits C: \ Archivos de programa \ OpenVPN \ sample-config si estáejecutando Windows 7 de 32 bits. En esta carpeta encontrará tres archivos de configuración de muestra;solo nos preocupa el archivo client.ovpn .
Haga clic con el botón derecho en client.ovpn y ábralo con Notepad o Notepad ++.Notarás que tu archivo se verá como en la imagen siguiente:
Sin embargo, queremos que nuestro archivo client.ovpn tenga un aspecto similar al de a continuación en esta imagen de .Asegúrese de cambiar el nombre de host DynDNS a su nombre de host en la línea 4( o cámbielo a su dirección IP pública si tiene una estática).Deje el número de puerto en 1194 ya que es el puerto estándar de OpenVPN.Además, asegúrese de cambiar las líneas 11 y 12 para reflejar el nombre del archivo de certificado y clave de su cliente. Guarde esto como un archivo nuevo. ovpn en la carpeta OpenVPN / config.
Configuración del túnel VPN de Tomato
La idea básica ahora es copiar los certificados y claves del servidor que creamos anteriormente y pegarlos en los menús del servidor Tomato VPN.Luego, comprobaremos algunas configuraciones en Tomate, probaremos la conexión VPN, y luego podremos lavarnos las manos y ¡llamarlo un día!
Abre un navegador y navega hacia tu enrutador. Haz clic en el menú Túnel de VPN en la barra lateral izquierda. Asegúrese de que Server1 y Basic también estén seleccionados. Configure sus configuraciones exactamente como aparecen a continuación. Clic en Guardar. Actualización de
: el modo predeterminado es TUN o túnel, pero es probable que desee cambiarlo a TAP, que enlaza la red. El modo túnel colocará a sus clientes externos en una red diferente a la red interna. Así que definitivamente cambie el Tipo de interfaz a TAP.
A continuación, haga clic en la pestaña Avanzado al lado de Básico. Al igual que antes, asegúrese de que su configuración sea exactamente como aparece a continuación. Clic en Guardar.
Nuestro último paso es pegar las claves y los certificados que creamos originalmente. Abra la pestaña Teclas junto a Avanzado. En el Explorador de Windows, vaya a C: \ Archivos de programa( x86) \ OpenVPN \ easy-rsa \ keys en Windows 7 de 64 bits( o C: \ Archivos de programa \ OpenVPN \ easy-rsa \ keys en 32-poco de Windows 7).Abra cada archivo correspondiente a continuación( ca.crt , server.crt , server.key y dh1024.pem ) con Notepad o Notepad ++ y copie los contenidos. Pegue los contenidos en los cuadros correspondientes como se ve a continuación. Debo señalar que solo tiene que pegar todo lo que se encuentra debajo - CERTIFICADO DE ENTRADA-- en server.crt .OpenVPN seguirá funcionando correctamente si pega el archivo completo, pero es más "limpio" solo pegando la información del certificado real. Haga clic en Guardar y luego haga clic en Comenzar ahora.
Antes de probar nuestra conexión VPN, hay una cosa más que tenemos que controlar dentro de Tomato. Haga clic en Básico en la columna de la izquierda y luego en Hora. Asegúrese de que la hora del enrutador sea correcta y que la zona horaria muestre su zona horaria actual. Configure el servidor horario NTP en su país.
Configuración de un cliente OpenVPN
En este ejemplo usaremos una computadora portátil con Windows 7 como nuestro cliente. Lo primero que debe hacer es instalar OpenVPN en su cliente como lo hicimos anteriormente en los primeros pasos en Configuración de OpenVPN.A continuación, vaya a C: \ Program Files \ OpenVPN \ config , que es donde vamos a pegar nuestros archivos.
Ahora tenemos que volver a nuestra computadora original y recopilar un total de cuatro archivos para copiar en nuestra computadora portátil cliente. Vaya a C: \ Archivos de programa( x86) \ OpenVPN \ easy-rsa \ keys nuevamente y copie ca.crt , client1.crt y client1.key .Pegue estos archivos en la carpeta config del cliente.
Finalmente, tenemos que copiar un archivo más. Vaya a C: \ Archivos de programa( x86) \ OpenVPN \ config y copie el nuevo archivo client.ovpn que creamos anteriormente. Pegue también este archivo en la carpeta config del cliente.
Prueba del cliente OpenVPN
En la computadora portátil del cliente, haga clic en el botón de Inicio de Windows y navegue a Todos los programas & gt;OpenVPN.Haga clic con el botón derecho en el archivo de la GUI de OpenVPN y haga clic en Ejecutar como administrador. Tenga en cuenta que siempre debe ejecutar OpenVPN como administrador para que funcione correctamente. Para configurar permanentemente el archivo para que se ejecute siempre como administrador, haga clic con el botón derecho en el archivo y haga clic en Propiedades. Debajo de la pestaña Compatibilidad, marque Ejecutar este programa como administrador.
El ícono de la GUI de OpenVPN aparecerá al lado del reloj en la barra de tareas. Haga clic derecho en el icono y haga clic en Conectar. Como solo tenemos un archivo. ovpn en nuestra carpeta config , OpenVPN se conectará a esa red de forma predeterminada.
Aparecerá un cuadro de diálogo que muestra un registro de conexión.
Una vez que esté conectado a la VPN, el icono de OpenVPN en la barra de tareas se pondrá verde y mostrará su dirección IP virtual.
¡Y eso es todo! Ahora tiene una conexión segura entre su servidor y la red del cliente usando OpenVPN y TomatoUSB.Para probar más la conexión, intente abrir un navegador en la computadora portátil del cliente y navegar a su enrutador Tomato en la red del servidor.
Imagen de The Ewan