Configurando una VPN con OpenVPN en modo star network en los routers RUT104
A continuación se describe con cierto detalle cómo configurar una VPN en modo star-network sobre potocolo VPN entre varios routers RUT104 de los cuales uno actuará como servidor y el resto como clientes.
Topología de red
El módulo OpenVPN incorporado en los routers 3G modelos RUT104/RUT104 puede funcionar en modo cliente y/o servidor y bajo dos topologías
- p2p network: permite una conexión punto a punto entre un router servidor y un router cliente
- star network: permite una conexión en estrella entre un router servidor
Esta página detalla la configuración de los routers en modo star network.
En modo star network, tanto el router servidor como los routers clientes deben estar en una mismo rango de direccionamiento IP.
Veamos el siguiente ejemplo:
Queremos conectar una serie de máquinas detrás del router servidor en el rango 192.168.100.x con una serie de máquinas detrás del router client1 en el rango 192.168.101.x y con otra serie de máquinas detrás del router client2 en el rango 192.168.102.x. Para que todas las máquinas se comuniquen entre sí necesitaremos que la máscara sea, por ejemplo, 255.255.0.0
Habilitaremos el servidor DHCP en cada router en un rango limitado a 10 direcciones. El resto de direcciones locales las dejaremos para máquinas con dirección IP fija.
Configuración del router servidor
En la página de Network Settings:
Router IP address: 192.168.100.1
Subnet mask: 255.255.0.0
DHCP pool: from 192.168.100.2 to 192.168.100.9 mask 255.255.0.0
En la página VPN - OpenVPN en el apartado Network Settings
Pool start IP: 192.168.100.10
Pool end IP: 192.168.100.19
El gateway y el subnet mask ya nos aparecen de acuerdo con el Network Setting configurado anteriormente.
Configuración del router client1
En la página de Network Settings:
Router IP address: 192.168.101.1
Subnet mask: 255.255.0.0
DHCP pool: from 192.168.101.2 to 192.168.101.9 mask 255.255.0.0
En la página VPN - OpenVPN en el apartado Network Settings
Remote Server IP address: la dirección IP fija del servidor VPN o bien el DNS dinámico configurado en dicho router servidor
Configuración del router client2
En la página de Network Settings:
Router IP address: 192.168.102.1
Subnet mask: 255.255.0.0
DHCP pool: from 192.168.102.2 to 192.168.102.9 mask 255.255.0.0
En la página VPN - OpenVPN en el apartado Network Settings
Remote Server IP address: la dirección IP fija del servidor VPN o bien el DNS dinámico configurado en dicho router servidor
Direcciones IP fijas o dinámicas del operador móvil
La VPN puede establecerse tanto con IPs fijas como dinámicas por parte del operador móvil. En cualquier caso, los routers cliente deben apuntar el router servidor. Por tanto el router servidor debe tener una IP fija o si funciona con IP dinámica debe tener configurado un cliente DNS dinámico para actualizar su IP WAN a través de un nombre de dominio dinámico.
Certificados y claves
Es altamente aconsejable generar todos los certificados y claves desde cero a partir de una misma aplicación. En el siguiente link puedes encontrar una descripción de cómo generar todos los certificados y claves a partir de una instalación de OpenVPN tanto para Linux como para Windows
http://openvpn.net/index.php/open-source/documentation/howto.html#pki
Si quieres también puedes consultar el anterior 'howto' traducido al español en el siguiente documento Generación de claves en OpenVPN.pdf
En el router servidor deben cargarse (upload) los siguientes elementos:
Master Certificate Authority (CA) - ca.crt
Server Certificate - server.crt
Server key: server.key
Diffie Hellman key: dh1024.pem
En los routers clientes deben cargarse (upload) los siguientes elementos:
Master Certificate Authority (CA) - ca.crt
Client Certificate - client.crt
Client key: client.key
Cuando se generan los diferentes certificados y claves para los clientes deben generarse y guardarse con un nombre diferente (client1.crt, client2.crt, ...). Para cargarlos en el router seleccionar los ficheros con el nombre original aunque una vez almacenados en el dispositivo se guarden como client.crt y client.key y en caso de quererlos recuperar (download) se nos muestren con estos nombres.
Es importante cargar un certificado y una clave diferentes para cada cliente. En caso contrario, el servidor asume que se trata de un mismo cliente VPN y si ya tiene establecida un túnel con otro router con el mismo certificado y clave desconectará este túnel para abrir el nuevo. En consecuencia sólo se podrá tener un cliente conectado con el servidor de forma simultánea.
Los certificados tienen un período de validez. Para que el router los asuma como vigentes, recuerde configurar un servidor NTP para que una vez conseguida la conexión el dispositivo tome la fecha y hora actual y valide la vigencia de los certificados cargados. Puede encontrar listados de servidores NTP a través de internet, como por ejemplo, europe.pool.ntp.org
Verificando el estado de la VPN
Desde detrás de un router cliente podemos comprobar si nuestro router está correctamente conectado al servidor VPN a través de la página Status del servidor web del router en el apartado Local Network Information. Si el campo IP Address muestra la dirección del router cliente esto implica que el router cliente aún no está conectado al servidor. Si por contra muestra una dirección del rango del pool del servidor VPN (en nuestro ejemplo de la 192.168.100.10 a la 192.168.100.19) esto implica que el router está correctamente conectado al servidor VPN.
En la opción Admin - Maintenance puede seleccionar la opción Download troubleshooting file. Este archivo contiene información sobre la configuración y los mensajes del sistema. En el fichero messages puede verificar todos los mensajes relacionados, entre otros aspectos, con la negociación de la VPN. En caso de problemas, contacte con nuestro Dpto. de Soporte en suppoprt@davantel.com enviándoles dicho fichero.
| 
