1. ¿Qué es OpenVPN?
OpenVPN es una herramienta de conexión basada en software libre: SSL, VPN (Virtual Private Network). OpenVPN ofrece conexiones tipo punto-a-punto con validación jerárquica. Puede ser configurado para unir dos puntos estáticos, como una sucursal con su matriz, o para acceso de clientes remotos, como la computadora de un ingeniero con la red que administra.
Un servidor OpenVPN nos brinda la posibilidad de ingresar a nuestra red local desde cualquier parte del mundo como si estuviéramos realmente en el lugar.
2. ¿Cómo configurar un servidor de VPN para usuarios remotos?
a) Instalar OpenVPN-client-Export
pfSense ya viene con el servidor OpenVPN instalado, pero el paquete penVPN-client-Export nos ayudará a exportar la configuración de los clientes de una forma sencilla y rápida.
Para esto nos dirigimos a System / Package Manager y dentro del administrador nos dirigimos a la pestaña “Available Packages“
buscamos el paquete OpenVPN-client-Export y lo instalamos.
b) Crear Autoridad Certificadora (CA)
OpenVPN valida el inicio de las conexiones por medio de un certificado SSL, para poder crear de forma gratuita el certificado en el firewall pfSense debemos crear una autoridad certificadora en el equipo. Para esto nos dirigimos a System / Certificates y dentro de la sección “Authorities” añadimos un nuevo registro, para ello hay que rellenar el formulario mostrado.
c) Crear certificado de servidor
Dentro de System / Certificates y dentro de la sección “Certificates” agregaremos un registro, llenando cuidadosamente el formulario y validando que el tipo de certificado seleccionado sea “Server” para poder ocuparlo al momento de configurar el servidor OpenVPN.
d) Crear servidor
Ahora vamos a VPN / OpenVPN y creamos un nuevo servidor, debes tener en cuanta como mínimo las siguientes configuraciones:
- Server mode: Remote Access (SSL/TLS + User Auth)
- Server Certificate: Seleccionamos el certificado recién creado
- IPv4 Tunnel Network: coloca un segmento de red del tamaño necesario para tus clientes y que sea diferente a cualquier otro que utilices actualmetne.
- IPv4 Local network(s): Colocar los segmentos de red que quieres alcanzar remotamente, estos son separados por coma “,”
Guarda los cambios y pasa a la siguiente sección
f) Crear usuario con certificado
Ahora nos posicionamos en System / Users Manager para crear un nuevo usuario, este debe tener un certificado asignado, por lo que al momento de registrarlo debes dar habilitar la opción “Click to create a user certificate”
No es necesario selecciona un grupo para este usuario, lo realizaremos en el siguiente paso.
g) Crear grupo de usuario
Ahora cambia de pestaña a “Groups” donde daremos de alta un grupo especial para los clientes de VPN, da clic en agregar y valida los siguientes campos:
- Group name: Coloca un nombre alusivo al tema
- Group membership: Selecciona al usuario que creaste en el paso anterior
Guarda los cambios y cuando regreses a la lista de grupos selecciona la opción editar del recién creado. Ahora dar clic en “Add” para añadir los permisos necesario para permitir las conexiones. Selecciona los siguientes:
- User – VPN: IPSec xauth Dialin
- User – VPN: L2TP Dialin
- User – VPN: PPPOE Dialin
Guarda los cambios.
h) Crear política de filtrado
Si bien con esto tenemos configurado el servidor al 100, debemos permitir el paso de las conexiones y la comunicación entre los equipos locales y remotos.
Crea un par políticas, una para permitir el acceso al puerto del servidor OpenVPN, el cual es por UDP-1194 en la interfaz WAN y la segunda política es para permitir la comunicación entre el cliente y equipos locales, esta la crear en la interfaz OpenVPN con permitir todos los protocolos entre todos los destinos y orígenes.
i) Descarga e instalar OpenVPN Client
Dentro del equipo del cliente o usuario final, debes descargar el paquete de instalación de OpenVPN Connect, lo puedes encontrar desde la pagina oficial, te dejo el link para que vayas directo
j) Configurar cliente
Aún en el equipo que estas configurando debes ingresar a tu firewall pfSense y descargar el archivo de configuración de VPN, para ellos dirijete a VPN / OpenVPN / Client Export y buscamos en la parte inferior nuestro usuario, dar clic en recuadro “Viscosity Inline Config” una vez descargado ejecutas el archivo y abrirá en automático el cliente de VPN, rellenas el formulario del usuario y das clic en conectar.
k) ¡A disfrutar.!
Felicidades, ahora tienes la opción de entrar a tu red local desde cualquier parte del mundo!
