¿Buscas alguna otra cosa?
Table of Contents
Detalles del escenario
La presente nota de aplicación pretende ser un paso a paso rápido que permite configurar el OpenVPN de los router serie Titan para ofrecer un servicio de mantenimiento rápido en momento puntiales.
Es decir, si en un momento, por razones de mantenimiento, queremos conectar remotamente con un router y, o no sabemos la IP pública del mismo o bien está detrás de NAT o un proxy, podremos mandar un SMS al router Titan y éste abrirá en ese instante y durante un tiempo determinado, una sesión OpenVPN contra nuestro PC. De esta manera podremos acceder sin problemas al router o a lo que cuelgue detrás de él (conectado por Ethernet). Es una manera muy interesante, pues únicamente lanzaremos la sesión OpenVPN desde un teléfono autorizado y tras un tiempo ésta se cerrará, ahorrando el tráfico de datos (y por tanto dinero) que supone mantener de forma continua y permanente una sesión VPN.
En esta nota de aplicación se usarán como ejemplo los certificados digitales de ejemplo que pueden descargarse del propio router Titan. Para una aplicación real se recomienda generar sus propios certificados (o al menos establecer unos números de teléfono autorizados, de forma que únicamente se pueda activar la conexión OpenVPN desde dichos números de teléfono).
Ese paso a paso se va a realizar en base al siguiente ejemplo:
Es decir, con este ejemplo se pretende que desde “PC Servidor con OpenVPN” se pueda acceder a “PLC” o al “Router Titan” remoto como si estuviera en la propia red local en cualquier momento.
Configuraciones y requisitos previos
Para poder configurar una OpenVPN, en este caso utilizaremos el puerto UDP estándar 1194. Por lo tanto el único requisito que se necesita del Router ADSL es que esté realizado un NAT (mapeo de puertos) desde el puerto 1194 al puerto 1194 de la IP LAN del PC Servidor con OpenVPN 192.168.1.28. También es necesario que la dirección IP del router ADSL sea una dirección IP Fija.
Instalación de OpenVPN en servidor PC
Lo primero es instalar el Software de OpenVPN en el PC Servidor, es decir, en el PC desde el que nos queramos conectar al rotuer. Para un sistema Windows, con el que basamos este ejemplo, se puede instalar el siguiente software.
http://swupdate.openvpn.org/community/releases/openvpn-2.2.2-install.exe
Una vez instalado el software, hacemos “Click” en inicio y abrimos la carpeta a la que lleva el link “OpenVPN configuration file directory”
En ese directorio tendremos que hacer varias cosas:
- Copiar en ese directorio los archivos (certificados y keys) ca.crt, server.crt, server.key y dh1024.pem Sólo como motivo de evaluación, puede descargar dichos ficheros ejemplo de aquí. (También los puede descargar de la sección OpenVPN del propio router Titan).
ca.crt: https://www.dropbox.com/s/nxzmm4f4722plh4/ca.crt?dl=0
server.crt: https://www.dropbox.com/s/fuv652runkouwjk/server.crt?dl=0
server.key https://www.dropbox.com/s/yseozxs5icpt58z/server.key?dl=0
dh1024.pem https://www.dropbox.com/s/vcwby4y636thzoy/dh1024.pem?dl=0 - Copiar en ese mismo directorio el archivo de configuración del Servidor de OpenVPN. Como evaluación para este ejemplo puede usarse el siguiente:
config.ovpn https://www.dropbox.com/s/y23owbh0gacipmj/config.ovpn?dl=0 - Crear una carpeta de nombre ccd dentro de la carpeta anterior. En dicha carpeta copiaremos el archivo “client1” (que es common name utilizado cuando se creó el certificado del cliente). El archivo “client1” puede descargarse desde aquí para este ejemplo:
client1 https://www.dropbox.com/s/0c8d43mkps2gf12/client1?dl=0
Es decir, dentro de la carpeta “config” de “c:Program Files (x86)OpenVPNconfig tendremos los siguientes ficheros (ca.crt, server.crt, server.key, dh1024.pem, server.ovpn) y directorio (ccd). Dentro de éste último tendremos el fichero “client1”.
Una vez hecho esto, ya está configurado el servidor. Tan sólo hay que ejecutarlo. Para ello vamos a inicio y ejecutamos “OpenVPN GUI”.
Al ejecutarlo aparecerá un icono en la barra de tareas, al lado del reloj. Pulsamos Connect. Ya está iniciado el Servidor Open, esperando conexiones remotas OpenVPN.
Configuración de OpenVPN en un MTX-Router-Titan-3G
La configuración del cliente es sencilla. Se presupone el router configurado con una IP LAN 192.168.2.2 y con conectividad 3G ó 4G. Para configurar la VPN, basta con acudir al menú “VPN> OpenVPN Client” y configurar el router de forma:
Es decir, bajaremos los certificados de ejemplo de esa página (ca.crt, client.crt y client.key) a nuestro PC y haremos un upload de cada uno de ellos (al lado de cada archivo tiene que aparecer “uploaded” en verde). Alternativamente los mismos ficheros puedes descargarse desde aquí:
ca.crt: https://www.dropbox.com/s/nxzmm4f4722plh4/ca.crt?dl=0
client.crt: https://www.dropbox.com/s/d0io4wdnq527zo0/client.crt?dl=0
client.key https://www.dropbox.com/s/yg6k55qkytamd2v/client.key?dl=0
Además, tendremos que dejar la OpenVPN en modo “Under Request”, ya que pretendemos lanzarla únicamente con un mensaje SMS en un momento determinado. También tendremos que especificar.
Seguidamente iremos a la sección “Other> SMS control” y activaremos los comandos AT así como los números de teléfono autorizados.
Activación de la OpenVPN
Para probar la OpenVPN lo haremos enviando un SMS al router. En concreto el mensaje SMS que enviaremos será el siguiente para abrir el túnel 10 minutos.
mtx at^mtxtunnel=ovpnc,10
Una vez enviado el SMS al router, veremos en el LOG del PC Servidor OpenVPN, que entra la conexión y el túnel se establece.
Desde el PCServidor de OpenVPN podrá realizar un PING hacia el dispositivo remoto: 192.168.2.20 y por tanto podrá acceder a él. Exactamente lo mismo para acceder al router Titan remoto.
El router Titan remoto, podemos conectarnos a la dirección IP LAN del router Titan remoto. Por supuesto también tendremos acceso al dispositivo PLC de la dirección 192.168.2.20.
Problemas
Si no funciona, compruebe:
- La IP Gateway asignado al PLC remoto (192.168.2.20) debe corresponder a la local del router (192.168.2.2)
- No debe haber un firewall o antivirus en el PC Servidor de OpenVPN que impida la conexión a los puertos de la VPN (en el caso del ejemplo, UDP 1194). Puede escogerse protocolo TCP u otro puerto si se desea
- Revise que está hecho correctamente el NAT en el router ADSL de su empresa
Recuerde
Si necesita generar sus propios certificados digitales, en el siguiente link encontrará cómo hacerlo: https://openvpn.net/index.php/open-source/documentation/howto.html