{"id":11759,"date":"2020-03-25T15:55:11","date_gmt":"2020-03-25T18:55:11","guid":{"rendered":"https:\/\/made4it.com.br\/creacion-de-vpn-usando-pfsense-y-openvpn\/"},"modified":"2023-03-08T16:12:10","modified_gmt":"2023-03-08T19:12:10","slug":"creacion-de-vpn-usando-pfsense-y-openvpn","status":"publish","type":"post","link":"https:\/\/made4it.com.br\/es\/creacion-de-vpn-usando-pfsense-y-openvpn\/","title":{"rendered":"Creaci\u00f3n de VPN usando PFSense y OpenVPN"},"content":{"rendered":"\n

\u00a1Hola gente! <\/p>\n

En nuestro \u00faltimo art\u00edculo<\/a>, aprendimos a instalar y configurar PFSense, para ser utilizado como Gateway de su red, permiti\u00e9ndole actuar con diferentes funcionalidades para la red. Hoy, le presentaremos la creaci\u00f3n de una VPN con OpenVPN para que pueda acceder a toda su infraestructura interna desde donde necesite estar.<\/p>\n\n

\u00bfQu\u00e9 es una VPN?<\/h2>\n\n

B\u00e1sicamente, VPN significa Red Privada Virtual (o Red Privada Virtual), y sirve como un t\u00fanel entre dos puntos de conexi\u00f3n.<\/p>\n

Al establecer una VPN entre una computadora en casa y un PFSense en su empresa, por ejemplo, el t\u00fanel creado hace que su computadora act\u00fae como si estuviera ‘dentro’ de la red local de su empresa, permitiendo el acceso a servidores y equipos, es decir, si PFSense es accesible desde su m\u00e1quina dom\u00e9stica.<\/p>\n

Ahora que entendemos de qu\u00e9 se trata VPN, aprendamos c\u00f3mo configurar usando PFSense para establecer la conexi\u00f3n entre sus diferentes redes.<\/p>\n\n

Configuraci\u00f3n de la VPN<\/h2>\n\n

Usaremos el ‘Wizard’ de PFSense para esta configuraci\u00f3n. Para eso, ve al men\u00fa VPN > OpenVPN<\/strong><\/em>. Luego haga clic en la pesta\u00f1a Wizards<\/strong><\/em>:<\/p>\n\n

\"\"
Para crear la VPN, vaya a VPN > OpenVPN > Asistentes.<\/figcaption><\/figure><\/div>\n\n

Al acceder al Asistente, seleccionemos el ‘Type of Server<\/strong>‘, como ‘Local User Access<\/strong>‘, y podemos hacer clic ‘Next<\/strong><\/em>‘.<\/p>\n\n

\"\"
Aqu\u00ed, cambiamos el Type of Server y continuamos.<\/figcaption><\/figure><\/div>\n\n

En la siguiente pantalla, es necesario crear un nuevo Certificado de Autoridad (Certificate Authority, o CA), para ello basta con llenar los siguientes campos:<\/p>\n\n

\"\"
Recuerde cambiar los campos de ubicaci\u00f3n para adaptarlos a sus necesidades.<\/figcaption><\/figure><\/div>\n\n

Usaremos el nombre: VPN_CA<\/strong><\/em>, indicando que esta CA se utiliza para la VPN. Despu\u00e9s de eso, informamos el tama\u00f1o de la clave de cifrado que se generar\u00e1. Un valor de 2048<\/strong><\/em> bits es suficiente.
El resto se puede completar de acuerdo con los datos de su pa\u00eds, estado, ciudad y organizaci\u00f3n<\/strong><\/em> (o empresa).<\/p>\n\n

\"\"El siguiente paso consiste en crear un Certificado de servidor. Para ello, basta con elegir la opci\u00f3n de crear un nuevo certificado, y rellenar como se muestra en la imagen (cambiando de nuevo los valores de ubicaci\u00f3n):<\/figure>\n\n
\"\"
Muy similar al anterior, este es el Certificado de servidor, no el Certificado de autoridad, pero la configuraci\u00f3n seguir\u00e1 siendo la misma.<\/figcaption><\/figure><\/div>\n\n

Terminando el Certificado del Servidor, configuremos el acceso a la propia VPN. Para ello elegimos la interfaz de acceso, en nuestro caso la WAN<\/strong><\/em>. Luego completamos el resto de los datos. Usar\u00e9 el protocolo solo UDP<\/strong><\/em>, en el puerto 1194<\/strong><\/em> y con la descripci\u00f3n ‘VPN<\/strong><\/em>‘.<\/p>\n\n

\"\"
Configuraci\u00f3n que utilizaremos, relacionada con el puerto y protocolo de nuestro t\u00fanel.<\/figcaption><\/figure><\/div>\n\n

Siguiendo en la misma pantalla, tenemos la configuraci\u00f3n de cifrado. En estas opciones dejaremos habilitada la autenticaci\u00f3n TLS y la creaci\u00f3n autom\u00e1tica de una clave TLS compartida para la autenticaci\u00f3n.<\/strong><\/em>
Podemos establecer el ‘DH<\/strong><\/em>‘ en el valor de 2048<\/strong><\/em> como predeterminado y cambiar el Algoritmo de cifrado<\/strong><\/em> a AES-256-CBC<\/strong><\/em>. Elijamos el algoritmo de autenticaci\u00f3n ‘SHA1 (160 bits)’.<\/strong><\/em> Es importante que esta opci\u00f3n sea la misma tanto en el lado del Servidor (PFSense) como en el lado del Cliente (su m\u00e1quina).
Tenemos nuestra configuraci\u00f3n de la siguiente manera:<\/p>\n\n

\"\"
Configuraci\u00f3n de cifrado.<\/figcaption><\/figure><\/div>\n\n

En la siguiente parte, tenemos la configuraci\u00f3n del T\u00fanel.
El primer campo se refiere al pool de IPs que utilizar\u00e1 PFSense en sus Clientes, es decir, qu\u00e9 IPs recibir\u00e1n las PC que se conecten a la VPN para la Red Virtual. En nuestro caso, seleccionamos un bloque \/24 (256 IPs, 254 hosts), que tendr\u00e1 un buen tama\u00f1o. Tomamos el bloque 10.20.50.0\/24<\/strong><\/em>.
Completemos la opci\u00f3n ‘Local Network<\/strong><\/em>‘, para indicar la red LAN a la que buscamos acceder, para que PFSense pueda crear autom\u00e1ticamente una ruta para esa red. En nuestro ejemplo, la red es el 192.168.1.0\/24<\/strong><\/em>.
Usamos la compresi\u00f3n ‘Omit Preference<\/strong><\/em>‘ y habilitamos la opci\u00f3n ‘Inter-Client Communication<\/strong><\/em>‘, si desea que las m\u00e1quinas conectadas a la VPN se comuniquen entre s\u00ed.
Por el momento, nuestra configuraci\u00f3n es la siguiente:<\/p>\n\n

\"\"
Configuraci\u00f3n de red de nuestro t\u00fanel VPN.<\/figcaption><\/figure><\/div>\n\n

Para finalizar la configuraci\u00f3n, en el campo ‘Client Settings<\/strong><\/em>‘, tenemos habilitada la opci\u00f3n IP Din\u00e1mica<\/strong><\/em>, para tener din\u00e1mica en las IP conectadas. En Topology<\/strong><\/em>, marque la opci\u00f3n Subnet<\/strong><\/em>, para tener un \/24 con las IPs distribuidas dentro del bloque. En caso de querer aislar la subred de cada Cliente, tenemos la opci\u00f3n net30, que cada Cliente tendr\u00e1 un \/30 separado. Algunas versiones de Clientes anteriores necesitan que se configure en net30, mientras que otras necesitan que se configure en Subred. Es importante adaptar su configuraci\u00f3n al Cliente que se utilizar\u00e1.
Despu\u00e9s de eso, tenemos la opci\u00f3n de elegir el servidor DNS para esta conexi\u00f3n VPN. Dejemos el est\u00e1ndar quad-8<\/strong><\/em> de Google y el propio PFSense como servidores DNS.
La configuraci\u00f3n final es como se muestra en la imagen:<\/p>\n\n

\"\"
Configuraciones finales de nuestro Cliente.<\/figcaption><\/figure><\/div>\n\n

En la siguiente pantalla, tenemos la opci\u00f3n de configurar una regla de Firewall para permitir conexiones desde cualquier lugar de la VPN, que podemos permitir<\/strong><\/em>, ya que OpenVPN utiliza certificados para la conexi\u00f3n, y sin el certificado (que hay que pasar directamente a la persona que se va a conectar) y usuario\/contrase\u00f1a, es imposible acceder a esa red.
Justo debajo, la opci\u00f3n ‘OpenVPN rule<\/strong><\/em>‘, podemos habilitarla<\/strong><\/em>, para permitir que todo el tr\u00e1fico de los clientes conectados pase por el t\u00fanel VPN.<\/p>\n\n

\"\"
Configuraci\u00f3n del cortafuegos. Permitir todas las conexiones no es un problema, tener certificado y autenticaci\u00f3n de usuario con contrase\u00f1a.<\/figcaption><\/figure><\/div>\n\n

Finalmente finalizamos la configuraci\u00f3n y ya tenemos la VPN lista.
Ahora necesitamos crear los usuarios que tendr\u00e1n acceso al t\u00fanel.<\/p>\n\n

Creaci\u00f3n de usuario con certificado VPN<\/h2>\n\n

Para crear nuestros usuarios, vaya a System<\/strong><\/em> > User Manager<\/strong><\/em>, y luego vaya a ‘+ Add<\/strong><\/em>‘, justo debajo del panel con sus usuarios de PFSense.<\/p>\n\n

\"\"
Pantalla de usuarios de PFSense.<\/figcaption><\/figure><\/div>\n\n

Al crear un usuario, a\u00f1adimos Usuario<\/strong><\/em>, Contrase\u00f1a<\/strong><\/em> y rellenamos el resto con datos referentes al usuario. En este caso, crear\u00e9 un usuario ‘made4it<\/strong><\/em>‘ que usaremos para conectarnos a la red.<\/p>\n

Debajo de la selecci\u00f3n de grupo hay un bot\u00f3n de ‘Certificate<\/strong><\/em>‘. Es necesario dar un ‘check<\/strong><\/em>‘ en \u00e9l, para crear los certificados de usuario.<\/p>\n\n

\"\"
Es necesario marcar la opci\u00f3n Certificado para generar el certificado de usuario.<\/figcaption><\/figure><\/div>\n\n

Debajo de la configuraci\u00f3n del usuario, crearemos el certificado para nuestro usuario. Para esto, creamos una descripci\u00f3n. Usemos ‘made4it_cert<\/strong><\/em>‘ en nuestro ejemplo. Seleccionamos la CA creada anteriormente y especificamos los mismos 2048<\/strong> bits<\/strong><\/em> que usamos en su creaci\u00f3n.<\/p>\n\n

\"\"
Creaci\u00f3n de un Certificado para el Usuario.<\/figcaption><\/figure><\/div>\n\n

Una vez hecho esto, podemos guardar nuestro usuario.
Para acceder a la VPN, necesitamos exportar nuestro certificado usando el paquete ‘OpenVPN Client Export<\/strong><\/em>‘.<\/p>\n\n

Instalaci\u00f3n de la exportaci\u00f3n del cliente<\/h2>\n\n

Vamos System<\/strong><\/em> > Package Manager<\/strong><\/em> > Available Packages<\/strong><\/em> y luego buscar el paquete ‘openvpn-client-export<\/strong><\/em>‘ y dar un ‘+ Install<\/strong><\/em>‘ luego espere a que termine la instalaci\u00f3n:<\/p>\n\n

\"\"
luego espere a que termine la instalaci\u00f3n:<\/figcaption><\/figure><\/div>\n\n
\"\"
B\u00fasqueda e instalaci\u00f3n de paquetes.<\/figcaption><\/figure><\/div>\n\n
\"\"
Paquete correctamente instalado.<\/figcaption><\/figure><\/div>\n\n

Una vez completada la instalaci\u00f3n, simplemente accedaVPN<\/strong><\/em> > OpenVPN<\/em><\/strong> > Client Export Utility<\/strong><\/em>, para comenzar a exportar el certificado.
En esta Pantalla dejaremos la opci\u00f3n ‘Host Name Resolution<\/strong><\/em>‘ como ‘Interface IP Address<\/strong><\/em>‘. En ‘Verify Server CN<\/strong><\/em>‘, podemos dejar en ‘Automatic<\/strong><\/em>‘.<\/p>\n

El resto se puede desmarcar, as\u00ed que hacemos clic en ‘Save as Default<\/strong><\/em>‘ para que se apliquen los cambios.<\/p>\n\n

\"\"<\/figure><\/div>\n\n
\"\"
Opciones de exportaci\u00f3n de certificados.<\/figcaption><\/figure><\/div>\n\n

Con los cambios aplicados, vamos a la parte inferior de la pantalla, en el usuario que creamos, y seleccionamos el certificado\/cliente que vamos a exportar.<\/p>\n

En mi caso espec\u00edfico, descargar\u00e9 ‘Most Clients<\/strong><\/em>‘ dentro de ‘Inline Configurations<\/strong><\/em>‘, ya que ya tengo un cliente listo. Si va a utilizar un cliente de Windows, Viscosity (Windows o MacOS) u otro cliente, simplemente elija el archivo correspondiente.<\/p>\n\n

\"\"
Descargar certificado para conexi\u00f3n.<\/figcaption><\/figure><\/div>\n\n

En mi caso, utilizar\u00e9 el Cliente ‘Tunnelblick<\/strong><\/em>‘ en MacOS<\/strong><\/em>, para realizar la conexi\u00f3n VPN. Para realizar la conexi\u00f3n, basta con agregar los archivos de configuraci\u00f3n a su Cliente, luego, al conectarse, se le solicitar\u00e1 el nombre de usuario y la contrase\u00f1a de la VPN, la cual pertenecer\u00e1 al usuario creado anteriormente, en nuestro caso, el usuario ‘made4it<\/strong><\/em>‘:<\/p>\n\n

\"\"
Inserte el usuario y la contrase\u00f1a creados previamente en PFSense.<\/figcaption><\/figure><\/div>\n\n
\"\"
Cliente intentando conectarse a la VPN.<\/figcaption><\/figure><\/div>\n\n
\"\"
\u00a1Conectado con \u00e9xito!<\/figcaption><\/figure><\/div>\n\n

Configuraci\u00f3n de VPN en Windows<\/h2>\n\n

Para conectarnos a nuestra VPN ya configurada en Windows, necesitamos un Cliente. Podemos instalar el Cliente OpenVPN utilizando los archivos que PFSense pone a nuestra disposici\u00f3n.
Para eso, vamos a VPN > OpenVPN > Client Export<\/strong><\/em>, y descargamos el archivo m\u00e1s adecuado. En este caso, como usar\u00e9 el cliente OpenVPN, podemos seleccionar la versi\u00f3n en el Current Windows Installer<\/strong><\/em> (para Windows 7\/8 o Windows 10).<\/p>\n\n

\"\"
Recuerde elegir la versi\u00f3n correcta al descargar.<\/figcaption><\/figure><\/div>\n\n

Una vez descargado el archivo, podemos ejecutarlo y continuar con la instalaci\u00f3n normal. El archivo que descargamos comenzar\u00e1 a configurar OpenVPN e instalar\u00e1 nuestra conexi\u00f3n VPN directamente, no se requiere configuraci\u00f3n adicional.<\/p>\n

Al cerrar los instaladores, podemos abrir OpenVPN haciendo clic en el acceso directo creado en el escritorio, luego haciendo clic con el bot\u00f3n derecho en el icono de la barra de herramientas (al lado del reloj), y finalmente, haciendo clic en Conectar y proporcionando los datos de usuario\/contrase\u00f1a creados. en PFSense.<\/p>\n\n

\"\"
El primer icono de la izquierda es el cliente OpenVPN.<\/figcaption><\/figure><\/div>\n\n
\"\"
Simplemente haga clic derecho y \u00abConectar<\/strong>\u00ab<\/figcaption><\/figure><\/div>\n\n
\"\"
Ahora solo ingrese su nombre de usuario y contrase\u00f1a, \u00a1y estamos en la VPN!<\/figcaption><\/figure><\/div>\n\n

Entonces, eso es todo amigos, esta fue nuestra gu\u00eda de configuraci\u00f3n de OpenVPN usando PFSense y la configuraci\u00f3n para conectarse a \u00e9l, usando el cliente OpenVPN, con los archivos proporcionados por PFSense.
\u00a1Gracias y hasta la pr\u00f3xima!<\/p>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":13,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"postBodyCss":"","postBodyMargin":[],"postBodyPadding":[],"postBodyBackground":{"backgroundType":"classic","gradient":""},"footnotes":""},"categories":[506,307,507],"tags":[508,509,510,511],"class_list":["post-11759","post","type-post","status-publish","format-standard","hentry","category-pfsense-es","category-red","category-servidores-es","tag-conceptos-basicos-de-pfsense","tag-pfsense-es","tag-servidores-es","tag-vpn-pfsense-es"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/11759","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/comments?post=11759"}],"version-history":[{"count":0,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/posts\/11759\/revisions"}],"wp:attachment":[{"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/media?parent=11759"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/categories?post=11759"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/made4it.com.br\/es\/wp-json\/wp\/v2\/tags?post=11759"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}