Hace unas pocas semanas cubrimos la instalación de tomate , un firmware de enrutador de código abierto, en su Linksys WRT54GL. ¡Hoy veremos cómo instalar OpenVPN junto con Tomato y cómo configurarlo para acceder a su red doméstica desde cualquier parte del mundo!
¿Qué es OpenVPN?
Una red privada virtual (VPN) es una conexión segura y confiable entre una red de área local (LAN) y otra. Piense en su enrutador como el intermediario entre las redes a las que se está conectando. Tanto su computadora como el servidor OpenVPN (su enrutador en este caso) "se dan la mano" usando certificados que se validan entre sí. Tras la validación, tanto el cliente como el servidor acuerdan confiar el uno en el otro y, a continuación, se permite al cliente acceder a la red del servidor.
Normalmente, la implementación del software y hardware de VPN cuesta mucho dinero. Si aún no lo ha adivinado, OpenVPN es una solución VPN de código abierto que es (redoble de batería) gratuita. Tomato, junto con OpenVPN, es una solución perfecta para aquellos que desean una conexión segura entre dos redes sin tener que abrir su billetera. Por supuesto, OpenVPN no funcionará de inmediato. Se necesita un poco de ajustes y configuración para hacerlo bien. Aunque no se preocupe; Estamos aquí para facilitarle ese proceso, así que tome una taza de café caliente y comencemos.
Para obtener más información sobre OpenVPN, visite el sitio oficial ¿Qué es OpenVPN? página.
Prerrequisitos
Esta guía asume que actualmente está ejecutando Windows 7 en su PC y que está usando una cuenta administrativa. Si eres un usuario de Mac o Linux, esta guía te dará una idea de cómo funcionan las cosas; sin embargo, es posible que tengas que investigar un poco más por tu cuenta para que todo sea perfecto. Además, instalaremos una versión especial de Tomato llamada TomateUSB VPN en un router Linksys WRT54GL versión 1.1. Para saber si su enrutador es compatible con TomatoUSB, consulte su Tipos de construcción página.
El comienzo de esta guía asume que tiene:
- el firmware original de Linksys instalado en su enrutador o
- el firmware de tomate que describimos en nuestro último artículo
Tome nota del texto sobre ciertos pasos que indican si es para firmware de Linksys o firmware de Tomato.
Instalación de TomatoUSB
En una anterior artículo discutimos cómo instalar el firmware original de Tomato v1.28 desde el sitio web de PolarCloud. Desafortunadamente, esa versión de Tomato no venía con soporte OpenVPN, por lo que instalaremos una versión más nueva llamada TomateUSB VPN .
Lo primero que querrá hacer es dirigirse al TomatoUSB página principal y haga clic en el enlace Descargar Tomato USB.
Descargar VPN bajo la Kernel 2.4 (estable) sección. Guarde el archivo .rar en su computadora.
Necesitará un programa para extraer el archivo .rar. Sugerimos usar WinRAR ya que es gratis y fácil de usar. Puede descargarse una copia de la versión gratuita en su sitio web . Después de instalar WinRAR, haga clic con el botón derecho en el archivo que descargó y haga clic en Extraer aquí. A continuación, debería ver dos archivos llamados CAMBIO y tomate-ΝΔΥΣΒ-1.28.θ754-vpn3.6.τρχ.
Si está ejecutando el firmware de Linksys ...
Abra su navegador e ingrese la dirección IP de su enrutador (la predeterminada es 192.168.1.1). Se le pedirá un nombre de usuario y una contraseña. Los valores predeterminados para un Linksys WRT54GL son "admin" y "admin".
Haga clic en la pestaña Administración en la parte superior. A continuación, haga clic en Actualización de firmware como se muestra a continuación.
Haga clic en el botón Examinar y navegue hasta los archivos VPN de TomatoUSB extraídos. Selecciona el tomate-ΝΔΥΣΒ-1.28.θ754-vpn3.6.τρχ archivo y haga clic en el botón Actualizar en la interfaz web. Su enrutador comenzará a instalar TomatoUSB VPN y debería tardar menos de un minuto en completarse. Después de aproximadamente un minuto, abra un símbolo del sistema y escriba ipconfig –release para determinar la nueva dirección IP de su enrutador. Luego escribe ipconfig –renew . La dirección IP a la derecha de la puerta de enlace predeterminada ... es la dirección IP de su enrutador.
Nota : Después de instalar Tomato, vaya a Administración> Configuración y seleccione "Borrar todas las NVRAM ...".
Si está ejecutando el firmware de Tomato ...
Abra su navegador e ingrese la dirección IP de su enrutador. Suponemos que si instaló Tomato, conoce la dirección IP de su enrutador. Si no está seguro, probablemente esté configurado con el valor predeterminado 192.168.1.1. Después, escriba su nombre de usuario y contraseña.
Aunque no es necesario, es posible que desee hacer una copia de seguridad de su configuración actual de Tomato antes de actualizar a TomatoUSB VPN, por si acaso. Para guardar su configuración, vaya a Administración> Configuración y haga clic en el botón Copia de seguridad. Esto le pedirá que guarde el archivo .cfg en su computadora.
Ahora es el momento de actualizar Tomato a TomatoUSB VPN. Haga clic en Actualizar en la columna de la izquierda y haga clic en el botón Elegir archivo. Navegue hasta los archivos que extrajimos anteriormente y elija el tomate-ΝΔΥΣΒ-1.28.θ754-vpn3.6.τρχ expediente. Luego haga clic en el botón de actualización.
Se le pedirá que confirme la actualización; simplemente haga clic en Aceptar.
Su enrutador comenzará a cargar el nuevo firmware y se reiniciará en un minuto.
Puede tener la misma dirección IP o una diferente después de reiniciarse. En nuestro caso, la configuración del enrutador seguía siendo la misma, por lo que nuestra dirección IP seguía siendo la misma. Para determinar la nueva dirección IP de su enrutador, abra un símbolo del sistema y escriba ipconfig –release . Luego escribe ipconfig –renew . La dirección IP a la derecha de la puerta de enlace predeterminada ... es la dirección de su enrutador. Si su configuración vuelve a los valores predeterminados, vuelva a la página Configuración (Administración> Configuración) y haga clic en el botón Elegir archivo en Restaurar configuración. Busque el archivo .cfg que guardó anteriormente en su computadora y haga clic en el botón Restaurar.
Configuración de OpenVPN
Ya sea que haya instalado el firmware de Linksys o el firmware de Tomato, ahora debería tener la nueva VPN TomatoUSB instalada en su enrutador. Notará algunos menús nuevos en la columna de la izquierda, incluidos Uso web, USB y NAS, y Túneles VPN. Para esta guía, solo nos preocupa el menú de Túneles VPN, así que haz clic en Túneles VPN. Mantenga abierta esta ventana del navegador; Volveremos a ello en breve.
Ahora vayamos a OpenVPN Descargas y descargue el instalador de Windows OpenVPN. En esta guía, usaremos la segunda versión más reciente de OpenVPN llamada 2.1.4. La última versión (2.2.0) tiene una insecto en él que haría este proceso aún más complicado. El archivo que estamos descargando instalará el programa OpenVPN que le permite conectarse a su red VPN, así que asegúrese de instalar este programa en cualquier otra computadora que desee que actúe como cliente (ya que veremos cómo hacerlo luego). Guarde el archivo openvpn-2.1.4-install .exe en su computadora.
Navegue hasta el archivo OpenVPN que acabamos de descargar y haga doble clic en él. Esto iniciará la instalación de OpenVPN en su computadora. Ejecute el instalador con todos los valores predeterminados marcados. Durante la instalación, aparecerá un cuadro de diálogo que le pedirá que instale un nuevo adaptador de red virtual llamado TAP-Win32. Haga clic en el botón Instalar.
Ahora que tiene OpenVPN instalado en su computadora, tenemos que comenzar a crear los certificados y claves para autenticar dispositivos.
Creación de certificados y claves
Haga clic en el botón Inicio de Windows y navegue hasta Accesorios. Verá el programa de símbolo del sistema. Haga clic derecho sobre él y haga clic en Ejecutar como administrador.
En el símbolo del sistema, escriba
cd c: \ Archivos de programa (x86) \ OpenVPN \ easy-rsa
si está ejecutando Windows 7 de 64 bits como se muestra a continuación. Tipo
cd c: \ Archivos de programa \ OpenVPN \ easy-rsa
si está ejecutando Windows 7 de 32 bits, luego presione Enter.
Ahora escribe init-config y presione Enter para copiar dos archivos llamados vars.bat y openssl.cnf en la carpeta easy-rsa. Mantenga su símbolo del sistema activo, ya que lo volveremos a encontrar en breve.
Navegar a C: \ Archivos de programa (x86) \ OpenVPN \ easy-rsa (o C: \ Archivos de programa \ OpenVPN \ easy-rsa en Windows 7 de 32 bits) y haga clic derecho en el archivo llamado Año . Haga clic en Editar para abrirlo en el Bloc de notas. Alternativamente, recomendamos abrir este archivo con Notepad ++, ya que formatea mucho mejor el texto en el archivo. Puede descargar Notepad ++ desde su página principal .
La parte inferior del archivo es lo que nos preocupa. A partir de la línea 31, cambie el KEY_COUNTRY valor, KEY_PROVINCE valor, etc. a su país, provincia, etc. Por ejemplo, cambiamos nuestra provincia a "IL", ciudad a "Chicago", org a "HowToGeek" y correo electrónico a nuestra propia dirección de correo electrónico. Además, si está ejecutando Windows 7 de 64 bits, cambie el CASA valor en la línea 6 a % Archivos de programa (x86)% \ OpenVPN \ easy-rsa . No cambie este valor si está ejecutando Windows 7 de 32 bits. Su archivo debe ser similar al nuestro a continuación (con sus valores respectivos, por supuesto). Guarde el archivo sobrescribiéndolo una vez que haya terminado de editarlo.
Regrese a su símbolo del sistema y escriba cuyo y presione Enter. Luego escribe Limpiar todo y presione Enter. Finalmente, escriba build-ca y presione Enter.
Después de ejecutar el build-ca , se le pedirá que ingrese el nombre de su país, estado, localidad, etc. Dado que ya configuramos estos parámetros en nuestro Año archivo, podemos omitir estas opciones presionando Enter, ¡pero! Antes de comenzar a golpear la tecla Enter, tenga cuidado con el parámetro Common Name. Puede ingresar cualquier cosa en este parámetro (es decir, su nombre). Solo asegúrate de ingresar alguna cosa . Este comando generará dos archivos (un certificado de CA raíz y una clave de CA raíz) en la carpeta easy-rsa / keys.
Ahora vamos a crear una clave para un cliente. En el mismo símbolo del sistema, escriba clave de construcción client1 . Puede cambiar "cliente1" a lo que desee (es decir, Acer-Laptop). Solo asegúrese de ingresar el mismo nombre que el Nombre común cuando se le solicite. Por ejemplo, cuando ejecuta el comando Acer-Laptop clave de construcción , su nombre común debe ser “Acer-Laptop”. Ejecute todos los valores predeterminados como el último paso que hicimos (excepto el nombre común, por supuesto). Sin embargo, al final se le pedirá que firme el certificado y se comprometa. Escriba "y" para ambos y haga clic en Entrar.
Además, no se preocupe si recibió el error "No se puede escribir 'estado aleatorio'". Me di cuenta de que sus certificados se siguen haciendo sin problemas. Este comando generará dos archivos (una clave Client1 y un certificado Client1) en la carpeta easy-rsa / keys. Si desea crear otra clave para otro cliente, repita el paso anterior, pero asegúrese de cambiar el Nombre común.
El último certificado que generaremos es la clave del servidor. En el mismo símbolo del sistema, escriba build-key-server servidor . Puede reemplazar "servidor" al final del comando con cualquier cosa que desee (es decir, HowToGeek-Server). Como siempre, asegúrese de ingresar el mismo nombre que el Nombre común cuando se le solicite. Por ejemplo, cuando ejecuta el comando servidor de claves de compilación HowToGeek-Server , su nombre común debe ser "HowToGeek-Server". Presione Enter y recorra todos los valores predeterminados excepto el Nombre común. Al final, escriba "y" para firmar el certificado y confirmar. Este comando generará dos archivos (una clave de servidor y un certificado de servidor) en la carpeta easy-rsa / keys.
Ahora tenemos que generar los parámetros de Diffie Hellman. El protocolo Diffie Hellman “permite a dos usuarios intercambiar una clave secreta a través de un medio inseguro sin ningún secreto previo”. Puede leer más sobre Diffie Hellman en el sitio web de RSA.
En el mismo símbolo del sistema, escriba build-dh . Este comando generará un archivo (dh1024.pem) en la carpeta easy-rsa / keys.
Creación de archivos de configuración para el cliente
Antes de editar cualquier archivo de configuración, debemos configurar un servicio de DNS dinámico. Utilice este servicio si su ISP le emite una dirección IP externa dinámica de vez en cuando. Si tiene una dirección IP externa estática, pase al siguiente paso.
Sugerimos usar DynDNS.com , un servicio que le permite apuntar un nombre de host (es decir, howtogeek.dyndns.org) a una dirección IP dinámica. Es importante que OpenVPN siempre sepa la dirección IP pública de su red, y al usar DynDNS, OpenVPN siempre sabrá cómo ubicar su red sin importar cuál sea su dirección IP pública. Regístrese para un nombre de host y apúntalo a tu público dirección IP . Una vez que se haya registrado en el servicio, no olvide configurar el servicio de actualización automática en Tomato en Básico> DDNS.
Ahora volvamos a configurar OpenVPN. En el Explorador de Windows, navegue hasta C: \ Archivos de programa (x86) \ OpenVPN \ sample-config si está ejecutando Windows 7 de 64 bits o C: \ Archivos de programa \ OpenVPN \ sample-config si está ejecutando Windows 7 de 32 bits. En esta carpeta encontrará tres archivos de configuración de muestra; solo nos preocupa el client.ovpn expediente.
Clic derecho en client.ovpn y ábralo con Notepad o Notepad ++. Notará que su archivo se verá como la imagen a continuación:
Sin embargo, queremos nuestro client.ovpn archivo para parecerse a esta imagen debajo. Asegúrese de cambiar el nombre de host de DynDNS a su nombre de host en la línea 4 (o cámbielo a su dirección IP pública si tiene una estática). Deje el número de puerto en 1194, ya que es el puerto OpenVPN estándar. Además, asegúrese de cambiar las líneas 11 y 12 para reflejar el nombre del archivo de certificado y el archivo de claves de su cliente. Guarde esto como un archivo nuevo .ovpn en la carpeta OpenVPN / config.
Configuración del túnel VPN de Tomato
La idea básica ahora es copiar los certificados y claves del servidor que creamos anteriormente y pegarlos en los menús del servidor de Tomato VPN. Luego, verificaremos algunas configuraciones en Tomato, probaremos la conexión VPN y luego podremos lavarnos las manos y terminar.
Abra un navegador y navegue hasta su enrutador. Haz clic en el menú Túnel de VPN en la barra lateral izquierda. Asegúrese de que Server1 y Basic también estén seleccionados. Configure sus ajustes exactamente como aparecen a continuación. Clic en Guardar.
Actualización: el modo predeterminado es TUN, o túnel, pero probablemente desee cambiarlo a TAP, que en su lugar conecta la red. El modo túnel pondrá a sus clientes externos en una red diferente a la red interna. Así que definitivamente cambie el Tipo de interfaz a TAP.
A continuación, haga clic en la pestaña Avanzado junto a Básico. Al igual que antes, asegúrese de que su configuración sea exactamente como aparece a continuación. Clic en Guardar.
Nuestro último paso es pegar las claves y los certificados que creamos originalmente. Abra la pestaña Teclas junto a Avanzado. En el Explorador de Windows, navegue hasta C: \ Archivos de programa (x86) \ OpenVPN \ easy-rsa \ keys en Windows 7 de 64 bits (o C: \ Archivos de programa \ OpenVPN \ easy-rsa \ keys en Windows 7 de 32 bits). Abra cada archivo correspondiente a continuación ( ca.crt , server.crt , server.key y dh1024.pem ) con Notepad o Notepad ++ y copie el contenido. Pegue el contenido en los cuadros correspondientes como se muestra a continuación. Debo señalar que solo necesita pegar todo lo que se muestra a continuación —– COMENZAR EL CERTIFICADO—– en el server.crt . OpenVPN seguirá funcionando correctamente si pega todo el archivo, pero es más "limpio" solo pegando la información real del certificado. Haga clic en Guardar y luego en Iniciar ahora.
Antes de probar nuestra conexión VPN, hay una cosa más que debemos verificar dentro de Tomato. Haga clic en Básico en la columna de la izquierda y luego en Tiempo. Asegúrese de que la hora del enrutador sea correcta y que Time Zone muestre su zona horaria actual. Configure el servidor de hora NTP en su país.
Configuración de un cliente OpenVPN
En este ejemplo, usaremos una computadora portátil con Windows 7 como nuestro cliente. Lo primero que querrá hacer es instalar OpenVPN en su cliente como hicimos anteriormente en los primeros pasos en Configuración de OpenVPN. Luego navega a C: \ Archivos de programa \ OpenVPN \ config que es donde pegaremos nuestros archivos.
Ahora tenemos que volver a nuestra computadora original y recopilar un total de cuatro archivos para copiarlos en la computadora portátil de nuestro cliente. Navegar a C: \ Archivos de programa (x86) \ OpenVPN \ easy-rsa \ keys de nuevo y copia ca.crt , client1.crt y client1.key . Pegue estos archivos en la carpeta del cliente. config carpeta.
Finalmente, necesitamos copiar un archivo más. Navegar a C: \ Archivos de programa (x86) \ OpenVPN \ config y copie el nuevo archivo client.ovpn que creamos anteriormente. Pegue este archivo en el archivo del cliente. config carpeta también.
Prueba del cliente OpenVPN
En la computadora portátil del cliente, haga clic en el botón Inicio de Windows y navegue hasta Todos los programas> OpenVPN. Haga clic derecho en el archivo GUI de OpenVPN y haga clic en Ejecutar como administrador. Tenga en cuenta que siempre debe ejecutar OpenVPN como administrador para que funcione correctamente. Para configurar permanentemente el archivo para que siempre se ejecute como administrador, haga clic con el botón derecho en el archivo y seleccione Propiedades. En la pestaña Compatibilidad, marque Ejecutar este programa como administrador.
El icono de la GUI de OpenVPN aparecerá junto al reloj en la barra de tareas. Haga clic derecho en el icono y haga clic en Conectar. Dado que solo tenemos un archivo .ovpn en nuestro config carpeta, OpenVPN se conectará a esa red de forma predeterminada.
Aparecerá un cuadro de diálogo que muestra un registro de conexión.
Una vez que esté conectado a la VPN, el icono de OpenVPN en la barra de tareas se volverá verde y mostrará su dirección IP virtual.
¡Y eso es! Ahora tiene una conexión segura entre su servidor y la red del cliente usando OpenVPN y TomatoUSB. Para probar más la conexión, intente abrir un navegador en la computadora portátil del cliente y navegar a su enrutador Tomato en la red del servidor.
Imagen de El Ewan
