VPN

Una VPN (Virtual Private Network, Red Privada Virtual) le permite establecer una conexión segura y encriptada entre dos o más sistemas usando una red pública, como la Internet.

El sistema admite dos tipos de VPN:

  1. roadwarrior: o modo guerrero, conecta un cliente remoto a la red interna
  2. net2net o tunel: conecta dos redes remotas

OpenVPN

OpenVPN le permite crear fácilmente conexiones VPN, que trae con numerosas ventajas, incluyendo:

  • Disponibilidad de clientes para varios sistemas operativos: Windows, Linux, Apple, Android, iOS
  • Múltiple NAT traversal, no necesita una IP estática dedicada en el firewall
  • Alta estabilidad
  • Configuración sencilla

Roadwarrior / guerrero

El servidor OpenVPN en modo roadwarrior - o modo guerrero - permite la conexión de varios clientes.

Los métodos de autenticación admitidos son:

  • Usuario y contraseña del sistema
  • Certificado
  • Usuario del sistema, contraseña y certificado

El servidor puede funcionar en dos modos: enrutado o puenteado. Usted debe elegir el modo puente solo si el túnel debe llevar tráfico no-IP.

Para permitir que un cliente establezca una VPN:

  1. Crear una nueva cuenta: se recomienda utilizar una cuenta VPN dedicada con certificado, evitando la necesidad de crear un usuario del sistema.

    Por otro lado, es obligatorio elegir una cuenta de sistema si desea utilizar la autenticación con nombre de usuario y contraseña.

  2. Descargue el archivo que contiene la configuración y los certificados.

  3. Importe el archivo en el cliente e inicie la VPN.

Túnel (net2net)

Al crear una conexión OpenVPN net2net, debe elegir un maestro entre los servidores implicados. Todos los demás servidores se consideran como esclavos (clientes).

Pasos a realizar en el servidor maestro:

  • Habilitar servidor roadwarrior
  • Cree una cuenta VPN solo para cada esclavo
  • Durante la creación de la cuenta, recuerde especificar la red remota configurada detrás del esclavo

Pasos a realizar en el esclavo:

  • Crear un cliente desde la página: guilabel: Cliente, especificando los datos de conexión al servidor maestro.
  • Copie y pegue el contenido de los certificados descargados desde la página de configuración principal.

IPsec

IPsec (IP Security) protocol is usually used to create tunnels with devices from other manufacturers.

Roadwarrior (L2TP)

L2TP is considered the replacement for PPTP which is insecure. Many devices include native support for this protocol but not all implementations are compatible.

Los métodos de autenticación admitidos son:

  • Usuario del sistema, contraseña y certificado
  • Secret shared key (PSK)

Para permitir que un cliente establezca una VPN:

  1. Configure the server as PDC (Primary Domain Controller) from the Windows Network page.
  2. Create a new system account.
  3. Download the file that contains certificates.
  4. Import client and CA (Certification Authority) certificates within the client.
  5. Proceed with the configuration of connection data and start the VPN.

Nota

Use of L2TP is recommended if and only if it is not possible to install a OpenVPN client into the device.

Túnel (net2net)

IPsec is extremely reliable and compatible with many devices. In fact, it is an obvious choice when you need to create net2net connections between firewalls of different manufacturers.

Unlike OpenVPN configuration, in an IPsec tunnel, firewalls are considered peers.

If you are creating a tunnel between two NethServer, given the firewalls A and B:

  1. Configure the server A and specify the remote address and LAN of server B. If the Remote IP field is set to the special value %any, the server waits for connections from the other endpoint.
  2. Configure the second firewall B by mirroring the configuration from A inside the remote section. The special value %any is allowed in one side only!

If an endpoint is behind a NAT, the values for Local identifier and Remote identifier fields must be set to custom unique names prepended with @. Common names are the geographic locations of the servers, such as the state or city name.