Configuración de PFSense 2.0 con OpenVPN Road Warrior.

Esta vez el escenario propuesto consiste en que un cliente requiere conectarse en forma remota a nuestra organización con una conexión VPN segura que permita acceder a todos los servicios de la red interna de nuestra empresa. Por eso a continuación describiré los pasos necesarios para realizar esta configuración implementando un firewall con PFSense 2.0.

Escenario:

clip_image002[6]

Los pasos necesarios para conseguir nuestro objetivo son los siguientes:

1.       Crear una autoridad certificadora.

2.       Crear un túnel VPN.

3.       Crear un certificado de servidor.

4.       Crear un certificado de cliente.

5.       Instalar el cliente en una PC.

6.       Establecer la conexión VPN.

Para comenzar, una vez instalado nuestro PFSense, debemos descargar el paquete Open VPN Client Export Utility.

Entonces vamos a SystemàPackages

clip_image004[6]

Agregamos la utilidad de exportación pulsando en el símbolo (+):

clip_image005[6]clip_image007[6]

 

Nos muestra el progreso de la instalación y debemos verificar que termine correctamente:

clip_image009[6]

 

Ahora crearemos en nuestro servidor la Autoridad certificadora.

System à Cert Manager

clip_image011[6]

Pulsando el botón (+) agregaremos una nueva autoridad:

clip_image013[6]

 

Completamos los campos con los datos de nuestra empresa seleccionando en la opción Method “Create an internal Certificate Authority”:

clip_image014[6]clip_image015[6]clip_image017[6]

Guardando los cambios con “Save” podemos verificar en la pantalla anterior que ya se ha creado la autoridad certificadora:

clip_image018[6]clip_image020[6]

Ahora crearemos un usuario al cual le generaremos un certificado para poder conectarse a la VPN.

Para ello vamos a System à User Manager

clip_image022[6]

En la pestaña Users pulsamos en el botón (+) para agregar un usuario:

clip_image023[6]clip_image025[6]

 

En nuestro caso crearemos el usuario “vpnuser” y le asignaremos un password.

clip_image026[6]clip_image027[10]clip_image029[6]

Debemos tildar la opción “Click to créate a user certificate” para que al momento de crear el usuario, también nos genere el certificado.

Debemos seleccionar la Autoridad de Certificación creada anteriormente y podemos definir un tiempo de vida para el certificado:

 

clip_image030[6]clip_image032[6]

Luego guardando los cambios con Save y volviendo a ingresar a los datos del usuario veremos el certificado creado:

 

clip_image033[6]clip_image035[6]

Nuestro próximo paso será crear el servidor.

Para esto vamos al menú VPNàOpenVPN:

 

clip_image037[6]

Utilizaremos un Wizard llendo a la pestaña del mismo nombre y pulsadon el botón (+):

 

clip_image038[6]clip_image040[6]

En Type of Server, seleccionaremos Local User Access, ya que nuestros usuarios se crearán desde el firewall:

 

clip_image042[6]

 

Pulsamos Next, y seleccionamos la autoridad de certificación creada:

clip_image044[6]

 

Pulsando Next, generaremos nuestro certificado de Servidor, pulsando el botón Add new Certificate

clip_image045[6]clip_image047[6]

 

En esta pantalla generaremos el certificado que estará en nuestro server. Completamos con los datos de nuestra empresa y pulsamos en “Create New Certificate

clip_image049[6]

 

Luego configuraremos los siguientes campos:

Inteface: Será la placa que estará escuchando las conexiones entrantes de la VPN. Por lo general es nuestra WAN.

Protocol: Seleccionaremos UPD en este ejemplo.

Local Port: por defecto OpenVPN utiliza el 1194. Y lo dejaremos así. Aunque si se cambia no hay problemas.

Tildar la opción TLS Autentication y Generate TLS Key.

clip_image050[10]clip_image051[6]clip_image052[6]clip_image053[10]clip_image053[11]clip_image055[6]

Seleccionamos un algoritmo de encriptación. Ej: AES-128:

clip_image056[6]clip_image058[6]

 

En la misma pantalla tambien configuraremos la red que se utilizará en nuestro tunel:

Tunnel Network: de acuerdo al ejemplo del primer gráfico ingresamos la red: 172.168.1.0/24

En Local Network debemos configurar la red de nuestra LAN Interna, en este caso: 192.168.2.0/24

clip_image059[6]clip_image060[6]clip_image061[6]clip_image062[6]clip_image064[6]

 

También habilitamos la compresión del tunel.

Tildamos la opción Dynamic IP y Adddress Pool:

clip_image065[10]clip_image065[11]clip_image067[6]

 

El resto de las configuraciones por ahora no las modificaremos, y pulsamos Next:

clip_image069[6]

 

En este paso seleccionamos las opciones Firewall Rule y OpenVPN rule para que el asistente nos genere las reglas para permitir la conexión con la VPN en el firewall:

clip_image070[6]clip_image071[6]clip_image073[6]

Pulsando NEXT, finaliza la configuración:

 

clip_image075[6]

Ahora verificamos en Firewall à Rules que se hayan creados las reglas correspondientes en las interfaces WAN y OpenVPN:

 

clip_image076[6]clip_image078[6]

 

clip_image079[6]clip_image081[6]

 

El siguiente paso consiste en exportar desde nuestro firewall el paquete de instalación de OpenVPN y la configuración para nuestro cliente. Básicamente el paquete instalado en el primer paso nos permitirá obtener el instalador del Cliente VPN y su configuración para cada usuario generado en el sistema. En el ejemplo es nuestro usrvpn creado anteriormente.

Para hacer esto vamos al menú VPNàOpenVPNàClient Export

clip_image083[6]

Seleccionamos nuestro servidor y hacemos un clic en el link Windows Installer:

clip_image084[6]clip_image085[6]clip_image086[6]clip_image088[6]

Guardamos el paquete generado para nuestro usuario y luego lo instalaremos en la PC que se conectará remotamente a nuestra red.

clip_image089[6]clip_image091[6]

Ejecutamos el instalador:

clip_image093[6]

Pulsamos Next

clip_image095[6]

Aceptamos el acuerdo.

clip_image097[6]

Dejamos tildada todas las opciones y NEXT

 

clip_image099[6]

Pulsamos Install

clip_image101[6]

Se nos muestra el mensaje de que se quiere añador un dispositivo, al cual tildamos la opción Siempre confiar en el Software de OpenVPN Technologies INC y pulsamos Instalar.

clip_image103[6]

Una vez completada la opción pulsamos Next para finalizar.

Si nos vamos al administrador de dispositivos de red, podremos comprobar que se ha agregado un nuevo adaptador de red:

clip_image104[6]clip_image106[6]

Este es quien controlará nuestra conexión.

En la carpeta: c:\Program Files\OpenVPN\config\ podremos encontrar que se encuentran los certificados para la conexión y la configuración necesaria para establecer la VPN. Aquí no de debe modificar nada, es solo para comprobar que se encuentren estos archivos:

clip_image107[6]clip_image109[6]

En nuestro escritorio se generó un acceso directo a la interfaz de usuario del cliente VPN, al cual accederemos e ingresaremos nuestro usuario y clave generados en nuestro firewall:

 

clip_image110[6]clip_image111[6]clip_image027[11]clip_image113[6]

Pulsando OK, el sistema tratará de conectarse.

Debemos agregar estas excepciones al firewall de Windows si es que lo tenemos activado:

clip_image114[6]clip_image115[6]clip_image117[6]

El sistema genera la conexión segura:

clip_image119[6]

Y una vez establecida, podremos ver en nuestro adaptador de red de OpenVPN que ya se encuentra conectado:

clip_image050[11]clip_image121[6]

Si entramos a las propiedades de la placa corroboraremos que se nos ha asignado una IP del rango que habíamos definido para nuestra VPN:

clip_image122[6]clip_image124[6]

Finalmente ya estamos conectados a nuestra red interna desde cualquier parte del mundo con internet y podremos hacer uso de todos los servicios de los que nuestra LAN disponga.

Descargar Tutorial: Tutorial Configurar PFSense con OpenVPN Road Warrior

Saludos.

Publicado en: Comunicaciones, Informática, PFSense, Sistemas Operativos Etiquetado con: , , , , ,
29 comments on “Configuración de PFSense 2.0 con OpenVPN Road Warrior.
  1. Jota dice:

    Y cómo hacer que los equipos Windows mantengan siempre la misma IP amigo?

  2. Orlando Curieles dice:

    Buenos días Amigo realicé todos los pasos que señalas y me funciona perfecto en mi vlan local puedo hacer las pruebas y conectarme correctamente desde una maquina virtual con NAT, pero cuando lo hago desde afuera de mi oficina me da un error, cambie la ip en el archivo de configuración por mi IP publica y en la consola del firewall veo que esta bloqueando la conexión, no se supone que esta configuración debería hacer la excepción para la VPN ? Gracias de antemano. Excelente Tutorial

  3. Gerardo Zambrano dice:

    estimado logro tene acceso a la red local en los clientes vpn como hago ? no puedo hacer pin a los pc dentro de la lan

  4. Gerardo, has habilitado el tráfico entre la VPN y la LAN?
    Has habilitado el protocolo ICMP?
    Saludos.

  5. jorge dice:

    Estimados ,
    debo informar que siguiendo todos los pasos , no me fue posible realizar la conexion , puesto que no me aparecen los certificados en la ruta que si indica , ahora en el escritorio si esta el icono que se menciona , pero no me deja ingresar user ni pass , espero poder

  6. David Fabry dice:

    Excelente tutorial Gerónimo, muy bien documentados los pasos, más claro no puede ser. Felicitaciones y muchas gracias por publicarlo, me fue extremadamente útil.

    Cordiales saludos

  7. Enrique Del Rio dice:

    Solucion a la NO conexion:
    A mi me dio el mismo problema, pero todo radicaba en dos cosas,
    1.- El router de conexion a la WAN estaba bloquenado las cosas, lo configure en DMZ, para que tomara la Ip publica.
    2.- Al correr la exportacion del certificado arriba dice si es desde la conexion LAN, WAN, y en mi caso la Dyndns, la seleccionas y listo

    Corre a una velocidad impresionate, parece que estas dentro de LAN.
    Ya hice pruebas con iphone, ipad y win xp y en todas de forma formidable

  8. KuzCO dice:

    muy bueno el tuto, gracias.
    tengo una duda, de que forma lo puedo configurar para que no pida usuario y contraseña al conectarse.gracias

  9. Cristian Oyanadel dice:

    el nombre roadwarrior es solo poner algo,,,se pude poner cualquier nombre?

    Gracias muy buen manual…espero poder hacerla funcionar para comentar..

  10. camilo zuluaga dice:

    hola amigo excelente tuto todo me sale perfecto pero no puedo hacer conexion algun equipo de mi LAN y tengo habilitado para que se vean entre si y tambn el protocolo ICMP.

    salu2

  11. David Taborda dice:

    Hola!…..excelente tuto, lo he configurado para la empresa donde trabajo y funciona muy bien.
    Tengo una pregunta. ¿Cuando un cliente esta conectado por vpn todo el trafico que se genera desde el cliente va por la vpn?. Lo pregunto pues cuando estoy conectado por vpn desde el cliente no puedo navegar por internet, pero cuando culmino la conexión vpn todo vuelve a la normalidad en el cliente.

    Saludo.

  12. Luis Acevedo dice:

    Me sale un error Error creating HKLM\SOFTWARE\OpenVPN-GUI key. Que es?

  13. Farith Bernal dice:

    Geronimo exelente tutorial, se me presento un problema con el gateway de mi LAN, en opciones avanzadas de la conexion de vpn lo agregue en la puerta de enlace y listo puedo acceder a todos los servicios de mi LAN !! Gracias !!

  14. JUAN dice:

    Hermano, excelente información.

    funciona excelentemente.

    mil gracias…

  15. Sergio Sam dice:

    Me sale un error Error creating HKLM\SOFTWARE\OpenVPN-GUI key. Que es?

    pone boton derecho y ejecuta el programa como admin y ahi te crea la key amigoooooo

  16. juan david perez dice:

    config has failed ayuda

  17. Antonio Baleon dice:

    Luis Acevedo y Sergio Sam en el acceso directo de openvpn gui click derecho ejecutar como administrador y listo asi me funciono a mi, espero les funcione, saludos.

  18. Carlos Andres Caro dice:

    Hola, Realicé todos los pasos hasta cuando ingreso al export del cliente pero cuando ingreso ahí no me aparece en la lista el vpnuser que cree en el servidor, me pueden decir por que puede puede suceder esto por favor?

  19. Felipe Marriaga Benavides dice:

    Hola muchas gracias por el tutorial,

    Tengo una pregunta, quiero conectarme por medio de VPN y desde ahi conectarme a pfSense con la direccion IP que es 172.18.0.1 pero esto no ha sido posible, hay algun bloqueo para los clientes que se conectan por VPN?

    Al momento de conectarme me da la IP 172.18.0.6 entonces no se porque no me puedo conectar a pfSense ni tampoco al servidor de datos

    No pasa nada que tenga otra IP local que 192.168.50.110 y por VPN la 172.18.0.6 y al momento de intentar conectarme a pfSense piense que estoy usando 192.168.50.110 o no se?

    Agradezco una ayuda

  20. Mariano dice:

    Muy bueno el tuto, lo segui 100% y resulto, pero me gustaría que nos indiques como se peude hacer para que no pida usuario y contraseña al conectarse. Perdon si repito la pregunta de mas arriba. un saludo a todos.

  21. Francisco Estrada dice:

    Que tal amigos, tengo un problema, hasta hace un mes el servicio y la configuracion indicada por este medio funciono de maravilla, tuve que realizar unos cambios y debido a esto, botar toda la configuracion OpenVpn establecida, empezando de cero.

    Ahora hago los mismos pasos y me encuentro con que logro realizar la conexion entre la red OPENVPN 10.0.1.X que fue la asignada con el server y se me entrega la ip 6, se crearon la rutas, pero aun asi no tengo comunicacion entre la red de mi LAN y esta, alguna sugerencia ?

  22. jesus dice:

    Hola que tal, antes que nada felicidades es un buen tutorial, he seguido sus pasos tal cual, pero tengo un problema, a la hora de conectarme remotamente me marca estos errores:

    TLS Error: TLS key negotiation failed
    TLS Error: TLS handshake failed

    Localmente si puedo acceder.

  23. Camilo dice:

    muy util gracias

  24. Carlos Hugo Martín Carranza Olivera dice:

    Excelente tutorial, pero tengo una duda.
    Mi escenario es el siguientes:
    pfSense:
    IP Wan: 200.48.30.40
    IP Lan: 192.168.3.5
    Red Interna: 192.168.3.0/24
    Red Tunel: 10.0.1.0/24

    Consigo realizar la conexión al pfSense y también consigo hacerle ping al 192.168.3.5; pero no consigo hacerle ping a los equipos que se encuentran dentro de la red 192.168.3.0/24. Por favor me podrías indicar si se debe a un error en el firewall.

  25. Jhonnyd dice:

    Muy buen manual.. lo seguí paso a paso.. y genial.. me agradezco este tipo de ayuda..!

  26. lmira dice:

    buenas tardes

    realice cada paso como mencionas aqui en el pfsense ver. 2.2.4 al pide de la letra como indicas pero me salen los siguientes errores

    UDPv4 link local (bound): [undef]
    UDPv4 link remote: [AF_INET]10.0.2.15:1194
    TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    TLS Error: TLS handshake failed
    SIGUSR1[soft,tls-error] received, process restarting
    UDPv4 link local (bound): [undef]
    UDPv4 link remote: [AF_INET]10.0.2.15:1194

  27. lmira dice:

    no se como avanzar.

  28. loverdog dice:

    Hola amigo, no logro hacer ping entre redes. Gracias.

  29. Daniel dice:

    hola tengo una duda mira yo cree el tunel y todo pero cuando me conecto pierdo la conexion de internet osea tengo internet pero no puedo navegar, cuando desconecto del programa (openvpn) vuelvo a tener internet. yo e probado el openvpn y navega super bn pero con el tunel que yo creo no navega me puedes ayudar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Web & Empresas