En muchas ocasiones necesitamos utilizar conexiones más seguras de las que el propio protocolo que vamos a usar nos facilita. (Por ejemplo, para una red inalámbrica).
En este Artículo se describe brevemente como montar una VPN con openvpn en 2 minutos.
Son muchas las veces que nos encontramos en lugares de "riesgo" (una red pública o inalámbrica) y necesitamos transmitir una serie de datos, que por unos motivos o por otros pueden ser sniffeados por alguien.
Es recomendable utilizar siempre protocolos ya encriptados, ssh, pop3s, imaps, https … pero hay ocasiones en las que no podemos prescindir de ellos y lo que queremos es dotarles de una mayor privacidad 🙂
Con openvpn vamos a poder tunelizar y encriptar todas las conexiones de una sola tirada, e incluso vamos a poder comprimilas, lo que puede aumentar el rendimiento de una red. (y aumentar también el uso de CPU de los nodos, claro)
VPN significa Virtual Private Network y como ya he dicho antes sirve para crear una conexión independiente punto a punto y poderla cifrarla.
Para instalar openvpn podemos bajarnos los sources y compilarlos de aquí o podemos buscar en el gestor de paquetes de nuestra distribucion … en debian # apt-get install openvpn.
Lo primero que tenemos que hacer es generar la clave que vamos a utilizar para la VPN, para ello:
# openvpn –genkey –secret clave.key
Ahora tenemos que copiar esta clave a los nodos que van a formar la VPN, sería interesante pasarla por scp o algún otro protocolo que facilite cifrado … no sería muy lógico pasarla por ftp :-).
# scp clave.key root@ip_segundo_nodo:/etc/vpn/clave.key
Es nesario recompilar el kernel habilitando soporte para:
en Device Drivers -> Networking support.
Procedemos a cargar el módulo:
modprobe tun
Comprobamos que tenemos /dev/net/tun, si no existe lo creamos con:
# mknod /dev/net/tun c 10 200
Llegamos a lo mas importante, configurar el tunel, para ello explicaré cual es mi configuración de red, y pondré unos ejemplos, luego cada uno que lo adapte a sus requerimientos …
Como dije anteriormente, yo utilizo el tunel entre mi portatil y el servidor que tengo haciendo las veces de router dentro de la red wireless.
En la red wireless tengo el rango de ips 10.0.0.0/24 y para el tunel utilizaré el rango 10.0.1.0/24.
La ip del portatil es: 10.0.0.1 (si usas dhcp asegurate de configuralo adecuadamente para que siempre asigne la misma ip)
La ip del servidor es: 10.0.0.254
Finalmente solo nos queda lanzar openvpn de la siguiente forma:
*En el primer nodo (servidor):
# openvpn –remote 10.0.0.1 –dev tun0 –ifconfig 10.0.1.254 10.0.1.1 –secret /etc/openvpn/clave.key –daemon –comp-lzo
Donde 10.0.0.1 es la ip del segundo nodo (el portatil este caso), 10.0.1.254 es la ip del primer nodo dentro de la VPN (el servidor en mi ejemplo) y 10.0.1.1 es la ip del segundo nodo dentro de la VPN (el portatil).
Con –daemon lo lanzamos en segundo plano y con –comp-lzo habilitamos el uso de compresión.
*En el segundo nodo (portatil):
# openvpn –remote 10.0.0.254 –dev tun0 –ifconfig 10.0.1.1 10.0.1.254 –secret /etc/openvpn/clave.key –daemon –comp-lzo
Y ya tendremos una bonita VPN, ahora todo el tráfico que vaya encaminado hacia 10.0.1.254 pasará por dentro de la VPN y si algún sniffer quiere hacer la gracia, solo verá muchos y bonitos paquetes UDP 🙂
En mi caso, como usaba el servidor (10.0.0.254) como router tenia en el portatil como gateway 10.0.0.254, ahora quiero que utilice 10.0.1.254 que es más seguro, asi que:
# route del default gw 10.0.0.254
y
# route add default gw 10.0.1.254
Y con esto ya podemos preocuparnos algo menos de la privacidad de nuestras comunicaciones 😀
Por Javier Gonzalez
(http://www.javier-gonzalez.com)