Artículos en esta sección

Guía de integración de OpenVPN para Linux

Avatar
Andrea Pani
  • Actualización
Seguir

 

Los clientes de EMnify pueden crear su propia Red Privada Virtual para sus dispositivos móviles IoT/M2M equipados con SIM EMnify. El tráfico de datos se intercambiará entre los dispositivos y el servidor de aplicaciones a través de un túnel OpenVPN, permitiendo la comunicación directa con las IPs de los dispositivos móviles (no se aplica NAT).

El túnel se establece entre la Red Central de EMnify y el gateway o servidor VPN del cliente.

OpenVPN Network Architecture

Cualquier tráfico intercambiado con los dispositivos móviles es encriptado antes de ser transmitido a través de la Internet pública, añadiendo así una capa adicional de seguridad y privacidad. Para ello no es necesario instalar ningún software VPN en el dispositivo ni realizar ningún cambio de configuración, el APN EMnify predeterminado también soporta flujos VPN. 

Configuración del Perfil de servicios

Asegúrese que el perfil de servicios asignado a los endpoints que desea accesar usando la VPN, tiene la configuración correcta: elija la salida a internet con la opción de VPN.

2018-12-03_11h38_23.png

Configurando el cliente OpenVPN en Linux/Ubuntu

Instalar el software OpenVPN

Instalar el paquete de openvpn 

sudo apt-get install openvpn

Log in with your user account on the EMnify Portal and select the "Link" Icon on the top/right. From there you can download a pre-configured configuration file, the filename is client.conf

Download and Install VPN Configuration File

Please store that file on your server in the folder /etc/openvpn.

Create Credentials for Authentication

In the next steps you need to create a file called credentials.txt in the folder /etc/openvpn. You can choose to use your user credentials to authenticate or to use an application token (recommended).

Authentication with User Credentials

The content of the credentials.txt must be just two lines, first line your username and second your password.

 

Inicie sesión con su cuenta de usuario en el Portal EMnify y seleccione el icono "Link" en la parte superior derecha. Desde allí puede descargar un archivo de configuración preconfigurado, el nombre del archivo es client.conf

Descargar e instalar el archivo de configuración de VPN

Por favor, guarde ese archivo en su servidor en la carpeta /etc/openvpn.

Crear credenciales para la autenticación

En los siguientes pasos debe crear un archivo llamado credentials.txt en la carpeta /etc/openvpn. Puede optar por utilizar sus credenciales de usuario para autenticarse o utilizar un token de la aplicación (recomendado).

Autenticación con credenciales de usuario

El contenido de credentials.txt debe ser de sólo dos líneas, la primera línea su nombre de usuario y la segunda su contraseña.

username@domain.com
YourPassword

Autenticación con token de aplicación

Si no desea almacenar sus credenciales, también puede elegir introducirlas cada vez que se establezca el túnel VPN. Si prefiere esta opción, comente en la línea "auth-user-pass /etc/openvpn/credentials.txt" del archivo client.conf.

 
Cuando ejecute el cliente OpenVPN en un gateway VPN o servidor de aplicaciones, se recomienda utilizar un token de aplicación. En este caso, la primera línea del archivo credentials.txt debe rellenarse con el identificador de la organización EMnify y en lugar de la contraseña se almacena el token de la aplicación.

Puede crear tokens de aplicación al iniciar sesión en el Portal EMnify, seleccionar el icono "Link" en la parte superior derecha y luego "Create New Application Token". Copie y pegue el token en el archivo de credenciales.

El contenido del archivo de credenciales tendría el siguiente aspecto

orgId
ApplicationToken

 

Al iniciar sesión en el Portal EMnify, se mostrarán estos datos en la configuración de la VPN.

Protección del archivo de credenciales

Debe mantener el archivo credentials.txt sólo legible para root y no por otros usuarios de su servidor. Puede asegurar esto con los siguientes comandos:

sudo chown root:root /etc/openvpn/credentials.txt
sudo chmod 600 /etc/openvpn/credentials.txt

Inicio y supervisión de la conexión OpenVPN

Ahora puede iniciar el cliente VPN ejecutando el siguiente comando

sudo service openvpn start

El demonio openvpn iniciará sesión en /var/log/syslog, si todo funciona así lo desea:

Jul 12 17:53:55 openvpn-client ovpn-client[3027]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jul 12 17:53:55 openvpn-client ovpn-client[3027]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jul 12 17:53:55 openvpn-client ovpn-client[3027]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Jul 12 17:53:55 openvpn-client ovpn-client[3027]: [openvpn.emnify.net] Peer Connection Initiated with [AF_INET]52.209.x.y:1194
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: SENT CONTROL [openvpn.emnify.net]: 'PUSH_REQUEST' (status=1)
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: PUSH: Received control message: 'PUSH_REPLY,route 10.64.0.1,topology net30,ping 1,ping-restart 5,route 10.x.y.z 255.255.128.0,ifconfig 10.64.0.224 10.64.0.225'
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: TUN/TAP device tun0 opened
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: /sbin/route add -net 10.64.0.1 netmask 255.255.255.255 gw 10.64.0.225
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: /sbin/route add -net 10.x.y.z netmask 255.255.128.0 gw 10.64.0.225

Encontrar la IP privada estática de su cliente VPN

El servidor EMnify OpenVPN asignará una dirección IP estática a la interfaz tun de su cliente VPN, esta IP también permanecerá igual cuando su cliente VPN se reconecte o si mueve el túnel a una máquina diferente. Así que puedes usarlo en tus dispositivos móviles para direccionar tu aplicación, sin embargo nunca debes configurar la IP directamente en tus dispositivos, sino usar un DNS para resolverlo.

Una vez que el túnel es establecido usted puede ver esa dirección IP en su interfaz de tun:

 

ubuntu@openvpn-client:~$ ip a s tun0
14: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none 
    inet 10.64.0.224 peer 10.64.0.225/32 scope global tun0

En este ejemplo la dirección IP es 10.64.0.224

Pruebas exitosas de conectividad de datos

Si el túnel VPN se establece correctamente, podrá conectarse directamente a las direcciones IP privadas de sus dispositivos móviles.

Para probar puedes elegir cualquiera de tus endpoints que como sesión de datos actualmente activa, para acceder al Portal EMnify y seleccionar uno de tus endpoints, en los detalles verás si está actualmente online o no y verás la dirección IP que tiene asignada.

Ahora podrá hacer ping a esa dirección IP privada:

 

root@openvpn-client:~# ping 10.x.y.z
PING 10.x.y.z (10.x.y.z) 56(84) bytes of data.
64 bytes from 10.x.y.z: icmp_req=1 ttl=62 time=72 ms
64 bytes from 10.x.y.z: icmp_req=2 ttl=62 time=80 ms
64 bytes from 10.x.y.z: icmp_req=3 ttl=62 time=75 ms

Para que esto funcione, su dispositivo necesita ejecutar una pila de protocolo IP que esté respondiendo a la petición de eco ICMP, puede que no sea el caso de los dispositivos embebidos que implementan sólo una funcionalidad parcial de esta pila de protocolo IP.

Podrá utilizar cualquier protocolo de red, por ejemplo, si su dispositivo está ejecutando un demonio sshd, podrá acceder a él a través de ssh.

 

Habilitación de acceso para servidores detrás del cliente VPN

Si tiene varios servidores detrás de su puerta de enlace VPN que necesitan comunicarse con su dispositivo móvil, puede aplicar enmascaramiento utilizando iptables para ocultarlos detrás de la única dirección IP de su cliente VPN.

Primero necesita habilitar el reenvío IP en su gateway VPN (si no está ya activo) editando su /etc/sysctl.conf y configurando net.ipv4.ip_forward=1, después cargue la configuración con sudo sysctl -p /etc/sysctl.conf

Después de eso necesita habilitar el enmascaramiento para la interfaz tun ejecutando

 

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

También puede reenviar conexiones que llegan a puertos específicos a un servidor de aplicaciones detrás de su gateway VPN utilizando DNAT, por ejemplo, para reenviar a un servidor HTTP interno con IP 192.168.100.21 use:

sudo iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.21

Si desea que estos ajustes sean persistentes puede utilizar el paquete iptables-persistent.

 

Source at GitHub

Artículos relacionados

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.