Artículos en esta sección

Guía de integración de OpenVPN para Linux

Avatar
Jorge Merino
  • Actualización
Seguir

 

Los clientes de EMnify pueden crear su propia Red Privada Virtual para sus dispositivos móviles IoT/M2M equipados con SIM EMnify. El tráfico de datos se intercambiará entre los dispositivos y el servidor de aplicaciones a través de un túnel OpenVPN, permitiendo la comunicación directa con las IPs de los dispositivos móviles (no se aplica NAT).

El túnel se establece entre la Red Central de EMnify y el gateway o servidor VPN del cliente.

OpenVPN Network Architecture

Cualquier tráfico intercambiado con los dispositivos móviles es encriptado antes de ser transmitido a través de la Internet pública, añadiendo así una capa adicional de seguridad y privacidad. Para ello no es necesario instalar ningún software VPN en el dispositivo ni realizar ningún cambio de configuración, el APN EMnify predeterminado también soporta VPN. 

Configuración del Perfil de servicios

Asegúrese que Política de Servicios asignada a los Dispositivos Conectados tiene la configuración correcta: elija la salida a internet con la opción de VPN.

mceclip0.png

Configurando el cliente OpenVPN en Linux/Ubuntu

Instalar el software OpenVPN

Instalar el paquete de openvpn 

sudo apt-get install openvpn

 

Descargue el archivo de configuración

 

mceclip0.png

Por favor guarde el archivo de configuración en /etc/openvpn.

 

Crear credenciales de acceso

A continuación, cree un archivo llamado "credentials.txt" en la carpeta /etc/openvpn. Este contendrá la información para autenticar su sesión, ya sea a través de sus credenciales de usuario (email y contraseña), o con un token de la aplicación (recomendado).

Autenticación con credenciales de usuario

El contenido del archivo credentials.txt sólo debe tener las dos líneas siguientes:

 

username@domain.com
YourPassword

Autenticación con token de aplicación

Cuando ejecute el cliente OpenVPN en un gateway VPN o servidor de aplicaciones, se recomienda utilizar un token de aplicación. En ese caso, la primera línea del archivo credentials.txt debe rellenarse con el identificador de la organización EMnify y el token de la aplicación en lugar de la contraseña.

Puede crear tokens de aplicación en el portal EMnify, misma sección desde la que descargó el archivo de configuración. Seleccione "Crear nuevo token de aplicación" y copie+pegue el token en el archivo de credenciales. El ID de su organización también está disponible allí.

 

orgId
ApplicationToken

Una vez realizado todo, puede ejecutar openVPN desde su equipo

 

 

Inicio y supervisión de la conexión OpenVPN

Ahora puede iniciar el cliente VPN ejecutando el siguiente comando

sudo service openvpn start

OpenVPN iniciará sesión en /var/log/syslog, si todo funciona así lo desea:

Jul 12 17:53:55 openvpn-client ovpn-client[3027]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jul 12 17:53:55 openvpn-client ovpn-client[3027]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jul 12 17:53:55 openvpn-client ovpn-client[3027]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Jul 12 17:53:55 openvpn-client ovpn-client[3027]: [openvpn.emnify.net] Peer Connection Initiated with [AF_INET]52.209.x.y:1194
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: SENT CONTROL [openvpn.emnify.net]: 'PUSH_REQUEST' (status=1)
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: PUSH: Received control message: 'PUSH_REPLY,route 10.64.0.1,topology net30,ping 1,ping-restart 5,route 10.x.y.z 255.255.128.0,ifconfig 10.64.0.224 10.64.0.225'
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: TUN/TAP device tun0 opened
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: /sbin/route add -net 10.64.0.1 netmask 255.255.255.255 gw 10.64.0.225
Jul 12 17:53:57 openvpn-client ovpn-client[3027]: /sbin/route add -net 10.x.y.z netmask 255.255.128.0 gw 10.64.0.225

 

Encontrar la IP privada estática de su cliente VPN

El servidor EMnify OpenVPN asignará una dirección IP estática a la interfaz tun de su cliente VPN, esta IP también permanecerá igual cuando su cliente VPN se reconecte o si mueve el túnel a una máquina diferente. Así que puede usarlo en sus dispositivos móviles para direccionar su aplicación, sin embargo nunca debe configurar la IP directamente en sus dispositivos, sino usar un DNS para resolverlo.

Una vez que el túnel es establecido usted puede ver esa dirección IP en su interfaz de tun:

 

ubuntu@openvpn-client:~$ ip a s tun0
14: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none 
    inet 10.64.0.224 peer 10.64.0.225/32 scope global tun0

En este ejemplo la dirección IP es 10.64.0.224

Pruebas exitosas de conectividad de datos

Si el túnel VPN se establece correctamente, podrá conectarse directamente a las direcciones IP privadas de sus dispositivos móviles.

Para probar puedes elegir cualquiera de tus endpoints que como sesión de datos actualmente activa, para acceder al Portal EMnify y seleccionar uno de tus endpoints, en los detalles verás si está actualmente online o no y verás la dirección IP que tiene asignada.

Ahora podrá hacer ping a esa dirección IP privada:

 

root@openvpn-client:~# ping 10.x.y.z
PING 10.x.y.z (10.x.y.z) 56(84) bytes of data.
64 bytes from 10.x.y.z: icmp_req=1 ttl=62 time=72 ms
64 bytes from 10.x.y.z: icmp_req=2 ttl=62 time=80 ms
64 bytes from 10.x.y.z: icmp_req=3 ttl=62 time=75 ms

Para que esto funcione, su dispositivo necesita ejecutar una pila de protocolo IP que esté respondiendo a la petición de eco ICMP, puede que no sea el caso de los dispositivos embebidos que implementan sólo una funcionalidad parcial de esta pila de protocolo IP.

Podrá utilizar cualquier protocolo de red, por ejemplo, si su dispositivo está ejecutando un demonio sshd, podrá acceder a él a través de ssh.

 

Habilitación de acceso para servidores detrás del cliente VPN

Si tiene varios servidores detrás de su puerta de enlace VPN que necesitan comunicarse con su dispositivo móvil, puede aplicar enmascaramiento utilizando iptables para ocultarlos detrás de la única dirección IP de su cliente VPN.

Primero necesita habilitar el reenvío IP en su gateway VPN (si no está ya activo) editando su /etc/sysctl.conf y configurando net.ipv4.ip_forward=1, después cargue la configuración con sudo sysctl -p /etc/sysctl.conf

Después de eso necesita habilitar el enmascaramiento para la interfaz tun ejecutando

 

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

También puede reenviar conexiones que llegan a puertos específicos a un servidor de aplicaciones detrás de su gateway VPN utilizando DNAT, por ejemplo, para reenviar a un servidor HTTP interno con IP 192.168.100.21 use:

sudo iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.21

Si desea que estos ajustes sean persistentes puede utilizar el paquete iptables-persistent.

Artículos relacionados

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.