OpenVPN Red a Red con certificados PKI
-
Hola chicos!
Despues de buscar información sobre como montar dos redes utilizando certificados PKI en lugar se Claves pre-compartidas, creo que voy llegando a su fin.
Mire la web http://openvpn.net/howto.html#scope y en el tercer apartado "Including multiple machines on the client side when using a routed VPN (dev tun)", habla de como conectar dos redes con certificados.
En esta parte tengo dos dudas/problemas en pfSense.
Una duda es cuando te dicen que cree un archivo en "client-config-dir ccd" en pfSense en client-config-dir openvpn_csc. Sabeis porque no se guarda el archivo en este directorio cuando reinicias pfSense (Actualmente estoy utilizando pfSense instalado en disco).
Log OpenVPN funcionado:
openvpn[6937]: AAA.BBB.CCC.DDD:1195 [client1] Peer Connection Initiated with AAA.BBB.CCC.DDD:1195
openvpn[6937]: AAA.BBB.CCC.DDD:1195 LZO compression initialized
openvpn[6937]: AAA.BBB.CCC.DDD:1195 Re-using SSL/TLS context
openvpn[6937]: Initialization Sequence CompletedClaro que como no puedo hacer ni un ping, de tanto en tanto en log sale:
client1/AAA.BBB.CCC.DDD:1195 [camp] Inactivity timeout (–ping-restart), restarting
Hablan de añadir rutas pero no lo acabo de entender.
Alguna idea?
Nota: En este mismo pfsense tengo creada vpn con claves pre-compartidas y roadwarriors sin problemas.
-
¡Hola!
¿Puedes aclarar exactamente dónde metes el archivo en pfSense y con qué nombre? No he terminado de entender bien tu explicación.
Saludos,
Josep Pujadas
-
Hola!
El archivo lo creamos, en el caso de pfSense en /var/etc/openvpn_csc/client1; client1 es el nombre que colocamos en "common name" al crear los certificados para el cliente. Dentro del archivo colocamos la ruta con el comando "ej: iroute 192.168.2.0 255.255.255.0" es la ruta de un cliente.
"Aquí lo que le indicamos al servidor es que al conectarse client1 (este cliente remoto que es un pfSense con una red detrás) cree una ruta hacia la red "ej: 192.168.2.0/24 que vaya hacia ese cliente remoto. Con eso logramos que las máquinas de la red del servidor puedan ver a las del cliente."
Aquí explica parte de esta explicación " http://openvpn.net/howto.html#scope "
Como decia antes, creo que es un problema de rutas.
Saludos
-
¡Hola!
La filosofía de pfSense es que todo se configura vía su interfase web y la configuración se guarda en /cf/conf/config.xml.
Cuando pfSense arranca lee su config.xml y reconstruye a partir de él toda su configuración. Es por ello que te debe desaparecer el archivo.
Tendrías que mirar si en config.xml se puede meter lo que quieres hacer. Si fuera así, descargas tu configuración XML en un equipo, la editas y la vuelves a cargar, ya que /cf/conf/config.xml está en un punto de montaje de sólo lectura y no se puede "tocar" directamente.
Si no es así habría que mirar los scripts de arranque de pfSense y parchearlos.
Saludos,
Josep Pujadas
-
Hola!!
Gracias, pero creo que pfSense actualmente no está preparado para que se cree un archivo de configuraciones especiales para OpenVPN. El archivo de configuración config.xml, simplemente hay los datos para que pfSense pueda ejecutar las reglas y configuraciones pertinentes que el administrador a creado, pero por lo que puedo ver con un archivo xml no se le puede decir que cree un archivo en tal directorio. Esto como bien tu dices debe estar en los scripts de arranque.
Saludos
-
Hola!
He solucionado el problema de crear un archivo en pfsense sin que al rebotar pfSense no elimine el contenido. Simplemente se crea otra carpeta llamada ccd con su contenido correspondiente.
Acontinuación añades una nueva línea en "custom options" con el contenido "client-config-dir ccd".
Con esto funciona este apartado. El problema es si utilizas la versión embedded!.
Ahora solo me falta que funcione el enrutadao de las dos redes con certificados PKI.
Saludos
-
¡Formidable!
Si logras hacerlo funcionar estaría bien que lo pudiéramos documentar. Lo hablamos …
Nota: Embedded está pensada para firmware y CF (Compact Flash). Es lógico que no se puedan alterar sus sistemas de ficheros. Pero siempre se puede construir una Embedded parcheada. Hace unos meses hize modificaciones a la Embedded montándola como un sistema de archivos de lectura/escritura en una de mis máquinas FreeBSD, para después grabarla en una CF ...
Saludos,
Josep Pujadas
-
Hola!
Rectifico lo dicho!! en pfSense Embedded también te deja en ciertos sitios, escribir en la compact flash.
es decir que te permite crear una carpeta ccd con sus respectivos archivos de configuración.Saludos
