OpenVPN sin claves pre-compartidas (shared keys)



  • Hola!!

    Alguien a configurado OpenVPN site to site sin utilizar claves pre-compartidas? La gente habla de hacer tuneles vpn site to site pero siempre con este tipo de claves, que para mi entender es mas inseguro.

    No tengo ningún problema cuando utilizo OpenVPN con certificados cuando quiero conectarme desde un PC de internet al servidor OpenVPN. Pero no encuentro la manera de utilizarlo cuando es una Lan, no puedo ver ningun PC. Creo que es un problema de tablas de ruteo, pero no se como hacerlo.

    Teneis alguna idea?

    Gracias



  • ¡Hola!

    ¿ Ya tienes autorizado el tráfico de tu VPN en la WAN por la que entras ?

    http://www.bellera.cat/josep/pfsense/imatges/rules_WAN2.gif

    Revisa también tus reglas en las LAN, no sea que tengas alguna que esté cortando tu acceso …

    Yo llego (desde casa) a todos los equipos de mis tres LAN entrando por una de las WAN:

    http://www.bellera.cat/josep/pfsense/imatges/cas_estudi.jpg

    Revisa tus [Custom Options] en OpenVPN:

    http://www.bellera.cat/josep/pfsense/imatges/openvpn_server_edit_3.gif

    (observa que no hace falta enrutar tu primera LAN, pero sí las otras).

    Las [Custom Options] se pueden imponer también desde el lado del cliente:

    http://www.bellera.cat/josep/pfsense/openvpn_no_dhcp_cs.html

    Saludos,

    Josep Pujadas



  • Hola!

    El tràfico està autorizado, ya que desde Lan a Lan con Shared Keys funciona perfectamente. Ademàs a mi también me funciona el tema de certificados PKI utilizando cliente windows, linux i mac. El problema es que no se com hacer funcionar esto con PKI:

    LAN–PFSENSE-----INTERNET-----------LAN1
        --PFSENSE-----            -----------LAN2

    sALUDOS



  • ¡Hola de nuevo!

    No entiendo el esquema. ¿ Qué quieres hacer ? ¿ Tienes dos pfSense, en lugares distintos y quieres una VPN entre ellos a través de Internet ?

    Saludos,

    Josep Pujadas



  • Perdona si no me he explicado bien.

    Tengo una oficina central con una adsl, la cual tiene su pfsense. Ademas dos delegaciones con sus respectivas adsl y su pfsense.

    Entonces mi idea es la de conectar todos los pfsense a traves de OpenVPN sin tener que utilizar shared keys ( ya que solo admite una conexión por vpn y un puerto ).

    Sabes si es posible hacer esto con certificados pki?

    Si utilizo  clave pre-compartida (inseguro) me conecto y por ejemplo puedo hacer pings entre si desde los dos lados sin problemas.

    Puede ser que con certificado pki tenga que hacer varios enlaces con diferentes puertos ( Delegación 1: 1194, Delegación 2: ) ?

    Igualmente voy a seguir, a ver si puedo solucionar este tema.

    Saludos



  • Tranquilo, no hay nada que haya que perdonar …

    He estado mirando en Google:

    openvpn "lan to lan"
    openvpn "site to site"
    openvpn site2site

    En un foro he encontrado que se daba una solución diciéndole al openvpn de un cliente Windows que hicera de router. Eso se configura en las opciones de openvpn del cliente Windows. Me parece, sin embargo, una solución muy rebuscada.

    Supongo que para hacerlo con "shared keys" estarás basándote en http://www.uplinksecurity.de/data/pfsense-ovpn.pdf (a partir de la página 18) ...

    Igual es un problema de negociación de la comunicación SSL. No he usado OpenSSL nunca para generar certificados y claves en comunicaciones Servidor-Servidor. Siempre lo he hecho en casos Cliente-Servidor. Igual el configurador web de pfSense sólo está previsto para casos Servidor-Cliente ...

    Veo que mucha gente emplea IPSEC para casos como el tuyo. Y también veo que en IPSEC está el tema de los certificados ... Hace unos años (aún están funcionando) monté varias VPN empleando equipos ZyXEL ZyWALL y protocolo IPSEC. Recuerdo que los últimos que manejé tenían ya la opción de basarse en certificados. Igual IPSEC se ajusta más a lo que necesitas ...

    Saludos,

    Josep Pujadas



  • Hola!

    Esto es lo que sale en todos los sitios de internet, incluido en este foro :  "Supongo que para hacerlo con "shared keys" estarás basándote en http://www.uplinksecurity.de/data/pfsense-ovpn.pdf (a partir de la página 18) …" , pero esta opción la veo más insegura cuando estas buscando mayor seguridad ya que estas enviando la clave-precompartida para autentificar. (con tiempo es posible descifrarla, a no ser que canvies la clave muy a menudo ).

    Por este motivo es mejor utilizar claves privadas con claves pre-compartidas, aqui si tienes seguridad!!

    He llegado a pensar lo mismo que me has dicho: "Igual el configurador web de pfSense sólo está previsto para casos Servidor-Cliente ..."

    Itentaré seguir con este tema haber si puedo sacar la solución, ya que OpenVPN tiene caracteristicas muy buenas que Ipsec no tiene.

    http://es.wikibooks.org/wiki/OpenVPN/Marco_Te%C3%B3rico

    Si encuentro la solución, lo comentaré

    Gracias!!


Log in to reply