Redes‎ > ‎Administración de redes‎ > ‎

Configuración de una VPN con OpenVPN

OpenVPN es un cliente/servidor VPN (red privada virtual) multiplataforma. Es compatible con sistemas operativos Microsoft Windows, GNU/Linux, macOS e incluso tiene aplicaciones gratuitas para Android y iOS. Otro punto fuerte de OpenVPN es que algunos fabricantes de routers lo están incorporando en sus equipos, por lo que tendremos la posibilidad de configurar un servidor OpenVPN en nuestro propio router. De esta manera no hará falta usar servicios de terceros, ya sean de pago o gratuitos, podremos utilizar la conexión de nuestra casa para navegar por una VPN. Tan sólo necesitaremos una IP fija o usar un servidor dinámico de DNS (tipo DynDNS, DuckDNS, No-IP, Dynu, etc)


  • OpenVPN es una herramienta de conectividad basada en software libre: SSL, VPN Virtual Private Network. OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente
  •  OpenVPN es uno de los únicos protocolos VPN de código abierto que también tiene su propia aplicación de código abierto (SoftEther es el otro, de la Universidad de Tsukuba ).
  • El protocolo OpenVPN es responsable de manejar las comunicaciones cliente-servidor. Básicamente, ayuda a establecer un “túnel” seguro entre el cliente VPN y el servidor VPN.
  • OpenVPN puede usar UDP (Protocolo de Datagramas de Usuario) o TCP (Protocolo de Control de Transmisión) para transmitir datos.
  • OpenVPN no es exactamente el protocolo más fácil de usar que existe, y configurar una conexión puede ser un poco desalentador.

Para qué sirven las conexiones VPN

Seguro que con las explicaciones anteriores ya te has imaginado unas cuantas situaciones en las que las conexiones VPN podrían ser útiles. Es un secreto a voces que son especialmente importantes en el entorno corporativo, pero sus usos no acaban ni mucho menos ahí. Estos son los principales usos de las conexiones VPN.

  1. Teletrabajo (acceder a una red local)
  2. Evitar censura y bloqueos geográficos de contenido
  3. Capa extra de seguridad
  4. Descargas P2P

Los distintos tipos de configuración existentes son Host to Host, Road to Warrior (Host to LAN) y Net to netNosotros nos focalizaremos en el Road to Warrior o Host to LAN, por ser el más popular de todos y el que seguramente se adaptar a prácticamente las necesidades de de cualquier usuario.

1) La configuración Road to Warrior (Host to LAN mediante túnel) permitirá que múltiples dispositivos u ordenadores se puedan conectar simultáneamente a nuestra red VPN y compartir recursos e informaciones con la red a que se conectan. Por lo tanto en este caso tenemos varios clientes que se pueden conectar de forma independiente al servidor VPN. Para quien precise de más información acerca de este tipo de configuración puede consultar el siguiente enlace.

2) La configuración Host to Host, a diferencia del modo de configuración anterior, únicamente nos permitirá la conexión entre 2 máquinas o dispositivos conectados a Internet o dentro de una red local. Por lo tanto en este caso solamente existe un cliente y un servidor. Además estás 2 máquinas o dispositivos no podrán compartir recursos e informaciones con otros equipos que estén conectados en la misma red LAN.

3) Para finalizar tenemos la configuración Net to Net, Red-red, o LAN to LAN. Esta configuración mayoritariamente es usada en el mundo empresarial. Esta configuración lo que hace es unir redes locales (LAN) ubicadas en distintas ubicaciones geográficas para de esta forma poder compartir información entre todos los clientes de todas las redes. De este modo cada una de las redes locales LAN tiene un punto de acceso o puerta de enlace que proporciona un canal de transmisión seguro entre 2 o más redes.

OpenVPN utiliza un conjunto de protocolos SSL/TLS que trabajan en la capa de transporte, y tenemos dos tipos de funcionamiento:

  • TUN: El controlador TUN emula un dispositivo punto a punto, es utilizado para crear túneles virtuales operando con el protocolo IP. De esta forma, se pueden encapsular todos los paquetes que se transportan a través de él como segmentos TCP o datagramas UDP (más adelante veréis que escogemos UDP en lugar de TCP, y preguntaréis que por qué ya que TCP es conectivo, fiable y orientado a conexión). Las máquinas que queden detrás de cada uno de los extremos del enlace pertenecerán a subredes diferentes.
  • TAP: Simula una interfaz de red Ethernet, más comúnmente conocido como modo puente o bridge, estos túneles virtuales encapsulan directamente paquetes Ethernet. Esta situación permite empaquetar entramados diferentes al IP. Las máquinas situadas detrás de cada uno de los extremos del enlace pueden operar como parte de la misma subred (si se utiliza el protocolo IP). El modo de funcionamiento puente es particularmente útil para enlazar usuarios remotos, ya que éstos pueden conectarse a un mismo servidor y virtualmente formar parte de la red principal, sin embargo, si la red privada donde se conecta el origen coincide con la de destino, tendremos problemas de enrutamiento y la comunicación no funcionará.

Ventajas de las conexiones VPN

Ahora que ya sabemos qué es una conexión VPN y para qué sirve, es hora de resumir una lista de las ventajas e inconvenientes que te supone el uso de esta tecnología. Primero, la parte positiva:

  • Funciona en todas las aplicaciones, pues enruta todo el tráfico de Internet, a diferencia de los servidores proxy, que solo puedes usar en el navegador web y un puñado de aplicaciones más que te dejan configurar las opciones de conexión avanzadas.
  • Se conecta y desconecta fácilmente. Una vez configurado, puedes activar y desactivar la conexión a tu antojo.
  • Seguridad adicional en puntos de acceso WiFi, siempre y cuando la conexión esté cifrada, claro
  • Falseo de tu ubicación, como ya hemos visto en el apartado anterior, una conexión VPN es un modo eficaz de evitar la censura o acceder a contenido limitado a cierta región.
  • Tu proveedor de Internet no puede saber a qué te dedicas en Internet. ¿No te apetece que tu proveedor de Internet sepa que te pasas horas viendo vídeos de gatitos en YouTube? Con una VPN no sabrán a que te dedicas, pero ojo, que sí lo sabrá la compañía que gestiona el VPN.

Cosas que debes tener en cuenta

Hasta ahora todo muy bonito, usar conexiones VPN parece estar lleno de ventajas: más seguridad, privacidad mejorada, salto de los bloqueos geográficos... Antes de que te lances a comprar un servicio de VPN o registrarte en uno gratuito, hay unos cuantos apartados que debes tener en cuenta:

  • El precio. Aunque hay servicios VPN gratuitos, obviamente no puedes esperar mucho de ellos, pues con frecuencia estarán muy limitados, serán muy lentos o no sean muy de fiar. Hay algunas excepciones, no obstante.
  • La velocidad se resiente. La diferencia entre conectarte a Internet directamente o que tus datos tracen una ruta que atraviesa medio mundo puede ser abrumadora. Si tu servidor VPN está muy lejos, experimentarás mucha latencia a la hora de navegar por la red. Además de latencia, es normal que la velocidad de descarga y subida máxima estén limitadas.
  • Su seguridad no es infalible. Esto ya lo hemos dicho varias veces, pero nunca está de más repetirlo. Solo porque el icono de la conexión tenga un candado no quiere decir que la conexión sea segura, especialmente si estamos hablando de conexiones VPN basadas en el protocolo PPTP.
  • No siempre pueden falsear tu ubicación. Especialmente en el móvil, cada vez hay más tecnologías por las cuales se puede triangular y aproximar tu ubicación más allá de tu dirección IP.
  • No te proporcionan anonimato. Usar una VPN no supone que la navegación sea anónima. La combinación ganadora para un mayor anonimato, si hacemos caso a Edward Snowden, es usar a la vez una conexión VPN y Tor.
Actualmente tenemos diferentes protocolos de VPN que podemos usar para conectarnos de forma segura:
  • L2TP/IPsec
  • IPsec xAuth
  • IPsec IKEv2
  • OpenVPN
  • WireGuard
  • SoftEther
Pasos

1. Obtener los Archivos de Configuración
2. Instalar el Cliente OpenVPN o usar configuración propia sistema operativo
3. Importar los Datos VPN
4. Establecer la Conexión
5. Comprobar funcionamiento correcto

1) En caso de que desee ajustar aún más sus conexiones, puede abrir los archivos OVPN para ver qué comandos se les asignan. Si tiene los conocimientos suficientes, puede editar los comandos existentes o agregar otros nuevos. Algunos comandos que pueden ser de interés para aquellos de ustedes que tienen más experiencia incluyen:

  • El comando “proto” ;: este comando se utiliza para cambiar entre UDP o TCP. Simplemente agregue el nombre del protocolo después del comando, así: “proto udp”.
  • El comando “remoto” ;: esa es la línea que le dice a OpenVPN el nombre del servidor que desea usar. Por lo general, también incluye el puerto después del nombre del servidor VPN. Si conoce puertos alternativos que utiliza su proveedor, puede cambiar entre ellos aquí.
  • El comando “tun-mtu” ;: significa el valor de la Unidad de Transmisión Máxima. Por lo general, se establece en algún lugar alrededor de 1500, pero puede intentar cambiarlo para aumentar el rendimiento.

Para comprobar el funcionamiento correcto de la VPN recomendamos comprobar:

  • Tu dirección IP real.
  • Tu país.
  • Tu ciudad.
  • Qué ISP estás utilizando
  • Cabeceras del navegador
Servicios recomendados:

OpenVPN con routers Asus

Todos los routers y sistemas Wi-Fi Mesh de ASUS incorporan un servidor OpenVPN en el firmware Asuswrt. Este firmware es el más completo y nos va a permitir una gran configurabilidad del servidor OpenVPN, es simplemente la mejor implementación de todos los routers y NAS que hemos probado, ya que dispone de una sección de «Opciones avanzadas»

Configuración simple:
  • Paso 1. Habilita la función servidor VPN y selecciona el modo servidor en OpenVPN.
  • Paso 2. Haz clic en el botón Export para crear un archivo .ovpn. De manera predeterminada, este archivo se llamará client.ovpn. 
  • Paso 3. Crea un nombre de usuario y contraseña (no olvides hacer clic en el botón “+”).
  •  Paso 4. Haz clic en el botón Apply. 
  • Paso 5. Ahora dispones de un archivo .ovpn y de un nombre de usuario/contraseña. Envíalos a tu usuario cliente para la configuración del cliente VPN client.
 Para establecer una configuración personalizada, puedes ir a la página de configuración avanzada.

Si deseas modificar la autoridad de certificación predeterminada, el certificado de servidor, la clave del servidor, los parámetros Diffle-Hellman, o tu propio contenido clave, haz clic en el enlace amarillo para cambiar los valores de configuración.

 Consulta el System Log para acceder a los mensajes de error relacionados con OpenVPN y escríbenos para recibir la solución al problema.

Configuración avanzada

En la sección de «VPN / Servidor VPN / OpenVPN» es donde tendremos todas las opciones de configuración del servidor OpenVPN. Tendremos que habilitarlo pinchando en «Habilitar servidor OpenVPN», y una vez que se habilite, tendremos el menú general del servidor OpenVPN con las opciones básicas de configuración. En esta sección podremos configurar diferentes aspectos del servidor:

  • Puerto del servidor: por defecto es 1194 UDP, pero podremos cambiar el puerto por cualquier otro, y es recomendable hacerlo.
  • RSA Encryption: ASUS genera automáticamente una CA con certificado de servidor y clientes basado en RSA, podremos elegir una seguridad de 1024 bits o 2048 bits, hoy en día es recomendable como mínimo 2048 bits, por lo que seleccionamos esta opción.
  • Client will use VPN to access: aquí podremos definir el comportamiento de la VPN, si queremos únicamente acceder a la red local vía VPN, o también acceder a Internet (redirección del tráfico). Esta última opción es la que nos permitirá tener seguridad en redes Wi-Fi públicas, por lo que es recomendable siempre seleccionar esta opción.
Hay la posibilidad de añadir un total de 16 usuarios con sus respectivas contraseñas, estos usuarios/claves tendremos que introducirlo para conectarnos al servidor OpenVPN. Añadimos uno y pinchamos en «+», posteriormente pinchamos en «Aplicar» para arrancar el servidor OpenVPN con la configuración elegida.

Routers D-LINK


Por ejemplo los routers de gama media y alta del fabricante D-Link incorporan un servidor VPN para conectarnos a nuestra red local desde Internet, y todo ello de forma segura gracias al protocolo L2TP/IPsec. 

En la sección de «Características / VPN rápida» es donde podremos ver todas las opciones de configuración de esta VPN L2TP/IPsec.

Las opciones que aquí debemos rellenar son las siguientes:

  • Activar la VPN de tipo L2TP sobre IPsec
  • Nombre de usuario: rellenamos con un nombre de usuario para la autenticación. Nosotros hemos indicado «usuariovpnr».
  • Contraseña: rellenamos con una contraseña que va asociada al nombre de usuario para la autenticación. Nosotros hemos indicado «clavevpnr».
  • PSK: esta clave la debe conocer todos los usuarios, es la clave precompartida del L2TP que es necesaria para la conexión.

En la parte de «Parámetros avanzados«, podremos seleccionar el protocolo de autenticación, lo recomendable es usar MSCHAPv2 o CHAP, por lo que lo dejamos por defecto en MSCHAPv2.

Cómo configurar el servidor OpenVPN y el cliente OpenVPN en el Router VPN Gigabit de Linksys

OpenVPN es una aplicación que implementa la Red Privada Virtual (VPN) para la creación de conexiones seguras punto a punto o sitio a sitio, que les permiten a los clientes OpenVPN como computadoras portátiles, teléfonos inteligentes y tabletas conectarse utilizando una autentificación de dos factores. Esa admite SSL/TLS para el intercambio de claves como parte de la autentificación, además del nombre de usuario y la contraseña.

Un túnel de OpenVPN puede ser full (completo) o split (dividido). Un Full Tunnel (túnel completo) obliga que el tráfico completo sea envíado al servidor OpenVPN, mientras que un Split Tunnel (túnel dividido) permite que un cliente OpenVPN acceda los recursos enlazados a Internet a través del Internet Service Provider (ISP) (proveedor de servicios de Internet local).

Conectarse a la VPN

En Windows

En Windows es posible conectarse con una red VPN sin instalar nada adicional desde allá por Windows XP, pero el soporte para los distintos tipos de cifrado es más básico cuanto más antigua sea tu versión de Windows.

Para conectarte a una red VPN en Windows 7, sigue estos pasos:

  • Abre el Centro de Redes y Recursos Compartidos
  • Pulsa Crear una nueva conexión.
  • Elige Conectar a una red de trabajo
  • Rellena la información del servidor, tipo de VPN y tus credenciales de usuario

En Windows 10 también puedes usar el siguiente modo con la Interfaz Moderna:

  • Abre las opciones del PC
  • Ve a Red e Internet
  • Abre el apartado VPN
  • Pulsa Agregar una conexión VPN
  • Rellena la información de servidor, tipo de VPN y credenciales de usuario

En Mac

El soporte para conexiones VPN no podía faltar en Mac OSX. Para conectarte a una conexión VPN en tu Mac, sigue estos pasos:

  • Abre Preferencias del sistema y haz clic en Red
  • Pulsa Añadir (+) en la parte inferior de la lista de servicios a redes
  • Selecciona VPN en el menú desplegable Interfaz
  • Rellena el resto de ajustes como el tipo de conexión y los ajustes de autenticación

En Linux

Para conectarte a un servidor VPN desde Linux necesitarás tener instalado el paquete network-manager-vpnc, que no viene por ejemplo instalado por defecto en Ubuntu. Para instalarlo puedes recurrir al gestor de software específico de tu distribución o la línea de comandos:

$ sudo apt-get install network-manager-vpnc

Después, sigue estos pasos:

  • En Ubuntu, haz clic en el icono de red (las dos flechas) en la barra superior
  • Elige Conexiones VPN - Configurar VPN en el menú desplegable
  • Pulsa añadir (o importar, si tienes un archivo de configuración)
  • Sigue las instrucciones en pantalla para rellenar el resto de información como el tipo de cifrado y tus credenciales de usuario.

En Android

También Android cuenta con su propio cliente de VPN, aunque el modo para acceder a él puede variar ligeramente según la versión de Android que tengas instalada y las modificaciones en los menús que haya hecho tu fabricante. Generalmente, lo encontrarás aquí:

  • Ve a Ajustes
  • Abre el apartado de Redes inalámbricas, conexiones de Red o similares
  • Generalmente, las conexiones VPN se encuentran en el apartado Otros o Más Redes.
  • Toca en el apartado VPN y pulsa el botón Más (+) para crear la conexión
  • Rellena el nombre, tipo de VPN, dirección del servidor y cifrado

En iOS

En iOS, el proceso es algo más sencillo. Para conectarte a un servidor VPN desde tu iPhone o iPad, sigue estos pasos:

  • Abre los Ajustes
  • Ve al apartado General
  • Haz scroll hasta llegar al apartado VPN
  • Toca Añadir configuración VPN
  • Elige la pestaña del tipo de VPN de tu servidor, y rellena los datos del servidor y nombre de usuario

OpenVPN vs. SSTP

SSTP y OpenVPN son bastante similares, ya que ambos usan SSL 3.0, y ambos protocolos VPN pueden usar el puerto 443. También ofrecen un nivel similar de seguridad, ya que ambos protocolos pueden usar cifrado de 256 bits y el cifrado AES de alta seguridad.

Sin embargo, OpenVPN es de código abierto, lo que significa que es mucho más confiable que SSTP, que es propiedad exclusiva de Microsoft, una compañía que se sabe que colabora con la NSA y FBIA.

OpenVPN vs. Wireguard

Wireguard afirma ofrecer más seguridad que OpenVPN, pero no hay muchas pruebas que lo respalden. En lugar de AES, Wireguard utiliza el código ChaCha20, pero ambos códigos ofrecen cifrado de 256 bits. En general, al menos por ahora, parece que ChaCha20 podría requerir menos recursos que AES. Aparte de eso, Wireguard es de código abierto al igual que OpenVPN, por lo que es confiable en ese sentido.

OpenVPN vs. SoftEther

Es seguro decir que tanto OpenVPN como SoftEther son protocolos realmente seguros. Son de código abierto, utilizan cifrados de grado militar como AES, utilizan cifrado de 256 bits y también usan SSL 3.0. La principal diferencia entre ellos es la edad: SoftEther es mucho más nuevo que OpenVPN. Debido a eso, algunas personas sienten que OpenVPN es mucho más confiable.

En términos de velocidad, a SoftEther le va mejor que a OpenVPN. De hecho, según la investigación de la Universidad de Tsukuba (la gente detrás de SoftEther VPN, por lo que no es una fuente 100% subjetiva), se supone que el protocolo SoftEther es 13 veces más rápido que el protocolo OpenVPN.

OpenVPN vs. PPTP

Para empezar, PPTP es significativamente más débil que OpenVPN en términos de seguridad. Si bien OpenVPN puede manejar claves de cifrado de 256 bits y cifrados como AES, PPTP solo puede usar claves de 128 bits a través del código MPPE. Desafortunadamente, el cifrado MPPE es muy fácil de explotar


OpenVPN vs. L2TP / IPSec

Al igual que PPTP, L2TP / IPSec está disponible de forma nativa en muchas plataformas. Entonces, configurarlo es mucho más fácil que configurar OpenVPN. Sin embargo, si usa un servicio VPN, no notará ninguna diferencia. Por otro lado, L2TP / IPSec usa menos puertos que OpenVPN, y no usa el puerto 443. Por lo tanto, es más fácil que el protocolo sea bloqueado por un firewall NAT.

Si bien L2TP / IPSec no es propiedad exclusiva de Microsoft (ya que también fue desarrollado por Cisco), todavía no es tan confiable como OpenVPN, que es de código abierto. Además, es importante tener en cuenta que Edward Snowden ha afirmado anteriormente que L2TP fue debilitado intencionalmente por la NSA.


Comments