Esta página muestra un interruptor Habilitar servidor OpenVPN . Al hacer clic en él, se iniciarán el servidor OpenVPN y todos los servicios relacionados con él (por ejemplo, el Firewall VPN, si está activado). A continuación hay un cuadro, Configuración de OpenVPN, que permite configurar algunos ajustes generales. Justo debajo, un enlace permite definir una nueva instancia de servidor, mientras que en la parte inferior de la página aparece la lista de los servidores OpenVPN disponibles que se ejecutan en el dispositivo Panda GateDefender, si ya se ha definido alguno. La lista muestra los siguientes datos sobre cada instancia definida del servidor OpenVPN: el nombre, las observaciones y detalles sobre la configuración, a saber, el puerto en el que escucha, el protocolo, el tipo de dispositivo y el tipo de red. Por último, las acciones disponibles son:
: el servidor está activo o detenido.
: modifica la configuración del servidor.
: elimina la configuración y el servidor.Nota:
al iniciar el servidor OpenVPN por primera vez, los certificados de root y de host se generan automáticamente.
Configuración de OpenVPN
El cuadro de la parte superior muestra la configuración de OpenVPN actual, que está relacionada con el método de autenticación y es la siguiente:
Tipo de autenticación
Existen tres métodos de autenticación disponibles para conectar los clientes al servidor OpenVPN que se ejecuta en el dispositivo Panda GateDefender:
PSK (nombre de usuario y contraseña). La conexión se establece tras proporcionar el nombre de usuario y la contraseñacorrectos.
Certificado X.509. Solo es necesario un certificado válido para conectarse.
Certificado X.509 y PSK (dos factores). Además de un certificado válido, se necesitan un nombre de usuario y unacontraseña.
Advertencia:
al utilizarse la autenticación solo por certificado, un cliente con un certificado válido podrá acceder al servidor OpenVPN aunque no posea una cuenta válida.
El método predeterminado del dispositivo Panda GateDefender es PSK (nombre de usuario/contraseña). El cliente se autentica utilizando un nombre de usuario y una contraseña. No se necesita ningún cambio adicional para utilizar este método, mientras que los otros dos métodos se describen debajo.
Configuración de certificado
Este menú desplegable se utiliza para seleccionar el método de creación de un nuevo certificado. Las opciones disponibles son:
Generar un certificado nuevo. Crea un certificado nuevo desde cero. Esta opción solo está disponible si no se ha generado ningúnnuevo. Son las mismas que presenta el editor de generación de nuevos certificados, con dos pequeño cambios: Nombre común se convierte en Nombre de host del sistema y Nombre de la unidad organizativa se convierte en Nombre del departamento.
Usar certificado seleccionado. Seleccione un certificado entre los disponibles, que se muestran en el lado derecho del menúdesplegable. Es posible ver los detalles completos de este certificado haciendo clic en el hipervínculo Ver detalles.
Sugerencia:
el nombre del certificado seleccionado aparecerá justo encima del hipervínculo.
Usar un certificado existente. Un segundo menú desplegable a la izquierda permite seleccionar un certificado que ya se ha creado yalmacenado en el dispositivo Panda GateDefender.
Cargar un certificado. Haciendo clic en el botón Examinar... que aparece debajo del menú desplegable será posible seleccionar uncertificado existente desde la estación de trabajo y cargarlo. La contraseña para el certificado, si es necesaria, se puede proporcionar en el campo de texto de la derecha.
Cargar una solicitud de firma de certificado. Se puede hacer clic en el botón Examinar... que aparece debajo del menú desplegablepara seleccionar una solicitud de firma de certificado existente desde la estación de trabajo y cargarla. La validez del certificado en días puede indicarse en el campo de texto de la derecha.
Instancias del servidor OpenVPN
La lista de instancias de OpenVPN ya definidas aparece en este panel, encima del cual está el hipervínculo Añadir nueva instancia del servidor OpenVPN. Al hacer clic en este enlace, se abre un editor en el que indicar todos los valores de configuración necesarios para una nueva instancia de VPN.
Nota:
cuando el número de instancias de OpenVPN supera los núcleos disponibles, un aviso amarillo indica que el rendimiento puede disminuir.
En el editor, aparecen las siguientes opciones de configuración.
Nombre
El nombre asignado a la instancia del servidor OpenVPN.
Observaciones
Un comentario para esta instancia.
Enlazar solo con
La dirección IP a la que la instancia debería escuchar.
Puerto
El puerto en el que la instancia espera conexiones entrantes.
Tipo de dispositivo
El dispositivo utilizado por la instancia, elegido entre TUN y TAP en el menú desplegable. Los dispositivos TUN necesitan que el tráfico se enrute, por lo que la opción Enlazado que aparece más adelante no está disponible para los dispositivos TUN.
Protocolo
El protocolo utilizado, elegido entre TCP y UDP en el menú desplegable.
Marque esta opción para ejecutar el servidor OpenVPN en modo enlazado, es decir, dentro de una de las zonas existentes.
Nota:
si el servidor OpenVPN no está enlazado (es decir, está enrutado), los clientes recibirán sus direcciones IP desde una subred específica. En este caso, deberán crearse reglas del firewall apropiadas en Firewall VPN para asegurarse de que los clientes puedan acceder a cualquier zona, o a algún servidor/recurso (por ejemplo, un repositorio de código fuente). Si el servidor OpenVPN está enlazado, hereda la configuración del firewall de la zona en la que se encuentra definido.
Subred VPN
Esta opción solo está disponible si el modo enlazado está desactivado. Permite que el servidor OpenVPN se ejecute en su propia subred dedicada, que puede especificarse en la casilla de texto y que debería ser diferente de las subredes de las otras zonas.
Enlazar a
La zona a la cual deberá enlazarse el servidor OpenVPN. El menú desplegable solamente muestra las zonas disponibles.
Dirección inicial del conjunto de IP dinámicas
La primera dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.
Dirección final del conjunto de IP dinámicas
La última dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.
Servidor OpenVPN enrutado y enlazado, estático y dinámico.
Al configurar un grupo de direcciones IP para reservarlas para clientes que se conectan a través de OpenVPN, es necesario recordar unas pautas que contribuirán tanto a la prevención de futuros errores de funcionamiento como a un diseño y una configuración más limpios y fáciles de configurar.
Antes de comenzar la configuración del servidor, existe una regla de oro que hay que recordar respecto a la implementación de la arquitectura multinúcleo VPN. Con independencia de si se usa el modo enlazado o el enrutado para una instancia de servidor VPN multinúcleo, se omite la reserva de direcciones IP estáticas. En otras palabras, un cliente que se conecte a este servidor VPN recibirá una dirección IP dinámica, aunque en su configuración haya una asignación de IP estática.
Lo primero es definir si el servidor OpenVPN debe actuar en modo enrutado o en modo enlazado. En el primer caso, es necesario definir una subred VPN adecuada que proporcione las direcciones IP a los clientes. El tráfico dirigido a esta subred debe filtrarse, en caso necesario, utilizando el Firewall VPN. En el segundo caso, el servidor OpenVPN se configura para considerar los clientes, tras conectarse, como si estuvieran conectados físicamente a esa zona, es decir, el servidor enlaza el cliente a una de las zonas. En este caso, se debe definir un grupo de direcciones IP dentro de esa zona mediante las dos opciones que aparecen justo antes de este cuadro. Ese grupo debe estar completamente contenido en la subred de la zona y debe ser menor que la subred. También es importante asegurarse de que este grupo no entre en conflicto con otros grupos definidos en esa zona, por ejemplo, un servidor DHCP.
En un servidor OpenVPN enlazado es posible asignar una dirección IP estática a algunos (o incluso a todos) usuarios. Cuando planifique esta posibilidad, es una buena práctica que estas direcciones IP estáticas no pertenezcan a ninguno de los grupos de IP definidos en esa zona para evitar conflictos de direcciones y enrutamientos equivocados. El tráfico a este cliente concreto puede filtrarse mediante el usuario VPN (o IPsec) como origen o destino del tráfico en las reglas del firewall.
En el cuadro Opciones avanzadas pueden configurarse opciones adicionales.
Número de núcleos
El menú desplegable permite elegir cuántas CPU del dispositivo Panda GateDefender puede utilizar la instancia, por lo que las opciones del menú desplegable pueden variar.
Generalmente, un cliente no puede conectarse desde más de una ubicación al mismo tiempo. Al seleccionar esta opción, se permite el inicio de sesión múltiple de los clientes, incluso desde diferentes ubicaciones. Sin embargo, cuando el mismo cliente está conectado dos o más veces, las reglas del firewall VPN ya no se aplican.
Bloquear respuestas DHCP que provienen del túnel
Marque esta casilla cuando reciba respuestas DHCP desde la LAN del otro lado del túnel VPN que se encuentren en conflicto con el servidor DHCP local.
Conexiones de cliente a cliente
Seleccione en el menú desplegable las modalidades de las comunicaciones entre los clientes del servidor OpenVPN:
No permitido: los clientes no pueden comunicarse el uno con el otro.
Permitir conexiones directas: los clientes pueden conectarse. Esta opción solo está disponible en CPU de un solo núcleo.
Filtrar conexiones en el Firewall VPN. Los clientes pueden comunicarse entre sí, pero su tráfico se rige por el Firewall VPN.Enviar estos nombres de servidores
Al marcar esta casilla, el servidor de nombres especificado en el siguiente campo de texto se envía a los clientes tras conectarse.
Servidores de nombres
Los servidores de nombres especificados en este campo de texto se envían a los clientes conectados, si está marcada la casilla anterior.
Enviar estas redes
Al marcar esta casilla, las rutas hacia las redes definidas en el siguiente campo de texto se envían a los clientes conectados.
Redes
Las redes especificadas en este campo de texto se envían a los clientes conectados, si está marcada la casilla anterior.
Enviar este dominio
Al marcar esta casilla, el dominio de búsqueda definido en el campo de texto de la derecha se añadirá a los de los clientes conectados.
Dominio
El dominio que se utilizará para identificar los servidores y los recursos de red en la red VPN (es decir, el dominio de
búsqueda).
Nota:
las opciones Enviar estos nombres de servidores y Enviar dominio solo funcionan para clientes que utilizan el sistema operativo Microsoft Windows.
La primera vez que se inicia el servicio se genera un nuevo certificado CA autofirmado para este servidor OpenVPN, operación que puede tardar bastante tiempo. Tras haber generado el certificado, podrá descargárselo haciendo clic en el enlace Descargar certificado CA. Todos los clientes que deseen conectarse a este servidor OpenVPN deberán utilizar este certificado. De lo contrario, no podrán acceder.
Después de haber configurado el servidor, es posible crear y configurar cuentas en la pestaña Autenticación para los clientes que pueden conectarse al dispositivo Panda GateDefender.
Activado
Marque esta casilla para asegurarse de que se inicie el servidor OpenVPN.
Resolución de problemas de las conexiones VPN.
Aunque pueden reconocerse fácilmente varios problemas con las conexiones VPN mirando la configuración, una de las fuentes sutiles de problemas de conexión es un valor erróneo del tamaño MTU. El dispositivo Panda GateDefender fija un límite de 1.450 bytes para el tamaño MTU de VPN con el fin de evitar problemas con el valor MTU utilizado habitualmente por los ISP, que es 1.500. Sin embargo, algunos ISP pueden utilizar un tamaño MTU inferior al valor que se utiliza habitualmente, por lo que el valor MTU de Panda quizá sea demasiado grande y provoque problemas de conexión (el más notorio es probablemente la imposibilidad de descargar archivos grandes). Puede modificarse dicho valor accediendo al dispositivo Panda GateDefender desde CLI y siguiendo las instrucciones que se indican a continuación:
1. Escriba el tamaño MTU que utiliza el ISP (véase el enlace a continuación).
2. Inicie sesión en CLI, ya sea desde un shell o desde Barra de menú ‣ Sistema ‣ Consola Web.
3. Edite la plantilla OpenVPN con el editor preferido: nano /etc/openvpn/openvpn.conf.tmpl. 4. Busque la cadena mssfix 1450.
5. Reemplace 1450 por un valor menor, por ejemplo, 1200.
6. Reinicie OpenVPN con el comando jobcontrol restart openvpnjob.
Véase también:
Más información sobre el tamaño MTU.
Cliente OpenVPN (Gw2Gw)
En esta página se muestra la lista de las conexiones del dispositivo Panda GateDefender como clientes OpenVPN, es decir, todas las conexiones en túnel con servidores OpenVPN remotos. Para cada conexión, la lista presenta el estado, el nombre, cualquier opción adicional, una observación y las acciones disponibles:
: el servidor está activo o detenido.
: modifica la configuración del servidor.
: elimina la configuración y el servidor.El estado es cerrada cuando la conexión está desactivada, establecida cuando la conexión cuando está activada y conectando... mientras se establece la conexión. Además de activar y desactivar una conexión, las acciones disponibles permiten editarla y eliminarla. En el primer caso se abrirá un formulario que es igual que el que se abre al añadir una conexión (véase más adelante), en el que se ven y modifican las configuraciones actuales, mientras que en el último caso solo se permite la eliminación de ese perfil del dispositivo Panda GateDefender.
La creación de conexiones nuevas de clientes OpenVPN es muy sencilla y puede realizarse de dos maneras. Se puede hacer clic en el botón Añadir configuración de túnel e introducir la información necesaria sobre el servidor OpenVPN al que conectarse (puede haber más de uno), o se pueden importar las configuraciones del cliente desde el servidor de acceso OpenVPN haciendo clic en Importar perfil desde el Servidor de acceso OpenVPN.
Añadir configuración de túnel
Existen dos tipos de preferencias que pueden configurarse para cada configuración de túnel. La más básica incluye opciones obligatorias para establecer el túnel, mientras que la avanzada es opcional y generalmente solo debe cambiarse si el servidor OpenVPN tiene una configuración que no es la estándar. Para acceder a las configuraciones avanzadas, haga clic en el botón >> que se encuentra al lado de la etiqueta Configuración avanzada del túnel. Las configuraciones básicas son:
Nombre de la conexión
Una etiqueta para identificar la conexión.
Conectar a
El FQDN, el puerto y el protocolo del servidor OpenVPN remoto en formato
myvpn.ejemplo.com:puerto:protocolo
. El puerto y el protocolo son opcionales y se dejan en sus valores predeterminados, que son 1194 y udp, respectivamente, cuando no se especifica ninguno. El protocolo debe especificarse en letras minúsculas.Cargar certificado
El certificado del servidor que se necesita para la conexión del túnel. Se puede explorar el sistema de archivos local para buscar el archivo, o se pueden introducir la ruta y el nombre del archivo. Si el servidor está configurado para utilizar la autenticación PSK (contraseña/nombre de usuario), debe cargarse al dispositivo Panda GateDefender el certificado de host del servidor (es decir, el que se ha descargado del enlace Descargar certificado CA de la sección del servidor Barra de menú
‣ VPN ‣ Servidor OpenVPN). De lo contrario, para utilizar la autenticación basada en certificados, debe cargarse el archivo
PKCS#12 del servidor (es decir, el que se ha descargado del enlace Exportar CA como PKCS#12 de la sección del servidor
Barra de menú ‣ VPN ‣ Servidor OpenVPN ‣ Avanzado).
Contraseña de cifrado PKCS#12
Inserte aquí la Contraseña de cifrado si se ha comunicado alguna al CA antes o durante la creación del certificado o durante. Esto solo es necesario al cargar un certificado PKCS#12.
Nombre de usuario, Contraseña
Si el servidor está configurado para utilizar una autenticación PSK (contraseña/nombre de usuario) o un certificado más una autenticación por contraseña, indique aquí el nombre de usuario y la contraseña de la cuenta del servidor OpenVPN.
Observaciones
Un comentario sobre la conexión.
Configuración avanzada del túnel
En este cuadro, que aparece al hacer clic en el botón >> del cuadro anterior, se pueden modificar opciones adicionales, aunque los valores de este cuadro solo deberán modificarse si el servidor no se ha configurado con los valores estándares.
Servidores VPN de backup
Uno o más (uno por línea) servidores OpenVPN alternativos en el mismo formato que el utilizado para el servidor principal, es decir,
myvpn.ejemplo.com:puerto:protocolo
. De omitirse, los valores del puerto y del protocolo serán los predeterminados: 1194 y udp, respectivamente. Si se produce un error en la conexión con el servidor principal, uno de estos servidores alternativos se hará cargo.Sugerencia:
el protocolo debe especificarse en letras minúsculas.
Tipo de dispositivo
El dispositivo que utiliza el servidor, que es TAP o TUN.
Este menú desplegable no se encuentra disponible si se ha seleccionado TUN como Tipo de dispositivo, ya que en este caso el tipo de conexión siempre es enrutada. Las opciones disponibles son enrutada (es decir, el cliente actúa como una puerta de enlace con la LAN remota) o enlazada (es decir, el firewall cliente aparece como una parte de la LAN remota). El valor predeterminado es enrutada.
Enlazar a
Este campo solo se encuentra disponible si se ha elegido TAP como Tipo de dispositivo y el tipo de conexión es enlazada. En este menú desplegable, seleccione la zona a la que debería enlazarse esta conexión del cliente.
NAT
Esta opción solo está disponible si el Tipo de conexión es enrutada. Marque esta casilla para ocultar los clientes conectados a través de este dispositivo Panda GateDefender detrás de la dirección IP de la VPN del firewall. Esta configuración impedirá que los clientes reciban solicitudes de conexiones entrantes. En otras palabras, las conexiones entrantes no verán los clientes dentro de la red local.
Bloquear respuestas DHCP que provienen del túnel
Marque esta casilla para evitar recibir respuestas DHCP desde la LAN al otro lado del túnel VPN que estén en conflicto con el servidor DHCP local.
Utilizar compresión LZO
Comprime el tráfico que pasa por el túnel; está activada de forma predeterminada.
Protocolo
El protocolo que utiliza el servidor: UDP (predeterminado) o TCP. Configúrelo en TCP solo si se debe utilizar un proxy HTTP: En este caso, aparecerá un formulario para su configuración.
Si el dispositivo Panda GateDefender solo puede acceder a Internet a través de un proxy HTTP de subida, puede seguir utilizándose como un cliente de OpenVPN en una configuración puerta de enlace a puerta de enlace, pero el protocolo TCP para OpenVPN debe seleccionarse en ambos lados. Además, la información de cuenta para el proxy HTTP de subida debe introducirse en los campos de texto:
Proxy HTTP
El host del proxy HTTP, por ejemplo,
proxy.ejemplo.com:puerto
, en el que el puerto predeterminado es 8080, si se deja en blanco.Nombre de usuario del proxy, Contraseña del proxy
La información de cuenta del proxy: el nombre de usuario y la contraseña.
Falsificar el usuario agente del proxy
En algunos casos se puede utilizar una cadena usuario agente falsificada para disfrazar el dispositivo Panda GateDefender