¿ Cómo crear una VPN con OpenVPN y routers Teltonika ?

Image

Introducción

Este documento describe cómo configurar una VPN entre routers Teltonika usando el protocolo OpenVPN.

Los motivos para crear una VPN pueden ser:

  • Poder acceder remotamente a los routers y a los equipos detrás de ellos sin necesidad de tener un IP pública o accesible de nuestro operador móvil
  • Poder ejecutar comunicaciones entre un servidor central (SCADA) y múltiples clientes remotos (autómatas) como si todos los elementos estuvieran conectados en la misma red

Tipos de VPN

En toda VPN debemos tener un único servidor y uno o varios clientes. Si sólo tenemos un cliente podemos usar como método de autenticación ‘static key’. Sin embargo, en este documento describiremos cómo usar el método de autenticación TLS que nos permite crear una VPN con un servidor y múltiples clientes.

Por defecto, cuando creamos una VPN los clientes no pueden comunicarse entre sí. Esto es útil si usamos una VPN para comunicar con equipos de diferentes usuarios/clientes por temas de seguridad. El SCADA, por tanto, deberá estar siempre conectado detrás del router servidor para así poder comunicar con todos los routers clientes.

Si por el contrario queremos construir una red abierta podemos habilitar en el router servidor la comunicación entre clientes.

A nivel lógico existen dos tipos de VPN: TAP o bridged y TUN o routed.

VPN TAP

Es una VPN de nivel 2 donde todos los equipos conectados a la VPN están en el mismo rango. Asimismo, los interfaces LAN de los extremos de la VPN, es decir, el router servidor y los routers cliente también están en este mismo rango.

Es el tipo de VPN más sencillo y permite comunicar con dispositivos terminales que no permitan la configuración de un gateway o ruta por defecto.

En la siguiente figura vemos un ejemplo. Hemos colocado el router servidor de la VPN detrás de un router de banda ancha (ADSL o FTTH) con una dirección IP fija (necesitamos una IP fija en el servidor porque los clientes deben apuntar a dicha dirección en su conexión).

El router servidor se conecta a la LAN de nuestro router de banda ancha a través del puerto WAN RJ45. Por tanto,  en este router deberemos configurar el puerto WAN como Wired RJ45.

VPN de tipo TAP o bridged

Asimismo, tendremos que redireccionar el puerto TCP/UDP 1194 en el router ADSL/FTTH hacia la IP WAN del router servidor de nuestra VPN (192.168.1.8 en nuestro ejemplo). De esta forma, cuando los clientes establezcan la conexión los paquetes de entrada se redirigirán automáticamente a nuestro servidor VPN.

En una VPN TAP debemos tener cuidado con el direccionamiento IP de los diferentes elementos puesto que todos compartirán rango una vez establecida la VPN. Por tanto, si queremos habilitar el servicio DHCP en los diferentes routers clientes y servidor tengamos en cuenta que deben tener pools de direcciones diferentes. Aun así, recomendamos usar direcciones IP fijas para todos los dispositivos a conectar en la VPN.

VPN TUN

En este caso se trata de una red privada virtual de nivel 3 o ruteada. Topológicamente es más compleja ya que los extremos de esta VPN (es decir, el router servidor y los routers clientes llamados también ‘endpoints’) deben tener configuradas las rutas estáticas para alcanzar todas las redes locales de los otros extremos.

En una VPN TUN, a diferencia de una VPN TAP, la red LAN detrás del router servidor y las redes LAN detrás de los routers cliente tienen que estar en rangos diferentes. Asimismo, todas ellas deben estar en rangos diferentes de los extremos de los túneles VPN o endpoints. Los extremos de la VPN realizan las tareas de rutado de paquetes entre el endpoint y la red local y representan unas direcciones IP virtuales que no tenemos en redes TAP.

En la siguiente figura tenemos un ejemplo. En color rojo hemos indicado las direcciones IP de los endpoints (172.16.1.0). Como veremos más adelante, conviene configurar de forma manual estas direcciones para cada cliente que configuremos. Y en color azul, verde y gris las redes LAN del servidor y los dos clientes. Como vemos cada una está en un rango diferentes 192.168.0.0, 192.168.2.0 y 192.168.3.0 respectivamente. No hemos usado el 192.168.1.0 porque está asignado a la WAN del router servidor (conectado en la LAN del router ADSL/FTTH).

VPN de tipo TUN o routed

Más adelante explicaremos, al configurar los clientes TLS cómo el servidor sabe la red remota de cada extremo de la VPN y a qué endpoint corresponde. 

1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (6 votos, promedio: 5,00 de 5)
Cargando...