EdgeMAX: OpenVPN de sitio a sitio

Resumen


Los lectores aprenderán cómo configurar una VPN de sitio a sitio usando OpenVPN con dos Ubiquiti EdgeRouters.

Hipótesis: que desee conectar dos Edgerouters juntos usando OpenVPN.  Los dos routers están configurados como sigue.

El enrutador 1 :
externa IP/nombre: system1.dyndns.com (también puede utilizar una dirección IP externa)
interno IP: 192.168.1.1

El enrutador 2 :
externa IP/nombre: system2.dyndns.com (también puede utilizar una dirección IP externa)
interno IP: 192.168.2.1

Si los enrutadores utilizan IPs diferentes o si tienen diferentes nombres, cambiarlos que aparecen en estas instrucciones.

Pasos


Paso 1: en el Router 1, acceder a la línea de comandos y crear una clave previamente compartida (no en el modo de configurar, pero en modo de funcionamiento).

generate vpn openvpn-key /config/auth/secret

Paso 2: transferir la clave previamente compartida para la otra máquina

Ya sea:

    Opción A. esta opción asume que el nombre del sistema remoto todavía es ubnt. Si ha cambiado el nombre de usuario por defecto, cambiar ubnt el siguiente comando para ese nuevo nombre de usuario. Esto también supone que el equipo remoto puede aceptar remoto ssh conexiones, es decir, que el puerto 22 (SSH/SCP) es la aceptación de entrada de internet. Si el sistema remoto no acepta comandos SSH/SCP de la
internet, usar la opción B:

sudo scp /config/auth/secret ubnt@system2.dyndns.com:/config/auth/secret

O:

opción B: ve la clave previamente compartida en el Router 1:

sudo cat /config/auth/secret

Copie el contenido en el portapapeles.

Entrar a Router 2 usando ssh. Crear el archivo:

cat > /config/auth/secret

Pegar el texto desde el portapapeles.

Pegar CTRL-D para guardar el archivo.

Cambiar los permisos sobre el archivo que acaba de crear:

chmod 600 /config/auth/secret

Paso 3: configurar Router 1

 # Entrar en el modo de configuración

configure

# Configurar OpenVPN para utilizar vtun0

set interfaces openvpn vtun0
set interfaces openvpn vtun0 mode site-to-site

# Asignar puertos para el uso de OpenVPN

set interfaces openvpn vtun0 local-port 1194
set interfaces openvpn vtun0 remote-port 1194

# Asignación de una dirección local para el uso de OpenVPN

set interfaces openvpn vtun0 local-address 10.99.99.1

# Asignar una dirección remota para el uso de OpenVPN

set interfaces openvpn vtun0 remote-address 10.99.99.2

# Dile OpenVPN la dirección pública del sistema remoto

set interfaces openvpn vtun0 remote-host system2.dyndns.com

# OpenVPN de decir donde se encuentra el archivo secreto

set interfaces openvpn vtun0 shared-secret-key-file /config/auth/secret

# Habilitar compresión (opcional: debe hacer en ambos lados o ni)

set interfaces openvpn vtun0 openvpn-option "--comp-lzo"

# Permitir flotar, Ping y otras opciones de seguridad (opcional: ver página de Man de OpenVPN para detalles)

set interfaces openvpn vtun0 openvpn-option "--float"
set interfaces openvpn vtun0 openvpn-option "--ping 10"
set interfaces openvpn vtun0 openvpn-option "--ping-restart 20"
set interfaces openvpn vtun0 openvpn-option "--ping-timer-rem"
set interfaces openvpn vtun0 openvpn-option "--persist-tun"
set interfaces openvpn vtun0 openvpn-option "--persist-key"
set interfaces openvpn vtun0 openvpn-option "--user nobody"
set interfaces openvpn vtun0 openvpn-option "--group nogroup"

# Dile EdgeRouter la subred remota

set protocols static interface-route 192.168.2.0/24 next-hop-interface vtun0

# Commit, guardar y salir del modo de configuración

commit
save
exit

Paso 4: configurar Router 2

 # Entrar en el modo de configuración

configure

# Configurar el OpenVPN

set interfaces openvpn vtun0
set interfaces openvpn vtun0 mode site-to-site

# Asignar puertos para el uso de OpenVPN

set interfaces openvpn vtun0 local-port 1194
set interfaces openvpn vtun0 remote-port 1194

# Asignación de una dirección local para el uso de OpenVPN

set interfaces openvpn vtun0 local-address 10.99.99.2

# Asignar una dirección remota para el uso de OpenVPN

set interfaces openvpn vtun0 remote-address 10.99.99.1

# Dile OpenVPN la dirección pública del sistema remoto

set interfaces openvpn vtun0 remote-host system1.dyndns.com

# OpenVPN de decir donde se encuentra el archivo secreto

set interfaces openvpn vtun0 shared-secret-key-file /config/auth/secret

# Habilitar compresión (opcional: debe hacer en ambos lados o ni)

set interfaces openvpn vtun0 openvpn-option "--comp-lzo"

# Permitir flotar, Ping y otras opciones de seguridad (opcional: ver página de Man de OpenVPN para detalles)

set interfaces openvpn vtun0 openvpn-option "--float"
set interfaces openvpn vtun0 openvpn-option "--ping 10"
set interfaces openvpn vtun0 openvpn-option "--ping-restart 20"
set interfaces openvpn vtun0 openvpn-option "--ping-timer-rem"
set interfaces openvpn vtun0 openvpn-option "--persist-tun"
set interfaces openvpn vtun0 openvpn-option "--persist-key"
set interfaces openvpn vtun0 openvpn-option "--user nobody"
set interfaces openvpn vtun0 openvpn-option "--group nogroup"

# Dile Edgerouter la subred remota

set protocols static interface-route 192.168.1.0/24 next-hop-interface vtun0

# Commit, guardar y salir del modo de configuración

commit
save
exit

Usted debe hacer!

Comandos adicionales


Puede utilizar estas opciones de línea de comandos adicional después del túnel es creado.

Comprobar el estado del túnel

show interfaces openvpn
show interfaces openvpn detail
show openvpn status site-to-site

Reiniciar el túnel 

reset openvpn interface vtun0

Notas: el remoto dirección dirección local son direcciones únicas utilizadas por OpenVPN.  No debe ser parte de la subred local de cada máquina.  

Configurar un túnel entre 1 Router y un Router (Router 3) tercero, tomar la vtun0 vtun1. Cambiar el puerto local y remoto a otro puerto (por ejemplo, 1195). Cambiar dirección local y dirección remota a otra cosa (es decir, 10.99.99.3 y 10.99.99.4).