Resumen
Los lectores aprenderán cómo configurar una VPN de sitio a sitio usando OpenVPN con dos Ubiquiti EdgeRouters.
Hipótesis: que desee conectar dos Edgerouters juntos usando OpenVPN. Los dos routers están configurados como sigue.
El enrutador 1 :
externa IP/nombre: system1.dyndns.com (también puede utilizar una dirección IP externa)
interno IP: 192.168.1.1
El enrutador 2 :
externa IP/nombre: system2.dyndns.com (también puede utilizar una dirección IP externa)
interno IP: 192.168.2.1
Si los enrutadores utilizan IPs diferentes o si tienen diferentes nombres, cambiarlos que aparecen en estas instrucciones.
Pasos
Paso 1: en el Router 1, acceder a la línea de comandos y crear una clave previamente compartida (no en el modo de configurar, pero en modo de funcionamiento).
generate vpn openvpn-key /config/auth/secret
Paso 2: transferir la clave previamente compartida para la otra máquina
Ya sea:
Opción A. esta opción asume que el nombre del sistema remoto todavía es ubnt. Si ha cambiado el nombre de usuario por defecto, cambiar ubnt el siguiente comando para ese nuevo nombre de usuario. Esto también supone que el equipo remoto puede aceptar remoto ssh conexiones, es decir, que el puerto 22 (SSH/SCP) es la aceptación de entrada de internet. Si el sistema remoto no acepta comandos SSH/SCP de la
internet, usar la opción B:
sudo scp /config/auth/secret [email protected]:/config/auth/secret
O:
opción B: ve la clave previamente compartida en el Router 1:
sudo cat /config/auth/secret
Copie el contenido en el portapapeles.
Entrar a Router 2 usando ssh. Crear el archivo:
cat > /config/auth/secret
Pegar el texto desde el portapapeles.
Pegar CTRL-D para guardar el archivo.
Cambiar los permisos sobre el archivo que acaba de crear:
chmod 600 /config/auth/secret
Paso 3: configurar Router 1
# Entrar en el modo de configuración
configure
# Configurar OpenVPN para utilizar vtun0
set interfaces openvpn vtun0
set interfaces openvpn vtun0 mode site-to-site
# Asignar puertos para el uso de OpenVPN
set interfaces openvpn vtun0 local-port 1194
set interfaces openvpn vtun0 remote-port 1194
# Asignación de una dirección local para el uso de OpenVPN
set interfaces openvpn vtun0 local-address 10.99.99.1
# Asignar una dirección remota para el uso de OpenVPN
set interfaces openvpn vtun0 remote-address 10.99.99.2
# Dile OpenVPN la dirección pública del sistema remoto
set interfaces openvpn vtun0 remote-host system2.dyndns.com
# OpenVPN de decir donde se encuentra el archivo secreto
set interfaces openvpn vtun0 shared-secret-key-file /config/auth/secret
# Habilitar compresión (opcional: debe hacer en ambos lados o ni)
set interfaces openvpn vtun0 openvpn-option "--comp-lzo"
# Permitir flotar, Ping y otras opciones de seguridad (opcional: ver página de Man de OpenVPN para detalles)
set interfaces openvpn vtun0 openvpn-option "--float"
set interfaces openvpn vtun0 openvpn-option "--ping 10"
set interfaces openvpn vtun0 openvpn-option "--ping-restart 20"
set interfaces openvpn vtun0 openvpn-option "--ping-timer-rem"
set interfaces openvpn vtun0 openvpn-option "--persist-tun"
set interfaces openvpn vtun0 openvpn-option "--persist-key"
set interfaces openvpn vtun0 openvpn-option "--user nobody"
set interfaces openvpn vtun0 openvpn-option "--group nogroup"
# Dile EdgeRouter la subred remota
set protocols static interface-route 192.168.2.0/24 next-hop-interface vtun0
# Commit, guardar y salir del modo de configuración
commit
save
exit
Paso 4: configurar Router 2
# Entrar en el modo de configuración
configure
# Configurar el OpenVPN
set interfaces openvpn vtun0
set interfaces openvpn vtun0 mode site-to-site
# Asignar puertos para el uso de OpenVPN
set interfaces openvpn vtun0 local-port 1194
set interfaces openvpn vtun0 remote-port 1194
# Asignación de una dirección local para el uso de OpenVPN
set interfaces openvpn vtun0 local-address 10.99.99.2
# Asignar una dirección remota para el uso de OpenVPN
set interfaces openvpn vtun0 remote-address 10.99.99.1
# Dile OpenVPN la dirección pública del sistema remoto
set interfaces openvpn vtun0 remote-host system1.dyndns.com
# OpenVPN de decir donde se encuentra el archivo secreto
set interfaces openvpn vtun0 shared-secret-key-file /config/auth/secret
# Habilitar compresión (opcional: debe hacer en ambos lados o ni)
set interfaces openvpn vtun0 openvpn-option "--comp-lzo"
# Permitir flotar, Ping y otras opciones de seguridad (opcional: ver página de Man de OpenVPN para detalles)
set interfaces openvpn vtun0 openvpn-option "--float"
set interfaces openvpn vtun0 openvpn-option "--ping 10"
set interfaces openvpn vtun0 openvpn-option "--ping-restart 20"
set interfaces openvpn vtun0 openvpn-option "--ping-timer-rem"
set interfaces openvpn vtun0 openvpn-option "--persist-tun"
set interfaces openvpn vtun0 openvpn-option "--persist-key"
set interfaces openvpn vtun0 openvpn-option "--user nobody"
set interfaces openvpn vtun0 openvpn-option "--group nogroup"
# Dile Edgerouter la subred remota
set protocols static interface-route 192.168.1.0/24 next-hop-interface vtun0
# Commit, guardar y salir del modo de configuración
commit
save
exit
Usted debe hacer!
Comandos adicionales
Puede utilizar estas opciones de línea de comandos adicional después del túnel es creado.
Comprobar el estado del túnel
show interfaces openvpn
show interfaces openvpn detail
show openvpn status site-to-site
Reiniciar el túnel
reset openvpn interface vtun0
Notas: el remoto dirección dirección local son direcciones únicas utilizadas por OpenVPN. No debe ser parte de la subred local de cada máquina.
Configurar un túnel entre 1 Router y un Router (Router 3) tercero, tomar la vtun0 vtun1. Cambiar el puerto local y remoto a otro puerto (por ejemplo, 1195). Cambiar dirección local y dirección remota a otra cosa (es decir, 10.99.99.3 y 10.99.99.4).