Inicio » Blog » ¿ Cómo configurar un cliente OpenVPN en los routers Teltonika y en Windows ?

¿ Cómo configurar un cliente OpenVPN en los routers Teltonika y en Windows ?

En el pasado post vimos cómo arrancar un servidor OpenVPN en Windows. Hoy te explicaremos cómo configurar tu router Teltonika como cliente VPN para que se conecte al servidor y también como configurar un cliente OpenVPN en tu ordenador para que puedas acceder a todos los routers aunque no tengan IP fija o pública.

Configurar un cliente OpenVPN en los routers Teltonika

En primer lugar deberemos saber qué cliente será nuestro router (en nuestro ejemplo tenemos 5 clientes, client-tets1 a client-test5). En función del cliente tendremos que cargar los certificados correspondientes y fijaremos la dirección IP LAN del router en el rango que fijamos tanto en fichero .ovpn del servidor como en los ficheros del subdirectorio /ccd.

Una vez configurada la LAN y la parte móvil con el APN/username/password, iremos al menú Services – VPN – OpenVPN y crearemos una instancia cliente.

En la página que se nos abre tendremos que habilitar el cliente, configurar los parámetros generales de forma idéntica al servidor (TUN, TCP o UDP, puerto de conexión, compresión, tipo de encriptación,…). En Remote Host/IP pondremos la IP o el nombre de dominio de nuestro servidor VPN (vpn.davantel.com en nuestro ejemplo).

En Remote network IP address y netmask deberíamos poner el rango LAN de nuestro servidor VPN. Como en nuestro caso lo tenemos montado en un servidor con una única tarjeta de red y dirección IP pondremos este rango de direcciones.

A continuación cargaremos los certificados y claves del cliente. Por ejemplo, si estamos instalando el cliente-test1, cargaremos el fichero ca.crt en Certificate authority, el fichero client-test1.crt en Client certificate y el fichero client-test1.key en Client key.

En nuestro ejemplo hemos definido una clave TLS de autenticación adicional (ta.key) y que generamos en el propio servidor VPN. Para usarla marcaremos la opción Additional HMAC authentication y cargaremos el fichero ta.key en HMAC authentication key. Finalmente escogeremos el valor ‘1’ en HMAC key direction (se usa ‘0’ para el servidor y ‘1’ para los clientes).

Finalmente pincharemos en Save para guardar toda la configuración. Si todo es correcto el router ya intentará conectar con el servidor VPN. Estas conexiones podemos comprobarlas tanto en el propio router en el menú System – Administration – Troubleshoot y pinchando en System Log – Show como también en la ventana de estado del servidor VPN.

Si no somos capaces de ver la conexión entrante del router cliente en el servidor deberemos confirmar que la IP o el nombre del dominio del servidor están correctos y que hemos abierto el puerto que usemos para la VPN (1194 por defecto para OpenVPN en el router de Internet de nuestra oficina) y lo hemos redireccionado hacia la IP de nuestro servidor VPN.

Configurar un cliente OpenVPN en Windows

El último paso en nuestra maqueta será configurar nuestro PC como un cliente OpenVPN. De esta forma, podremos conectarnos de forma segura al servidor y desde éste, a cualquier router cliente o incluso a los dispositivos que cuelguen de la LAN de los routers.

Alternativamente, podríamos saltarnos este paso y conectarnos a los clientes únicamente desde el propio servidor VPN. En este caso podríamos anular el comando cliente-to-client que configuramos en el servidor si es que no queremos que los clientes se vean entre sí y las comunicaciones siempre serán entre servidor y cliente.

La configuración del cliente en Windows es muy similar a la del servidor. Todos los ajustes deben recogerse en el fichero de configuración .ovpn del cliente.

Los comandos de mayor interés son los siguientes

remote vpn.davantel.com 1194

Este comando nos indica que estamos en un cliente y que el servidor está en la dirección vpn.davantel.com y en el puerto 1194

ca ca-test.crt
cert client-test3.crt
key client-test3.key

Al igual que en el servidor debemos cargar e indicar los certificados y claves. En nuestro ejemplo estamos configurando el client-test3 y por tanto cargamos el ca.crt y el certificado y clave correspondiente a este cliente. Como comentamos en el pasado post, el certificado debe tener como CN (Common Name) exactamente el texto client-test3. De esta forma el servidor asociará el fichero de configuración con este nombre y le asignará la dirección del túnel y la ruta a la LAN de nuestro cliente.

tls-auth ta.key 1

Adicionalmente usamos la clave de autenticación TLS con el parámetro de dirección fijado a ‘1’ ya que estamos configurando un cliente.

redirect-gateway def1

Este comando hace que nuestro ordenador rute todo el tráfico con destino a una red diferente a la nuestra a través del túnel VPN sin necesidad de crear ninguna ruta por defecto en nuestro sistema operativo Windows. Este comando nos permite poder acceder tanto a las direcciones de los endpoints (10.8.0.0) como a las direcciones de las LAN de los otros clientes (192.168.40.0, 192.168.50.0, …) sin necesidad de crear manualmente ninguna ruta. Debemos tener en cuenta que al aplicar este comando podemos perder el acceso a Internet salvo que lo hayamos configurado en el servidor VPN ya que todo nuestro tráfico se rutará hacia él.

Descarga de certificados, claves y ficheros .ovpn

Queremos ayudarte a poner en marcha tu VPN. Por ello, puedes suscribirte a nuestro blog rellenando el siguiente formulario y podrás descargarte un fichero zip con tres subdirectorios:

  • certificados y claves: donde incluimos los certificados para el servidor y hasta 5 clientes
  • config client-test3: donde incluimos de nuevo los certificados y el fichero .ovpn para el client-test3
  • config server: donde incluimos de nuevo los certificados y el fichero .ovpn del servidor

El fichero zip está encriptado. Recibirás por email la clave de encriptación para poder abrir y usar los archivos.

Puedes usar estos ficheros para:

  • configurar un router Teltoniika como cliente VPN y probarlo contra nuestro servidor (hazlo como client3, client4 o client5)
  • configurar tu PC con un cliente VPN y también conectarte a nuestro servidor (hazlo como client3, cliente4 o client5)
  • para montar tu mismo el servidor y los clientes. En este caso deberás, lógicamente, modificar la dirección IP o nombre del servidor con la de tu máquina. Una vez verificado puedes generar tú mismo tus propios certificados y cargarlos en el servidor y en los clientes.

No te podemos garantizar que el servidor y los routers clientes estén operativos 24×7. Si tienes problemas de conexión o conectando no ves alguno de los otros clientes envíanos un email a info@davantel.com y te contestaremos lo antes posible.

Formulario de registro a nuestro blog para descarga de ficheros OpenVPN

1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (2 votos, promedio: 5,00 de 5)
Cargando...