...utilizado exclusivamente por Panda

Servidor OpenVPN

Si se configura el dispositivo Panda GateDefender como un servidor OpenVPN, puede aceptar conexiones remotas del enlace activo y permitir que se configure un cliente VPN y que funcione como si fuera una estación de trabajo o un servidor locales.

A partir de la versión 5.50, el servidor OpenVPN implementado en el dispositivo Panda GateDefender permite la presencia simultánea de varias instancias. Cada servidor escuchará un puerto diferente, y solo aceptará conexiones entrantes en ese puerto. Además, si el hardware en el que está instalado el dispositivo Panda GateDefender tiene múltiples núcleos de CPU, a cada instancia se le puede asignar más de un núcleo, lo que se traduce en un aumento del rendimiento y el procesamiento de datos de esa instancia. Sin embargo, también es posible tener varias instancias de OpenVPN ejecutándose en un dispositivo equipado con una CPU de un solo núcleo, aunque esto hace que la CPU gestione la carga de todas las instancias.

Configuración del servidor

Esta página muestra un interruptor Habilitar servidor OpenVPN . Al hacer clic en él, se iniciarán el servidor OpenVPN y todos los servicios relacionados con él (por ejemplo, el Firewall VPN, si está activado). A continuación hay un cuadro, Configuración de OpenVPN, que permite configurar algunos ajustes generales. Justo debajo, un enlace permite definir una nueva instancia de servidor, mientras que en la parte inferior de la página aparece la lista de los servidores OpenVPN disponibles que se ejecutan en el dispositivo Panda GateDefender, si ya se ha definido alguno. La lista muestra los siguientes datos sobre cada instancia definida del servidor OpenVPN: el nombre, las observaciones y detalles sobre la configuración, a saber, el puerto en el que escucha, el protocolo, el tipo de dispositivo y el tipo de red. Por último, las acciones disponibles son:

• : el servidor está activo o detenido.
• : modifica la configuración del servidor.
• : elimina la configuración y el servidor.

Nota:

al iniciar el servidor OpenVPN por primera vez, los certificados de root y de host se generan automáticamente.

Configuración de OpenVPN

El cuadro de la parte superior muestra la configuración de OpenVPN actual, que está relacionada con el método de autenticación y es la siguiente:

Tipo de autenticación

Existen tres métodos de autenticación disponibles para conectar los clientes al servidor OpenVPN que se ejecuta en el dispositivo Panda GateDefender:

• PSK (nombre de usuario y contraseña). La conexión se establece tras proporcionar el nombre de usuario y la contraseña correctos.
• Certificado X.509. Solo es necesario un certificado válido para conectarse.
• Certificado X.509 y PSK (dos factores). Además de un certificado válido, se necesitan un nombre de usuario y una contraseña.

Advertencia:

al utilizarse la autenticación solo por certificado, un cliente con un certificado válido podrá acceder al servidor OpenVPN aunque no posea una cuenta válida.

El método predeterminado del dispositivo Panda GateDefender es PSK (nombre de usuario/contraseña). El cliente se autentica utilizando un nombre de usuario y una contraseña. No se necesita ningún cambio adicional para utilizar este método, mientras que los otros dos métodos se describen debajo.

Configuración de certificado

Este menú desplegable se utiliza para seleccionar el método de creación de un nuevo certificado. Las opciones disponibles son:

• Generar un certificado nuevo. Crea un certificado nuevo desde cero. Esta opción solo está disponible si no se ha generado ningún certificado del host. Se abrirá un formulario en el que podrá especificar todas las opciones necesarias para crear un certificado nuevo. Son las mismas que presenta el editor de generación de nuevos certificados, con dos pequeño cambios: Nombre común se convierte en Nombre de host del sistema y Nombre de la unidad organizativa se convierte en Nombre del departamento.

• Usar certificado seleccionado. Seleccione un certificado entre los disponibles, que se muestran en el lado derecho del menú desplegable. Es posible ver los detalles completos de este certificado haciendo clic en el hipervínculo Ver detalles.

  Sugerencia:

  el nombre del certificado seleccionado aparecerá justo encima del hipervínculo.

• Usar un certificado existente. Un segundo menú desplegable a la izquierda permite seleccionar un certificado que ya se ha creado y almacenado en el dispositivo Panda GateDefender.

• Cargar un certificado. Haciendo clic en el botón Examinar... que aparece debajo del menú desplegable será posible seleccionar un certificado existente desde la estación de trabajo y cargarlo. La contraseña para el certificado, si es necesaria, se puede proporcionar en el campo de texto de la derecha.

• Cargar una solicitud de firma de certificado. Se puede hacer clic en el botón Examinar... que aparece debajo del menú desplegable para seleccionar una solicitud de firma de certificado existente desde la estación de trabajo y cargarla. La validez del certificado en días puede indicarse en el campo de texto de la derecha.

Instancias del servidor OpenVPN

La lista de instancias de OpenVPN ya definidas aparece en este panel, encima del cual está el hipervínculo Añadir nueva instancia del servidor OpenVPN. Al hacer clic en este enlace, se abre un editor en el que indicar todos los valores de configuración necesarios para una nueva instancia de VPN.

Nota:

cuando el número de instancias de OpenVPN supera los núcleos disponibles, un aviso amarillo indica que el rendimiento puede disminuir.

En el editor, aparecen las siguientes opciones de configuración.

Nombre

El nombre asignado a la instancia del servidor OpenVPN.

Observaciones

Un comentario para esta instancia.

Enlazar solo con

La dirección IP a la que la instancia debería escuchar.

Puerto

El puerto en el que la instancia espera conexiones entrantes.

Tipo de dispositivo

El dispositivo utilizado por la instancia, elegido entre TUN y TAP en el menú desplegable. Los dispositivos TUN necesitan que el tráfico se enrute, por lo que la opción Enlazado que aparece más adelante no está disponible para los dispositivos TUN.

Protocolo

El protocolo utilizado, elegido entre TCP y UDP en el menú desplegable.

Enlazado

Marque esta opción para ejecutar el servidor OpenVPN en modo enlazado, es decir, dentro de una de las zonas existentes.

Nota:

si el servidor OpenVPN no está enlazado (es decir, está enrutado), los clientes recibirán sus direcciones IP desde una subred específica. En este caso, deberán crearse reglas del firewall apropiadas en Firewall VPN para asegurarse de que los clientes puedan acceder a cualquier zona, o a algún servidor/recurso (por ejemplo, un repositorio de código fuente). Si el servidor OpenVPN está enlazado, hereda la configuración del firewall de la zona en la que se encuentra definido.

Subred VPN

Esta opción solo está disponible si el modo enlazado está desactivado. Permite que el servidor OpenVPN se ejecute en su propia subred dedicada, que puede especificarse en la casilla de texto y que debería ser diferente de las subredes de las otras zonas.

Enlazar a

La zona a la cual deberá enlazarse el servidor OpenVPN. El menú desplegable solamente muestra las zonas disponibles.

Dirección inicial del conjunto de IP dinámicas

La primera dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.

Dirección final del conjunto de IP dinámicas

La última dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.

Servidor OpenVPN enrutado y enlazado, estático y dinámico.

Al configurar un grupo de direcciones IP para reservarlas para clientes que se conectan a través de OpenVPN, es necesario recordar unas pautas que contribuirán tanto a la prevención de futuros errores de funcionamiento como a un diseño y una configuración más limpios y fáciles de configurar.

Antes de comenzar la configuración del servidor, existe una regla de oro que hay que recordar respecto a la implementación de la arquitectura multinúcleo VPN. Con independencia de si se usa el modo enlazado o el enrutado para una instancia de servidor VPN multinúcleo, se omite la reserva de direcciones IP estáticas. En otras palabras, un cliente que se conecte a este servidor VPN recibirá una dirección IP dinámica, aunque en su configuración haya una asignación de IP estática.

Lo primero es definir si el servidor OpenVPN debe actuar en modo enrutado o en modo enlazado. En el primer caso, es necesario definir una subred VPN adecuada que proporcione las direcciones IP a los clientes. El tráfico dirigido a esta subred debe filtrarse, en caso necesario, utilizando el Firewall VPN. En el segundo caso, el servidor OpenVPN se configura para considerar los clientes, tras conectarse, como si estuvieran conectados físicamente a esa zona, es decir, el servidor enlaza el cliente a una de las zonas. En este caso, se debe definir un grupo de direcciones IP dentro de esa zona mediante las dos opciones que aparecen justo antes de este cuadro. Ese grupo debe estar completamente contenido en la subred de la zona y debe ser menor que la subred. También es importante asegurarse de que este grupo no entre en conflicto con otros grupos definidos en esa zona, por ejemplo, un servidor DHCP.

En un servidor OpenVPN enlazado es posible asignar una dirección IP estática a algunos (o incluso a todos) usuarios. Cuando planifique esta posibilidad, es una buena práctica que estas direcciones IP estáticas no pertenezcan a ninguno de los grupos de IP definidos en esa zona para evitar conflictos de direcciones y enrutamientos equivocados. El tráfico a este cliente concreto puede filtrarse mediante el usuario VPN (o IPsec) como origen o destino del tráfico en las reglas del firewall.

En el cuadro Opciones avanzadas pueden configurarse opciones adicionales.

Número de núcleos

El menú desplegable permite elegir cuántas CPU del dispositivo Panda GateDefender puede utilizar la instancia, por lo que las opciones del menú desplegable pueden variar.

Permitir conexiones múltiples desde una cuenta

Generalmente, un cliente no puede conectarse desde más de una ubicación al mismo tiempo. Al seleccionar esta opción, se permite el inicio de sesión múltiple de los clientes, incluso desde diferentes ubicaciones. Sin embargo, cuando el mismo cliente está conectado dos o más veces, las reglas del firewall VPN ya no se aplican.

Bloquear respuestas DHCP que provienen del túnel

Marque esta casilla cuando reciba respuestas DHCP desde la LAN del otro lado del túnel VPN que se encuentren en conflicto con el servidor DHCP local.

Conexiones de cliente a cliente

Seleccione en el menú desplegable las modalidades de las comunicaciones entre los clientes del servidor OpenVPN:

• No permitido: los clientes no pueden comunicarse el uno con el otro.
• Permitir conexiones directas: los clientes pueden conectarse. Esta opción solo está disponible en CPU de un solo núcleo.
• Filtrar conexiones en el Firewall VPN. Los clientes pueden comunicarse entre sí, pero su tráfico se rige por el Firewall VPN.

Enviar estos nombres de servidores

Al marcar esta casilla, el servidor de nombres especificado en el siguiente campo de texto se envía a los clientes tras conectarse.

Servidores de nombres

Los servidores de nombres especificados en este campo de texto se envían a los clientes conectados, si está marcada la casilla anterior.

Enviar estas redes

Al marcar esta casilla, las rutas hacia las redes definidas en el siguiente campo de texto se envían a los clientes conectados.

Redes

Las redes especificadas en este campo de texto se envían a los clientes conectados, si está marcada la casilla anterior.

Enviar este dominio

Al marcar esta casilla, el dominio de búsqueda definido en el campo de texto de la derecha se añadirá a los de los clientes conectados.

Dominio

El dominio que se utilizará para identificar los servidores y los recursos de red en la red VPN (es decir, el dominio de búsqueda).

Nota:

las opciones Enviar estos nombres de servidores y Enviar dominio solo funcionan para clientes que utilizan el sistema operativo Microsoft Windows.

La primera vez que se inicia el servicio se genera un nuevo certificado CA autofirmado para este servidor OpenVPN, operación que puede tardar bastante tiempo. Tras haber generado el certificado, podrá descargárselo haciendo clic en el enlace Descargar certificado CA. Todos los clientes que deseen conectarse a este servidor OpenVPN deberán utilizar este certificado. De lo contrario, no podrán acceder.

Después de haber configurado el servidor, es posible crear y configurar cuentas en la pestaña Autenticación para los clientes que pueden conectarse al dispositivo Panda GateDefender.

Activado

Marque esta casilla para asegurarse de que se inicie el servidor OpenVPN.

Resolución de problemas de las conexiones VPN.

Aunque pueden reconocerse fácilmente varios problemas con las conexiones VPN mirando la configuración, una de las fuentes sutiles de problemas de conexión es un valor erróneo del tamaño MTU. El dispositivo Panda GateDefender fija un límite de 1.450 bytes para el tamaño MTU de VPN con el fin de evitar problemas con el valor MTU utilizado habitualmente por los ISP, que es 1.500. Sin embargo, algunos ISP pueden utilizar un tamaño MTU inferior al valor que se utiliza habitualmente, por lo que el valor MTU de Panda quizá sea demasiado grande y provoque problemas de conexión (el más notorio es probablemente la imposibilidad de descargar archivos grandes). Puede modificarse dicho valor accediendo al dispositivo Panda GateDefender desde CLI y siguiendo las instrucciones que se indican a continuación:

1. Escriba el tamaño MTU que utiliza el ISP (véase el enlace a continuación).
2. Inicie sesión en CLI, ya sea desde un shell o desde Barra de menú ‣ Sistema ‣ Consola Web.
3. Edite la plantilla OpenVPN con el editor preferido: nano /etc/openvpn/openvpn.conf.tmpl.
4. Busque la cadena mssfix 1450.
5. Reemplace 1450 por un valor menor, por ejemplo, 1200.
6. Reinicie OpenVPN con el comando jobcontrol restart openvpnjob.

Véase también:

Más información sobre el tamaño MTU.