Manual de configuración del servidor VPN del router Edimax BR-6208AC V2
La semana pasada en RedesZone publicamos un completo análisis del router Edimax BR-6208AC V2, una de las principales características de este router de gama de entrada es que dispone de un servidor VPN de tipo OpenVPN, ideal para conectarnos de manera remota a nuestro hogar para ver los recursos compartidos. En este artículo os ofrecemos un completo manual de cómo configurarlo y qué aspectos debemos tener en cuenta. Os recomendamos visitar nuestro tutorial sobre qué es WISP.
Lo primero que debemos destacar de este servidor VPN de Edimax es que es su configuración es muy sencilla, no es necesario tener conocimientos avanzados de redes para poder configurarlo, tampoco tendremos que saber sobre criptografía o sobre cómo configurar una infraestructura de clave pública, todo lo hará automáticamente el propio router. Conoce todos los puertos TCP de los servidores VPN en nuestro tutorial.
El único requisito que debemos tener en cuenta es que el puerto WAN de Internet debe tener una IP pública, esto se debe a que es obligatorio el uso del servicio Dynamic DNS de Edimax (Edimax DDNS), y de lo contrario no funcionará. En las dos siguientes imágenes podéis ver el aviso del propio servidor VPN cuando no tenemos una IP pública en la WAN, y a continuación cuando sí tenemos una IP pública:
La configuración inicial del Edimax BR-6208AC V2 es con la conexión a Internet configurada, y con una IP pública en la WAN, tal y como podéis ver a continuación no se ha hecho ninguna configuración especial:
Si nos vamos a la sección de Internet/Servidor VPN veremos el menú de configuración de OpenVPN, como podéis ver, por defecto está desactivado y simplemente hay que pinchar en el botón de habilitar que está en la parte superior:
Dependiendo de si tenemos una IP WAN pública o privada, nos saldrá un mensaje de error o un mensaje informativo indicando que se va a usar el servicio Edimax DDNS. Una vez iniciado el servidor OpenVPN deberíamos ver la configuración por defecto, configuración que no podremos modificar.
La subred de la VPN será la 10.8.0.0/24 que es la de por defecto de OpenVPN, el protocolo de capa de transporte será UDP y el puerto será el 443, todos estos datos no permiten cambiarse.
Lo que sí podremos hacer es añadir una cuenta para el inicio de sesión en el servidor OpenVPN, tal y como podéis ver en la parte inferior de la fotografía anterior, hemos dado de alta el cliente «redeszone» y con la contraseña «claveredeszone». Estos credenciales los utilizaremos posteriormente para conectarnos a dicho servidor, de lo contrario la conexión VPN no se establecerá ya que no estamos autenticados.
Dos modos de conexión a la VPN: redirección de todo el tráfico o solo el tráfico de la red local doméstica
El software OpenVPN nos permite dos modos principales de conexión a la VPN.
- El primer modo nos permite enviar todo el tráfico a través del servidor VPN, esto significa que saldremos a Internet con la IP pública de nuestro hogar, y todo el tráfico desde donde nos conectemos hasta nuestro hogar estará cifrado y autenticado. Este modo de configuración es ideal para salir a Internet sin ningún tipo de restricción, además, nos proporciona seguridad a la hora de navegar por Internet si estamos conectados a redes Wi-Fi públicas.
- El segundo modo nos permite enviar únicamente el tráfico de la red doméstica por la VPN, esto significa que el tráfico que irá por este servidor OpenVPN será cuando solicitemos recursos en nuestra red local, si por ejemplo tenemos un servidor NAS en la subred 192.168.2.0/24 podremos acceder sin problemas y todo el tráfico pasará por ahí, sin embargo, si nos conectamos a Facebook, Twitter o Google el tráfico irá directo a estos servicios sin pasar por la VPN.
Edimax también ha incorporado en este router enlaces a manuales en PDF para configurar los clientes OpenVPN con el router, ideal para los usuarios menos avanzados. Actualmente tenemos manuales para los siguientes sistemas operativos:
- Microsoft Windows de escritorio.
- Mac OS X
- Apple iOS
- Dispositivos Android
Hoy en RedesZone os vamos a explicar cómo configurar OpenVPN en sistemas Windows, y cómo poner en marcha el cliente.
Descarga de OpenVPN para Microsoft Windows y puesta en marcha del cliente
Lo primero que tenemos que hacer es descargar el cliente OpenVPN para sistemas Windows, debéis ir directamente a la sección de descargas de OpenVPN pinchando aquí. Veréis varias versiones y vosotros tenéis que descargar la última donde pone «Installer, Windows Vista and later».
Una vez descargado el programa e instalado, debéis pinchar en el firmware de Edimax en el botón de «EXPORTAR» para descargarnos el fichero de configuración y conectarnos rápidamente. Debéis elegir cualquiera de los dos botones (enviar todo el tráfico o solo el de la red doméstica).
Una vez descargado el fichero de configuración, nos vamos a la ruta de instalación de OpenVPN (por defecto C:Archivos de ProgramaOpenVPNconfig) y ahí movemos el fichero de configuración que hemos descargado del firmware de Edimax.
Una vez que lo hayamos movido ahí, si ejecutamos el software OpenVPN y hacemos click izquierdo sobre el icono, nos aparecerá algo así:
Seleccionamos «EDIMAX» y pulsamos en conectar, una vez que pulsemos, se nos abrirá una nueva ventana y nos pedirá el usuario y clave que hemos dado de alta en el servidor OpenVPN. En la siguiente captura de pantalla podéis ver la interfaz gráfica de usuario:
Cuando introduzcamos nuestros credenciales, comenzará a conectarse y nos mostrará todo el registro:
Por último, cuando termine la conexión VPN a nuestra casa nos aparecerá un mensaje indicándonos que se ha conectado correctamente:
Y ya tendremos acceso a nuestra VPN, dependiendo del archivo de configuración descargado del router, todo el tráfico pasará por la VPN o solo el que vaya a la red doméstica.
Seguridad de la OpenVPN del router Edimax EW-6208AC V2
La seguridad de este servidor VPN tiene un nivel que podemos calificar como «medio-alto», es más alto que la VPN que incorporan otros fabricantes, pero sería deseable que la seguridad en ciertos aspectos fuera algo mejor.
La autoridad de certificación (CA) y el certificado de los clientes usan RSA de 2048 bits, sería deseable que usaran RSA de 4096 bits para dotar a las claves criptográficas de una mayor seguridad. El algoritmo de firma es SHA1, sería deseable que usara SHA256 ya que aún no tiene colisiones. A continuación, podéis ver la CA completa:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
cd:67:fb:b1:f5:6a:2b:39
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=TW, ST=TW, L=NTP, O=Edimax, OU=WhatIsOU, CN=WhatIsCN/name=WhatIsMyName/emailAddress=service@edimax.com.tw
Validity
Not Before: Jan 28 08:33:13 2015 GMT
Not After : Jan 25 08:33:13 2025 GMT
Subject: C=TW, ST=TW, L=NTP, O=Edimax, OU=WhatIsOU, CN=WhatIsCN/name=WhatIsMyName/emailAddress=service@edimax.com.tw
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:b6:b3:0c:4b:e0:52:50:d1:dd:cf:19:3d:36:3d:
ed:27:0a:f1:54:fd:99:01:b4:4c:88:57:f5:d7:1e:
83:5e:aa:e3:e8:1d:9e:09:52:6a:0a:ee:87:16:3b:
39:14:9a:07:37:a6:d2:77:27:c2:da:0b:df:f4:14:
b1:20:85:10:ae:8a:09:b7:ac:1f:22:e1:78:65:5f:
c1:a8:15:c7:91:ca:97:4a:e6:cd:da:b0:47:3c:6e:
ac:de:49:a7:24:a7:c0:9e:43:82:82:62:53:19:e9:
d4:d1:d3:b1:64:c7:77:b9:c5:25:03:3d:e2:17:b9:
54:07:f3:96:9c:f7:14:fe:73:94:51:e0:73:e7:00:
ea:dc:d3:ff:37:eb:75:6b:23:72:f1:80:1b:16:0f:
26:a8:ca:53:a8:df:c2:86:e4:eb:3f:1f:27:24:75:
47:f8:01:bf:97:3e:e0:c9:96:3e:4d:5f:4b:78:f6:
31:6e:54:5b:b7:a8:f1:08:51:5e:e6:2a:31:6a:a8:
3e:de:b2:28:89:b1:49:45:86:5c:67:ce:53:bd:d4:
21:73:8e:35:16:08:1d:65:59:01:f7:e8:cc:d9:dd:
d6:55:2e:9a:f6:a1:2d:10:ee:c1:66:9c:bd:93:62:
5c:be:9e:54:fa:1b:1d:86:ac:63:c6:ea:d4:40:08:
cd:71
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
D4:B8:00:70:33:B4:53:04:90:1D:17:BE:40:58:88:B8:9D:8D:1A:0E
X509v3 Authority Key Identifier:
keyid:D4:B8:00:70:33:B4:53:04:90:1D:17:BE:40:58:88:B8:9D:8D:1A:0E
DirName:/C=TW/ST=TW/L=NTP/O=Edimax/OU=WhatIsOU/CN=WhatIsCN/name=WhatIsMyName/emailAddress=service@edimax.com.tw
serial:CD:67:FB:B1:F5:6A:2B:39
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha1WithRSAEncryption
65:78:c7:46:96:d0:56:10:66:d2:05:d4:01:ff:b9:75:bb:6f:
20:72:18:d8:b9:73:49:ec:16:da:bb:e3:1e:3e:31:38:d5:2e:
db:b6:b6:83:97:89:e9:b1:54:06:69:45:b3:bd:3a:08:f4:87:
c4:3e:f2:91:8b:ab:1e:98:e0:15:0d:57:8e:2d:87:8c:3a:54:
06:ab:5c:a5:84:bb:4f:57:bf:9c:6e:a1:4c:78:5d:d2:07:62:
27:dd:fb:cb:ca:2f:d3:1b:d7:6b:76:69:5d:5a:f4:98:c9:0d:
c4:26:ec:7a:fb:49:81:04:ae:db:55:b2:59:1e:06:55:ee:72:
b2:3c:01:59:4e:53:9a:f2:7d:ec:c6:7b:b2:0e:05:c9:a5:8a:
e3:92:22:2c:b8:d1:ce:34:1e:a9:7e:5b:6d:11:d5:a8:03:7c:
da:50:41:dd:4e:e5:42:e3:27:e4:9a:61:0b:a3:34:d0:f1:88:
7d:e1:be:de:cc:33:81:7e:ee:db:e1:f5:50:9d:d4:70:19:ab:
e1:29:fa:78:97:e4:53:89:ed:9c:98:d7:d1:ff:08:e1:81:6d:
49:4a:53:84:b6:c4:29:7a:c2:0f:d7:5a:9b:7f:7e:b8:9e:70:
3a:31:d3:c3:10:3e:e3:f4:90:a0:7d:0f:d1:7c:4e:95:f2:c5:
6c:1f:05:4c
En el canal de control de OpenVPN se utiliza «TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA256» que es una opción muy segura, aquí utilizamos Diffie-Hellmann con PFS (DHE), AES256 y SHA256, perfecto para dotar al canal de control de una seguridad alta.
En el canal de datos de OpenVPN estamos utilizando «AES-256-CBC» una de las opciones más seguras, sin embargo, estamos utilizando SHA1 con 160 bits para la autenticación HMAC, sería deseable que fuera SHA256 como mínimo ya que este algoritmo de firma no tiene colisiones y está considerado actualmente como seguro.
Hasta aquí hemos llegado con nuestro manual para configurar el servidor VPN del router Edimax EW-6208AC V2, gracias a este servidor OpenVPN podremos conectarnos de forma fácil y rápida a nuestro hogar, y todo ello con una seguridad medio-alta debido a la configuración por defecto que ha realizado Edimax.