Sou a: Inici / Usuaris / Victor Carceler / c5 / na1-vpn / a5

Actividad 5: VPN a través de un proxy HTTP

Aunque OpenVPN simplifica la configuración de los cortafuegos pues sólo requiere un puerto UDP para cada túnel, y si se utiliza el modo servidor es posible multiplexar varias conexiones en un único puerto, el mayor inconveniente a la hora de realizar VPNs sigue siendo la posibilidad o no de conectar con determinado puerto del otro equipo.

Es posible que el cliente se encuentre detrás de routers, NAT, cortafuegos, pero si tiene acceso a la web a través de un proxy, entonces podrá establecer una VPN con el servidor. Si por ejemplo desde el IES Puig Castellar (LAN de las aulas o bien XEiLL) se desea establecer una VPN con un ordenador de Internet.

Es necesario realizar lo siguiente:

  1. Puesto que los proxys http están pensados para conectar con servidores web y estos utilizan puertos TCP, será necesario especificar proto tcp en cada una de las estaciones para utilizar TCP como protocolo de transporte para nuestro túnel.
  2. Preparar el ordenador de internet para que funcione en modo servidor con TLS-RSA aceptando conexiones entrantes, por ejemplo, en el puerto TCP 1194 (que es el puerto estandard para OpenVPN, puede consultar /etc/services o bien http://www.iana.org/assignments/port-numbers).
  3. Configurar el router que proporciona acceso a Internet al servidor para que dirija su puerto TCP 1194 a la dirección del servidor en la LAN
  4. Configurar la conexión del cliente en la LAN del centro o en la XEiLL, en cualquiera de los dos casos existe la posibilidad de navegar por internet gracias al proxy http localizado en la máquina 'proxy' puerto 8080. En la configuración del cliente es necesario utilizar la directiva http-proxy server port para indicar el proxy a utilizar.
  5. El proxy debe permitir las conexiones hacia el puerto 1194, debe revisarse la configuración de control de acceso. En el caso de Squid, se revisará la ACL SSL_ports para que incluya al puerto 1194.