Crear su servidor OpenVPN con los routers MILESIGHT

Requisitos previos:

 

Para configurar su router Milesight y transformarlo en un servidor OpenVPN, necesitará:

• Un router UR de la marca Milesight
• Un PC con Windows e instalar los siguientes programas:
  • VC redist x64: Download Redistributable Visual C++ para Visual Studio 2015 desde el Centro de descargas oficial de Microsoft
  • Open SSL: GitHub - openssl/openssl: Librería TLS/SSL y criptográfica
  • OpenVPN: Descargas de la comunidad | OpenVPN

easy-rsa2: GitHub - OpenVPN/easy-rsa-old: Este es un pequeño paquete de gestión de claves RSA, basado en la herramienta de línea de comandos openssl

Inicialización del entorno

Copia de los archivos easy-rsa2

Los archivos de las subcarpetas del archivo Git easy-rsa2 deben ser:

“\easy-rsa-old-master\easy-rsa-old-master\easy-rsa\2.0”

y

“\easy-rsa-old-master\easy-rsa-old-master\easy-rsa\Windows”

deben copiarse en la ubicación donde se encuentra OpenVPN

La carpeta "\program files\OpenVPN\easy-rsa” debe tener el siguiente aspecto:

Comandos de inicialización en la consola de Windows

Ejecute los siguientes comandos en la consola de Windows (ábrala como administrador):

 

cd C:\Program Files\OpenVPN\easy-rsa

init-config

vars

clean-all

 

Y finalmente el comando:

build-ca

Se le pedirá que introduzca la información. La mayoría de los campos pueden dejarse por defecto, excepto el COMMON Name. Es aconsejable rellenar todos los campos correctamente.

 

Generación del certificado y la clave del servidor

Debe introducir el siguiente comando:

build-key-server server

Como se mencionó anteriormente,

 La mayoría de los campos pueden dejarse por defecto, excepto el COMMON Name. Deberá introducir "server".

Luego, a las preguntas "Sign the certificate?” y "1 out of 1 certificate requests certified, commit? [y/n]": deberá responder sí (y)

Crear certificados de cliente

 

Para crear los certificados de cliente, debe introducir el siguiente comando:

 

build-key client1

build-key client2

build-key client3

build-key clientxx , etc.

 

Recuerde que para cada cliente, asegúrese de escribir el nombre común apropiado cuando se le solicite, es decir, "client1", "client2" o "client3". Siempre use un nombre común único para cada cliente.

No introduzca una contraseña para los certificados de cliente a menos que desee que la autenticación se realice mediante certificado Y por identificación. En cuyo caso, deberá reemplazar el script build-key-pass. Más información en el sitio de OpenVPN.

 

Finalmente, a las preguntas "Sign the certificate?” y "1 out of 1 certificate requests certified, commit? [y/n]": deberá responder sí (y)

Generar parámetros Diffie Hellman

Los parámetros Diffie Hellman deben generarse para el servidor OpenVPN

 

con el comando:

build-dh

 

Recuperar los archivos de certificado y clave

En la subcarpeta /easy-rsa/keys se encuentran los archivos que deben cargarse en el router Milesight.

Estos son los archivos que se importarán en el router Milesight.

 

Configuración del servidor OpenVPN en el router Milesight

 

En Network → VPN → OpenVPN Server, debe introducir la información relativa a la configuración del servidor OpenVPN.

 

No es necesario disponer de un archivo .ovpn

 

ATENCIÓN: en Listening IP debe introducir la dirección IP pública del router. Si utiliza una tarjeta SIM M2M con IP pública, puede introducir la IP de la tarjeta SIM. De lo contrario, con una tarjeta SIM estándar, debe utilizar una dirección Dyndns.

Este es un ejemplo de configuración; encontrará más información sobre los diferentes ajustes en esta dirección: https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

 

Importación de archivos de certificación

 

En Network → VPN → Certification, puede importar los archivos de la siguiente manera:

Haga clic en "Browse" para seleccionar el archivo correspondiente y luego en "Import".

• CA → "ca.crt"
• Public Certificate → "server.crt"
• Private Key → "server.key"
• DH → “dh2048.pem”
• TA → “ca.key”

 

No olvide hacer clic en “Save” y “Apply”

 

Verificación del funcionamiento del servidor

 

En el menú Status → VPN, podrá ver si el servidor VPN está activo.

Conectar otro enrutador como cliente

Para conectar otro enrutador como cliente, debe ir a dicho enrutador en:

 

Network → VPN → OpenVPN Client

 

Y complete la información de acuerdo con la configuración del servidor.

Atención, el campo REMOTE IP ADDRESS debe coincidir con el valor del campo LISTENING IP ADDRESS del servidor.

Y el campo Remote Tunnel IP debe coincidir con el campo Client Subnet del servidor.

 

También debe importar los certificados al enrutador cliente en Network → VPN → Certification de la siguiente manera:

Verificación de la conectividad de los clientes

En el menú Status → VPN en la sección “Connected list” verá si el o los clientes están conectados: