Estaciones de trabajo en línea OnWorks Linux y Windows

Logotipo

Alojamiento gratuito en línea para estaciones de trabajo

<Anterior | Contenido | Siguiente>

1.6.1. Configuración avanzada de VPN enrutada en el servidor


La anterior es una VPN de trabajo muy simple. El cliente puede acceder a los servicios en la máquina del servidor VPN a través de un túnel cifrado. Si desea llegar a más servidores o cualquier cosa en otras redes, envíe algunas rutas a los clientes. Por ejemplo, si la red de su empresa se puede resumir en la red 192.168.0.0/16, podría enviar esta ruta a los clientes. Pero también tendrá que cambiar el enrutamiento para el camino de regreso: sus servidores deben conocer una ruta a la red del cliente VPN.


O puede enviar una puerta de enlace predeterminada a todos los clientes para enviar todo su tráfico de Internet a la puerta de enlace VPN primero y desde allí a través del firewall de la empresa a Internet. Esta sección le muestra algunas opciones posibles.


Empuje rutas al cliente para permitirle llegar a otras subredes privadas detrás del servidor. Recuerde que estas subredes privadas también necesitarán saber para enrutar el grupo de direcciones del cliente OpenVPN (10.8.0.0/24) de regreso al servidor OpenVPN.


empujar "ruta 10.0.0.0 255.0.0.0"


Si está habilitada, esta directiva configurará a todos los clientes para redirigir su puerta de enlace de red predeterminada a través de la VPN, lo que provocará que todo el tráfico de IP, como la navegación web y las búsquedas de DNS, pase a través de la VPN (la máquina del servidor OpenVPN o su firewall central pueden necesitar NAT el TUN / TAP interfaz a Internet para que esto funcione correctamente).


empuje "redirect-gateway def1 bypass-dhcp"


Configure el modo de servidor y proporcione una subred VPN para que OpenVPN extraiga direcciones de clientes. El servidor tomará 10.8.0.1 para sí mismo, el resto estará disponible para los clientes. Cada cliente podrá acceder al servidor en

10.8.0.1. Comente esta línea si está puenteando ethernet.



servidor 10.8.0.0 255.255.255.0


Mantenga un registro de las asociaciones de direcciones IP virtuales de cliente en este archivo. Si OpenVPN deja de funcionar o se reinicia, a los clientes que se reconectan se les puede asignar la misma dirección IP virtual del grupo que se asignó previamente.


ifconfig-pool-persist ipp.txt


Envíe los servidores DNS al cliente.


push "dhcp-option DNS 10.0.0.2" push "dhcp-option DNS 10.1.0.2"


Permitir la comunicación de cliente a cliente.


cliente a cliente


Habilite la compresión en el enlace VPN.


comp-lzo


El mantener viva La directiva hace que los mensajes de tipo ping se envíen de un lado a otro a través del enlace para que cada lado sepa cuándo ha caído el otro lado. Haga ping cada 1 segundo, suponga que el par remoto está inactivo si no se recibe ningún ping durante un período de tiempo de 3 segundos.


keepalive 1 3


Es una buena idea reducir los privilegios del demonio OpenVPN después de la inicialización.


usuario nadie grupo no grupo


OpenVPN 2.0 incluye una función que permite al servidor OpenVPN obtener de forma segura un nombre de usuario y contraseña de un cliente que se conecta y utilizar esa información como base para autenticar al cliente. Para utilizar este método de autenticación, primero agregue la directiva auth-user-pass a la configuración del cliente. Dirigirá al cliente OpenVPN para que solicite al usuario un nombre de usuario / contraseña, pasándolo al servidor a través del canal TLS seguro.


# configuración del cliente! auth-user-pass


Esto le indicará al servidor OpenVPN que valide el nombre de usuario / contraseña ingresados ​​por los clientes usando el módulo PAM de inicio de sesión. Útil si tiene autenticación centralizada con, por ejemplo, Kerberos.



plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so iniciar sesión


imagen

Lea la guía de seguridad de refuerzo de OpenVPN1 para obtener más consejos de seguridad.


  

 

<Anterior | Contenido | Siguiente>

  

Top OS Cloud Computing en OnWorks: