¿Buscas alguna otra cosa?

Titan – NA46: IPSEC – Server IKEv1 – Autenticación con certificado

Detalles del escenario

Desde dos ubicaciones se pretende acceder remotamente a la configuración de un router Titan 4G y a la configuración de un PLC que está conectado al puerto Ethernet de dicho router Titan. Todo ello a través de una conexión segura de tipo IPSec. Se pretende utilizar autenticación por certificado digital.

Descripción del ejemplo

Básicamente con este ejemplo se pretende crear una VPN IPSec desde un par de PCs (donde cada uno dispone de un software de Cliente IPSec como puede ser TheGreenBow el cual es utilizado en este ejemplo) contra un router Titan 4G remoto que actuará como Servidor IPSec el cual tiene a su vez conectado un PLC a su puerto Ethernet. Cada cliente IPSec debe autenticarse ante el servidor con su certificado digital de cliente válido.

Configuraciones y requisitos previos

El requisito básico para poder llevar a cabo la aplicación es que la tarjeta SIM introducida en el router Titan que actuará como IPSec Server debe disponer de una dirección IP pública y estática. Ello es necesario para poder acceder remotamente desde un PC conectado a la internet pública. Asegúrese también que todos los Titanes están en hora correcta, pues la gestión de generación y validez de los certificados lo necesita.

Configuración IPSEC del router Titan

Lo primero que debe hacerse es ir al menú “VPN > IPSEC”. Para la configuración prevista necesitaremos los certificados “ca-cert.pem”, y “server-cert.pem”. Obviamente también sus claves privadas “ca-key.pem” y “server-key.pem”. También se necesitarán un par de certificados de cliente y sus claves privadas “client1-cert.pem”, “client1-key.pem”, “client2-cert.pem”, “client2-key.pem”,

En este punto se tienen dos posibilidades. 1. Si se dispone de dichos certificados pueden subirse manualmente desde la sección marcada en rojo:

2. Si no se dispone de certificados, el router Titan dispone de un botón que los creará. Cuando pulse el botón se generarán automáticamente todos los certificados. El proceso puede tardar hasta 5 minutos en finalizar. Pulse el botón “REFRESH” para comprobar el estado del proceso.

En este ejemplo, utilizamos la segunda opción para generar automáticamente todos los certificados. Para ello debe pulsarse el botón “GENERATE ALL SERVER CERTIFICATES AUTOMATICALLY”. Tras finalizar el proceso correctamente, éste será el resultado:

Una vez se dispone de los certificados necesarios, debe procederse a la configuración en sí de la VPN. Para ello debe activarse la casilla “Enabled” que se encuentra en el inicio de esta página de configuración y pulsar el botón “SAVE CONFIG”.

Por último, al estar basado el servicio IPSec del router Titan en strongswan, deben configurarse los ficheros “ipsec.conf” e “ipsec.secrets”. Lo más sencillo es acudir a los ejemplos de la parte inferior de la página y obtener el ejemplo más parecido a lo que se pretende configurar. En el caso de esta nota de aplicación se escoge el Ejemplo 6, haciendo click (descargando) los ficheros “ipsec.conf” e “ipsec.secrets” correspondientes, los cuales abriremos con un block de notas para obtener su contenido.

Dicho contenido debe adaptarse a ejemplo e insertarse en las casillas apropiadas. Para “ipsec.conf”:

Y para “ipsec.secrets” (previamente debe hacerse click en la leyenda “Show/Hide” para mostrar la casilla):

Y seguidamente se pulsará el botón “SAVE CONFIG”, que grabará el contenido de ambos ficheros en la memoria interna del router Titan. Por último, si al arrancar el router no estaba iniciado el servicio IPSec (es decir, la casilla “Enabled” no estaba activa) debe reiniciarse el router completamente (menu “Other>Reboot”. Si ya estaba iniciado el servicio IPSec (casilla “Enabled” activa), puede pulsarse únicamente el botón “RESTART IPSEC” para reiniciar el servicio IPSec con la nueva configuración sin necesidad de reiniciar el router completamente, opción mucho más rápida.

Una vez reiniciado el router o pulsado el botón “RESTART IPSEC” (si el servicio ya estaba activo), aparecerá el estado de la conexión IPSEC como se indica a continuación. Si la casilla Status aparece en blanco es que quizás todavía no se ha iniciado el servicio. Espere unos segundos y pulse el botón “REFRESH”.

Configuración IPSEC Cliente

En este ejemplo se utilizará el conocido software TheGreenBow para PC como software IPSec cliente para conectarse contra el router Titan. A continuación se muestran unos pantallazos con la configuración básica de cada sección. Esta configuración hace referencia al PC IPSec cliente 1. La configuración del PC IPSec cliente 2 es completamente análoga.

1. En la sección “Authentication” de la conexión de tipo IKEv1 debe indicarse la dirección IP pública del router Titan (en el caso de este ejemplo es 88.28.221.24) y el método de autenticación es por certificado digital.

2. En la sección “Certificate” debe especificarse el certificado del cliente a usar y el certificado CA. Estos certificados pueden descargarse del propio router Titan, pues se generaron en el punto anterior.

Es decir, será necesario descargar los archivos “ca-cert.pem”, “client1-cert.pem”, “client1-key.pem” para el PC1 y los archivos “ca-cert.pem”, “client2-cert.pem”, “client2-key.pem” para el PC2.

En la pestaña “Certificate” se selecciona los certificados en formato “PEM”.

Si la importación es correcta, se mostrará el certificado a utilizar.

Y automáticamente en la pestaña “Protocol” aparecerá seleccionado el Local ID con el CN que se acaba de importar. En este ejemplo se pretende que el Titan (IPSec Server) asigne la dirección IP a los clientes (tal y como puede constatarse en el fichero “ipsec.conf”, donde al PC1 se le asignará la IP 10.10.10.1). Por ello debe seleccionar la opción “Mode Config”.

Ahora ya es posible abrir el túnel IPSec haciendo click con el botón derecho del ratón sobre la conexión y pulsando la opción “Open tunnel” como se muestra en la siguiente pantalla, donde se configurará la red usada por el Titan IPSec server (192.168.1.0 / 255.255.255.0).

Comprobando la conectividad

Si la conexión se ha realizado con éxito, tan solo resta comprobar la conectividad, es decir, que desde el PC IPSec 1 cliente sea posible acceder tanto al router Titan (IP: 192.168.1.2) como al PLC que cuelga del él (IP: 192.168.1.200). Para ello es posible realizar unos simples PING.

Ping al router Titan a través de la VPN IPSec desde el PC1:

Ping al PLC a través dela VPN IPSec desde el PC1: