Se puede configurar a eBox para dar soporte a "Road Warriors". Esto es, una máquina eBox trabajando como puerta de enlace y como servidor OpenVPN, que tiene una red de área local (LAN) detrás, permitiendo a clientes en Internet (road warriors) conectarse a dicha red local vía servicio VPN. La siguiente figura puede dar una mejor visión:

Figura 18.1. Escenario "Road Warrior"

Nuestro objetivo es conectar al cliente 3 con los otros 2 clientes lejanos (1 y 2) y estos últimos entre sí.

Para ello, necesitamos crear una "Autoridad de Certificación" y certificados para todos los elementos presentes en el sistema, el servidor OpenVPN y los dos clientes lejanos. Aquí, la máquina eBox actúa también como autoridad de certificación.

Una vez tenemos los certificados, deberíamos poner a punto el servidor OpenVPN en eBox en Crear un nuevo servidor. Se deben dar un nombre, un par protocolo/puerto, un certificado (aquel que acabamos de crear previamente) y una subred donde trabajar. Para los demás elementos se pueden dejar los valores por defecto. Como vemos, el servidor OpenVPN estará escuchando en todas las interfaces externas, por tanto debemos poner al menos una de nuestras interfaces como externa vía Red → Interfaces . En nuestro escenario sólo se necesitan dos interfaces, uno interna para la LAN y otra externa para escuchar en Internet.

Tras crear el servidor OpenVPN, debemos habilitar el servicio y guardar los cambios. Luego, comprobar en Estado que un servidor OpenVPN está funcionando.

Tras ello, debemos anunciar redes, dichas redes serán accesibles por los clientes OpenVPN autorizados. Para conseguirlo, necesitamos redes que sean accesibles desde la máquina eBox. En nuestro escenario, deberemos añadir la red local para hacer visible el cliente 3 a los otros dos clientes.

Es momento de configurar los clientes. Un cliente OpenVPN puede configurarse con nuestros paquetes que están disponibles en la tabla Servidores y pinga en el icono Flecha para abajo. Dos paquetes para dos sistemas operativos se han creado, elije uno de ellos. Si usas un entorno BSD-like como MacOS™, elije el sistema Linux. Elijo aquellos certificados que dar al cliente y establece la dirección IP externa a la cual los clientes VPN se deben conectar. eBox tratará de adivinarla usando un servicio Web. Si el sistema seleccionado es Windows™, el instalador de OpenVPN para Win32 se incluye también. Te da un archivo para ser distribuido al cliente.

Este paquete incluye el fichero de configuración y los ficheros necesarios para comenzar una conexión VPN. Por ejemplo, en Linux, simplemente descomprime el archivo y ejecuta dentro del recientemente creado directorio el el siguiente comando: openvpn --config filename. Ahora tenemos acceso al cliente 3 desde los dos clientes remotos. Para conectar entre sí los clientes remotos, necesitamos activar la opción Habilitar conexiones cliente-a-cliente dentro de la configuración del servidor OpenVPN. Para comprobar que la configuración es correcta, observar la tabla de rutas donde las nuevas red anunciadas se han añadido al interfaz virtual tapX.

Este segundo escenario trata de mostrar un caso de uso común para eBox. Dos oficinas en diferentes redes necesitan estar conectadas a través de una red privada. Para hacerlo, usaremos eBox en ambas como puertas de enlace y una como cliente OpenVPN y otra como servidora. La siguiente imagen trata de aclarar la situación:

Figura 18.2. eBox como servidor OpenVPN vs. eBox como cliente OpenVPN

Nuestro fin es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estuviesen en la misma red local. Por tanto, debemos configurar un servidor OpenVPN como hacemos en Sección 18.2.1. Sin embargo, se necesita hacer dos pequeños cambios habilitando la opción Permitir túneles eBox a eBox para intercambiar rutas entre máquinas eBox y contraseña túnel eBox a eBox para establecer la conexión en un entorno un poco más seguro entre las dos oficinas.

Para configurar eBox como un cliente OpenVPN, podemos hacerlo a través del botón Crear un nuevo cliente dentro del menú OpenVPN. Debes dar un nombre al cliente y si lo activas. Puedes establecer la configuración del cliente manualmente o automáticamente usando el paquete dado por el servidor VPN como hemos hecho en la Sección 18.2.1. En la primera opción se pide el par protocolo/puerto donde escucha el servidor así como su dirección IP, los certificados y la contraseña del túnel, en cambio, en el segundo caso esta información es obtenida directamente desde el paquete. Cuando salvas los cambios, en el sumario, se puede ver un nuevo demonio OpenVPN en la red 2 ejecutándose como cliente con la conexión objetivo dirigido a la otra eBox dentro de la LAN 1.