Soluciones de VPN de Software Libre
[Aplausos] [Música] Hola a todos muy buenas Qué tal cómo estamos yo soy Eduardo esto es Eduard collado.com y este es el capítulo número 281 hoy vamos a hablar de [Música] VPN Bueno ya sabéis para qué sirve una VPN No no es necesario decirlo no Pero simplemente que tengáis en cuenta que
Además de para ver Netflix o para poder jugar con la consola cuando estáis en otro sitio La VPN os permite por ejemplo tener servidores en un centro de datos y poder acceder a ellos de forma segura desde cualquier sitio sin que esos servidores estén puestos a internet o simplemente
Porque queremos entrar por la puerta de atrás ya est en un centro de datos o en una oficina o en lo que sea yo estoy hablando de soluciones de vpns que podemos utilizar en plan empresarial vale para Bueno pues para nuestros clientes para nuestra propia infraestructura aunque esto evidentemente es totalmente extrapolable
Para poderlo utilizar en vuestras redes domésticas en casa poder acceder a vuestra impresora a vuestra sinolog de casa a Yo qué sé que podáis ver lo que sea algo que tengáis en vuestra casa eso lo podéis hacer siempre también es exactamente lo mismo que más te da que
Sea una empresa o que sea tu casa da igual No Bueno pues esta es una solución soluciones de VPN hay millones muchísimas muchísimas O sea tú le pegas una patada a internet y salen soluciones de VPN por ahí todas las que quieras hay algunas que te dicen que son para
Navegar con ips de de otros países Esas están más enfocadas pues quizás a a ver el Netflix o no sé cosas así darte de alta con un con una cuenta India en YouTube y pagar cuatro chavos la gente lo usa para ese tipo de cosas aunque creo que esto último lo están empezando
A controlar Pero bueno la gente lo utiliza para ese tipo de cosas o para yo que sé para comentar en foros desde ips que no son las tuyas en fin para hacer cosas que son vamos a decir poco productivas entonces para hacer cosas productivas pues eh podemos usar el
Mismo software pero ya eso de que si estamos en un país o estamos en otro Eso ya nos da un poquito más igual vale nosotros lo que queremos por ejemplo es acceder a un servidor desde una IP desde una IP fija a un servicio y si tenemos yo que sé 30
Teletrabajadores esos 30 teletrabajadores no tienen la misma IP cada uno tendrá la de su casa evidentemente entonces tú les pones una pequeña VPN Y decí ahora sales internet por esta VPN de forma que pueden conectarse a ese servicio externo todos desde la misma IP desde una IP fija una
Que además eh tú controlas o quieres que puedan conectarse a unos servidores eh por una red privada Bueno pues eso también lo puedes hacer así te conectas a a tu VPN y ya tienes acceso a esa red privada compartida entre todo el mundo por ejemplo yo tengo una VPN y la
Red de mi casa está metida dentro de la VPN esto es un entorno doméstico evidentemente en el trabajo en tecnocrática Pues están las redes de gestión y las redes de lo que sea de los equipos vale pero ya os digo esto te lo puedes llevar o al mundo más empresarial
O te lo puedes llevar incluso a casa que no pasa absolutamente nada eh en el trabajo evidentemente tenemos una solución basada en wigard para todo esto que no hay que hacer nada pinchas cli cli VPN creada un código QR si quieres hacerlo desde el móvil y a funcionar No
Hay que hacer nada pero entiendo que muchos de vosotros además de conocer las soluciones comerciales como la nuestra de tecnocrática o cualquier otra de cualquier otro proveedor dependiendo de las necesidades que tengáis uno u otro A lo mejor estáis buscando soluciones autogestionadas soluciones que os proporcionen ventajas Como por ejemplo
Poder ver el código fuente da igual que seas programador o no vale si tú puedes ver el código fuente significa que otros lo pueden ver y siempre va a haber gente que se lea el código vale Para qué pues para encontrar vulnerabilidades backdoors etcétera eso te da una una
Garantía creo yo vale hay gente que cree que no pero bueno a mí me da una garantía luego eh puedes adaptarlo si necesitas que haga una cosa o que haga otra si tú no sabes lo puedes contatar a otro porque ahí está la solución puedes modificarlo en las comerciales no luego eh ahora
Estamos hablando Ya lo estáis intuyendo verdad de soluciones de VPN de software libre normalmente a veces no eh pero normalmente las soluciones de software libre suelen ser gratuitas y gratis significa poco coste o nada verdad Bueno pues económicamente os pueden incluso interesar y luego Bueno pues en caso de que haya un problema
Como hay mucha gente que lo utiliza pues salta muy rápido la liebre y muy rápidamente se puede empezar a hacer algo con ello bueno en el capítulo de hoy vamos a ver unas cuantas soluciones de software libre para para VPN y Bueno espero que os interese hoy no va a ser
Un capítulo de de redes sesudo hoy vamos a un poquito y vamos a ver soluciones de VPN Así que si os interesa el tema y os queréis quedar conmigo un ratito vamos a decirle como siempre al Señor Estrada que nos haga la intro y vamos a por ellos Vamos [Música]
Allá redes Hosting tecnologia Eduard collado.com bueno cuántas soluciones de VPN bas en software libre existen en el mundo muchísimas pero muchísimas es muchísimas Pero tenemos unas cuantas que son las principales vale la primera la más clásica la de toda la vida Quizás es el famosísimo openvpn seguro que lo habéis oído
Cientos de veces lo habéis usado cientos de veces incluso hay muchas soluciones de vp comerciales que realmente lo que tienen por debajo es un openvpn Entonces te cobran pues por darte el servicio o por lo que sea pero el cliente realmente es un Open VPN y te puedes conectar a su
Servicio bien con su aplicación o con la estándar de VPN porque es que es lo mismo al final Vale ahora estoy pensando en en unos servicios que hay de vpns de estos que te dan acceso a 47 países o no se cuos vale eso realmente son Open VPN muchos
Muchos de ellos vale es Eh pues yo creo ya os digo la más conocida más reconocida y muy respetada vale la comunidad Open source funciona Pues yo creo que cualquier cosa Esto lo metes en una lavadora y funciona y es bastante Sólido y y muy seguro
E qué más podemos decir de openvpn Pues que es una tiene una arquitectura el diseño es cliente servidor tenemos un servidor de VPN y clientes de VPN cosas que no podemos decir en otras plataformas vale en otro tipo de soluciones utilizamos ssl tls para intercambios de llave y bueno esca de
Atravesar nats y firewalls muy configurable y bueno métodos de autenticación y cifrado los que queráis eso se lo configuras tú y ya está el que tú quieras vale la configuración es es un fichero de texto eh No tiene más esto pues se utiliza mucho para consiones Punto a Punto pero sobre todo para
Teletrabajadores algo que en inglés se llama Road warriors vale Los Guerreros de la carretera eh yo no he puesto el nombre se llama así teletrabajadores son los Road warriors y yo cuando lo escuché la primera vez también dije esto en fin Bueno pues eso es eh lo que nos soportaría
Openvpn que es la solución de toda la vida está bien Sí pero también tiene sus pegas vale tiene pegas y la pega que tiene es que el rendimiento Bueno está muy bien está muy bien Hasta que pruebas el siguiente cuando pruebas el siguiente del que vamos a hablar dices pero por
Dios cómo he podido trabajar con esto tanto tiempo Si tengo un rendimiento muchísimo peor el rendimiento mejora mucho en el siguiente que es wigard wigard es la solución yo creo que estándar a día de hoy octubre 2023 e bueno ha llegado después de Open VPN es
El más nuevo pero es que claro es que el código es tan simple y el rendimiento que ofrece es tan bueno que es que calla a todos los demás Incluso fijaros si es bueno que está dentro del kernel de Linux ya o sea esto es uno de esos
Softwares que de repente estaban en el kernel de Linux o sea esto es una es una cosa complicada eh acceder ahí y que Linux torals te acepte un código para meterlo en el carnel ojo tiene que ser un muy buen código vale rendimiento bestial totalmente bestial
Eh el código es tan sencillito que la auditoría de seguridad es que es muy sencilla también o sea tú puedes ver si tiene algún problema o no Porque no es un código de esto de n000 líneas de código es un código muy muy sencillito y luego claro al haberlo integrado dentro
Del kernel Pues el Linux el rendimiento es que es impresionante impresionante vale Eh pues se puede mover pues prácticamente el giga en un pc medianamente bueno sin ningún problema vale es una auténtica pasada eh superrápido de configurar suficiente y sin sobrecarga ni complejidad de otras vpns por ejemplo la solución que tenemos
En tecnocrática en neodigit realmente utiliza por debajo wg Entonces tú vas al panel te vas servidores de VPN crear usuario de VPN lo creas nombre password y ya está te bajas la configuración el fichero de configuración para tu PC si quieres o si lo quieres poner en un
Móvil te sale directamente un código QR que lo escaneas y ya tienes configurada la vp en tu móvil esto de verdad esto es una pasada y esto es una cosa y que da un rendimiento bestial yo lo tengo funcionando y increíble vale Luego si voy hacerlo con
Nuestro panel lo haces tú a mano es un poquito más complicado pero vamos que se se puede llegar a sacar tampoco es una cosa imposible de sacar la siguiente la siguiente es una cosa que se llama strong Swan no es tan conocida como Open VPN o como
Wiegard y es una solución que implementa ipsc vale ipsc con su i1 o su i2s Vale y permite establecer sesiones estables seguras vale es orientado a la conexión con lo cual si tú cortas el túnel ipsc esa conexión cae es es una cosa que le gusta mucho a muchos departamentos de
Seguridad de muchas empresas vale en wigard por ejemplo no es orientado a la conexión yo no puedo en un momento saber si alguien está ahora mismo conectado o no vale Por qué Pues porque no eh No está orientado a eso sin embargo Esto sí yo corto y se acabó y ese usuario cae
Vale el funcionamiento es es totalmente distinto Pero hay muchas corporaciones que les gusta eh mucho strong Swan Por qué pues por los eh requisitos específicos eh que tiene la configuración el VPN el ipsc vale ipsc a la gente le gusta Bueno pues esta es la implementación de ipsc para Linux y esto
A la gente le gusta muchísimo y además eh tiene ventaja que esto lo haces en un servidor y no en un firewall carísimo con licenciamiento mensual por usuario que al final te cuesta un riñón esto no esto es simplemente una conexión que tú pones en un servidor un Punto a Punto cont otro
Lado y ya está muy bien funciona realmente bien y es s super estable la solución de ipsc de toda la vida otro tenemos un software un software que puedes instalar en Windows en lo que tú quieras en Windows o sea un servidor de VPN en Windows pues existe se puede usar vale
Y bueno puedes usar más soluciones evidentemente Pero bueno esta quizás sera la primera que que yo vi a ver quitando toda la parte esa del pptp y todas esas cosas no eso eso ya ni lo cuento eso no para mí no existe ya no Bueno pues sofer es una solución que
Salió como como un proyecto académico de una universidad japonesa y bueno est esta chulo porque te hace de Proxy hace Nat y te hace cositas con con la ethernet Vale y en la misma instancia pues puedes tener varios protocolos VPN está muy bien es eh bastante conocido en el mundo empresarial sobre
Todo en gente que que usan más eh tema de Windows vale Y bueno Eh si quieres una solución que se puede adaptar a varios entornos Pues esta está muy bien porque hace absolutamente de todo y bueno bueno está bien está bien vale me sigue gustando más wigard me quedo con
Wan yo a nivel personal vale pero esta está bastante bastante bien Ahora vamos a por una solución que hay que bueno no es una solución es un servicio Vale entonces esto es software libre sí y no vale tenemos la solución llamada Tail scale os suena verdad y luego
Tenemos otra solución ya basada en software libre que es el Head scale Tail col la Head cabeza vale Y bueno vamos a empezar con tscale para que lo conozcáis si es que todavía no lo conoce alguien y t es un servicio basado en W lo que mejor funciona verdad
Pero tiene una visión de la red diferente en warar no tenemos una arquitectura cliente servidor sino tenemos arquitecturas peer to pir entonces basándonos en esa funcionalidad en esa posibilidad Tail scale lo que hace es crear una red mada es decir conecta los dispositivos entre sí no contra un punto
Central y eso nos va a permitir pues cosas muy chulas Como por ejemplo decir ahora salgo a internet por este nodo y en 5 minutos me lo cambio y salgo por el otro lado Ahora salgo por mi casa Ahora salgo por el centro de datos Ahora salgo
Por la oficina vale cosas así está muy chulo y tiene una flexibilidad bestial eh recien Maya ya os he dicho basado en ward también os lo he dicho Ah bueno una cosa que tiene que está muy bien y que a muchas empresas esto les les gusta muchísimo vale que es que puedes
Utilizar autenticación basada en inicio de sesión vale o Au vale Por ejemplo puedes utilizar identity de Microsoft el de Google o yo que sé incluso tu cuenta de github lo que quieras vale de forma que eh Para dar de baja un usuario lo tienes todo centralizado en un sitio entonces
Está muy bien y esto es una cosa que Microsoft está haciendo muy bien vale centralizar todo este tipo de cosas en un único sitio mm a mí me parece interesante y es una cosa Que que Hay que tenerle el ojo encima bien para para ver cómo lo hacen
Es fácil es fácil de usar muy fácil no te hace falta ni un Hardware específico ni tener conocimientos profundos de redes ni nada te hace falta un navegador ya ya está y te va a permitir evidentemente acceso a los recursos locales que tengas impresoras carpetas compartidas lo que sea vale Y por
Supuesto está basado en wg pues multiplataforma Mac Windows Linux iOS Android lo que quieras lo puedes tener en tu PC y en el iPad y en un teléfono Android que tienes vamos a decir que tienes así un poco de variedad no bueno además ente podemos interconectar nubes distintas servidores en un sitio y
Servidores en otro puedes tener un servidor Nintendo crática y otro en otro sitio y unirlos puedes hacer cosas francamente chulas muy muy chulas puedes gestionar además iot que tengas está muy bien pero esto lamentablemente no es sofware libre así que bueno está metido aquí como calzador realmente no vale
Porque eh tenemos a algo que es compatible con tailscale que sí que es software libre eso se llama Head scale vale es bueno es Por así decirlo el servidor el controlador de Tail scale vale Y esto lo puedes autp de forma que no dependes de Tail
Scale tale no va sa ver que tú estás esto de dónde te lo bajas de una privads ima secretísima de Tail scale pues no lo tenéis en github vale Ahí tienes el código fuente lo clonas y a funcionar lo puedes hospedar donde tú quieras código abierto cualquiera puede leerlo lo que ya hemos
Dicho al principio de las ventajas que tiene este tipo de cosas y bueno lo único es que la administración de nodos pues se hace línea de comandos que tampoco va a pasar nada no descargas lo ejecutas ya está y bueno Y vas configurando clientes red eso es leerse
Un poco la documentación para ver un poquito cómo funciona Yo creo que es bastante bastante interesante vamos a ver un poquito a modo de resumen esto que hemos visto eh software libre Eh bueno la configuración de todas estas soluciones obviamente la scale no porque eso es una
Tontería vale el G scale no vale Pero bueno tiene una curva de aprendizaje Bueno hay que aprender cómo funcionan vas haciendo ajustes según vas aprendiendo hasta que consigues tener la la VPN como tú quieras vale eh seguridad pues la seguridad es tan buena como la última actualización vale
Hay que mantener el software al día Hay que actualizar vale eso es importante porque hay gente que parece que se cree que esto no se actualiza nunca y y ya está eh luego tiene una cosa por la que a la gente no le gusta mucho las soluciones de software libre vale Aunque la
Comunidad es muy grande eh No se garantiza una respuesta isofacto es decir si tú tienes un problema A lo mejor la respuesta te tarda en llegar eh dos días dos semanas o lo que sea sin embargo si has contratado el servicio a juniper por ejemplo y lo tienes
Contratado con ellos pues típicamente la solución va a tardar menos Bueno hay que poner en la balanza una cosa y y otra y luego evidentemente eh si yo tengo un sistema de VPN basado en uniper por decir así o yo que sé o en fortinet o lo que sea el Hardware eh
Está pensado para eso en el caso de las soluciones de software libre tú lo estás instalando donde a ti te da la gana con lo cual a lo mejor el hardware no es el más apropiado vale evidentemente No te va a tirar igual un wiegard en una
Máquina virtual con dos cores y 2 gigas que en un servidor físico Con mogollón de cores mogollón de memoria y unas tarjetas evidentemente no va a funcionar igual depende bastante del Hardware subyacente si tú contratas un servicio de VPN a un fabricante y te manda su
Caja pues que eso es lo que hay y te va a dar la caja para eso y ya está Eh bueno Y es muy importante que sobre todo que lo tengas todo mu doento vale que lo pruebes y que lo documentes siempre siempre todo porque a diferencia de soluciones
Comerciales aquí a lo mejor te has dedicado a hacer alguna cosita extraña has decidido meter alguna cosa a mano o o algo y eso tienes que conocerlo Y si tú un día estás enfermo y llega a otro Pues a lo mejor lo rompe porque no lo has dejado documentado Así que es
Interesante dejarlo todo documentado siempre [Música] redes Hosting tecnologia Eduard collado.com Bueno hasta aquí el capítulo de hoy pero tener en cuenta que las VPN basadas en software libre eh Son soluciones extremadamente robustas vale extremadamente robustas vale no tienen tienen Cos mejores que cualquier solución comercial y cosas
Peores pero la robustez es es total vale en cualquier solución me atrevería yo yo a decir vale luego la capacidad de adaptación es fantástica y no confundismo lo lo que se está utilizando ya casi siempre para cualquier tipo de solución comercial wiegard es asquerosamente bueno es muy muy muy
Bueno y evidentemente vuestra privacidad y la seguridad con vpns de este tipo queda perfectamente cubierta esto tenéis servidores en un centro de datos o en otro pues podéis acceder sin necesidades por Dios no me habrá los puertos del rdp ni hagáis cosas de esas vale es que no
Son cosas que a día de hoy no tiene sentido montas un VPN y entras por direccionamiento privado y ya está no tienes que abrir nada nada por ahí No tienes por qué exponer el tu servidor al exterior bueno en las notas del programa os voy a dejar una
Presentación que se hizo en el fem que se llama G scale How you are using integration testing to re implement scale y bueno es una es una presentación que dura no dura mucho dura 23 minutos menos que este capítulo Vale y os dejo en las notas del programa en Eduard collado.com os dejo
El vídeo para que podáis echarle un ojo y lo podáis ver y nada pues daros las gracias por estar aquí una semana más y recordaros recordaros la semana que viene muy muy muy importante si estáis por Barcelona tenemos el snog el grupo de operadores de red de España se reúne
La semana que viene que son los días 26 y 27 de octubre en la ciudad condal en Barcelona vale en el edificio vertex en la politécnica de Cataluña Así que pasaros porque puede estar muy muy muy bien así que nada amigos os voy a ir dejando por hoy
Daros las gracias por estar aquí por seguirme porque ya llevamos casi 300 capítulos y vamos a despedirnos hasta la semana que viene venga [Música] [Aplausos] [Música] chao
En un contexto digital donde la seguridad de los datos y la privacidad se erigen como pilares fundamentales, las redes privadas virtuales (VPN) emergen como una solución crucial para enfrentar desafíos vinculados a la seguridad de las comunicaciones online. Las VPN permiten la transmisión segura de información a través de redes públicas, proyectando la percepción de una conexión privada y segura entre dispositivos. Frente a las numerosas opciones comerciales de VPN disponibles, las soluciones de software libre se distinguen por su transparencia y flexibilidad, permitiendo inspeccionar implementaciones, adaptar software y, por ende, garantizar una gestión de la seguridad basada en la confianza y adaptabilidad.
El software libre ofrece ventajas específicas, tales como transparencia de código, adaptabilidad a requisitos específicos, economía frente a opciones comerciales y una comunidad activa que dinamiza las actualizaciones y resolución de problemas, formando un conocimiento colectivo y compartido. Entre las soluciones VPN de software libre populares se encuentran OpenVPN, con una sólida y segura arquitectura cliente-servidor; WireGuard, destacada por su sencillez y rendimiento; strongSwan, conocido por su robustez y configurabilidad; y SoftEther, que destaca por su versatilidad y resistencia contra firewalls.
La incursión de Tailscale en este panorama introduce una solución VPN basada en WireGuard que aprovecha la tecnología de redes en malla para conectar dispositivos directamente entre sí, creando una red privada de manera sencilla y segura. Tailscale no solo facilita la configuración y gestión de la VPN, sino que también permite la creación de una red multiplataforma segura, autenticando a los usuarios y dispositivos mediante OAuth y permitiendo el acceso a recursos locales desde cualquier lugar.
Headscale emerge como una contraparte de código abierto a Tailscale, permitiendo hospedar tu propio servidor de control de VPN Tailscale-compatible. Este servidor de coordinación basado en WireGuard posibilita gestionar la infraestructura de VPN sin depender de los servidores de Tailscale, manejar claves de cifrado propias y definir políticas de red específicas, presentándose como una solución que se alinea con los principios de transparencia y control del software libre.
La configuración, el uso y la gestión de Headscale implican procesos de instalación, ejecución de servidores y conexión de clientes, además de la administración de la red mediante su interfaz de línea de comandos, ofreciendo un control total sobre la infraestructura VPN y las políticas de seguridad implementadas.
Es esencial subrayar que, al adoptar VPNs de software libre, se debe considerar la configuración y ajuste meticuloso para optimizar rendimiento y seguridad, mantener el software actualizado para prevenir vulnerabilidades, y tener presente que, a pesar de la utilidad de las comunidades open source, el soporte no es instantáneo ni garantizado. Además, el desempeño de estas soluciones podría variar según la implementación y el hardware utilizado.
La implementación efectiva de VPNs de software libre requiere una evaluación previa de necesidades y objetivos, pruebas en entornos controlados para identificar y solventar problemas anticipadamente, familiarización con la documentación y participación activa en la comunidad para mantenerse actualizado y obtener apoyo. En definitiva, las VPNs de software libre, en sus diversas manifestaciones y con sus particulares propiedades, se postulan como herramientas valiosas para la configuración de comunicaciones seguras, privadas y confiables en el universo digital.
Os dejo la presentación del Fosdem 23 Headscale: How we are using integration testing to reimplement Tailscale (https://archive.fosdem.org/2023/schedule/event/goheadscale/) y os recomiendo que le dediquéis un ratito.
ACTUALIZACION: En el grupo de Telegram el usuario w4c0 me deja el siguiente comentario que creo que puede ser interesante:
con OpenVPN DCO se aumento el rendimiento, al incluir su modulo en el Kernel.
https://community.openvpn.net/openvpn/wiki/DataChannelOffload/WhatChanges
para Headscale, hay tambien un WEB UI
https://github.com/iFargle/headscale-webui (https://community.openvpn.net/openvpn/wiki/DataChannelOffload/WhatChanges)
como alternativa a TailScale y sus version libres.
Netbird
Pritunl con el fake api
Innernet
etc
Foto de Dan Nelson: https://www.pexels.com/ (https://www.pexels.com/es-es/foto/mano-apple-iphone-telefono-inteligente-3949098/)