En este post vamos a detallar cómo configurar un router E205 como cliente OpenVPN y realizar la conexión a Internet a través del túnel VPN. Se presupone que ya se dispone de un servidor OpenVPN instalado y de los certificados correspondientes para la conexión de los clientes a la VPN. En caso de no disponer de un servidor OpenVPN, se recomienda seguir este tutorial: How to set up an OpenVPN server on Ubuntu.

Para hacer la configuración del E205 como cliente OpenVPN es necesario acceder a la interfaz web del router y seguir los siguientes pasos:

  1. Desde Services > OpenVPN editar la configuración de la interfaz:
    Router E205 - Editar interfaz OpenVPN del cliente
  2. Habilitar la interfaz de configuración avanzada:
    Router E205 - Habilitar configuración avanzada cliente OpenVPN
  3. Acceder a la pestaña VPN:
    Router E205 - Configuración avanzada ajustes VPN
  4. Habilitar la opción pull y configurar la IP pública del servidor OpenVPN:
    Router E205 - Configuración parámetros avanzados VPN
  5. Abrir la pestaña Cryptography:
    Router E205 - Cliente OpenVPN criptography
  6. Clicar sobre Additional field y añadir los campos ca, cert y key. Para cada uno de estos parámetros habrá que subir el archivo correspondiente generado por el servidor OpenVPN y confirmar los ajustes clicando sobre Save & Apply.
    Router E205 - Cliente OpenVPN configurar certificados
  7. De nuevo desde Services > OpenVPN, clicamos sobre Enabled, Start y Save & Apply para iniciar el cliente OpenVPN en el router E205.
    Router E205 - Iniciar servicio cliente OpenVPN
  8. Una vez iniciado el servicio, se mostrará el PID asignado por el sistema a la interfaz OpenVPN:
    Router E205 - Process ID del servicio OpenVPN
  9. Desde Network > Interfaces podemos comprobar la IP asignada por el servidor OpenVPN al router E205:
    Router E205 - IP asignada por el servidor OpenVPN
  10. En el servidor podemos ejecutar el comando cat /etc/openvpn/openvpn-status.log para comprobar la lista de clientes conectados a la VPN:
    Lista de clientes conectados al servidor OpenVPN
  11. ¿Cómo se puede comprobar que el cliente tiene conectividad a través de la VPN? Como se puede ver, la IP pública real con la que el router E205 accede a Internet está en el rango 31.4.x.x (es la dirección IP asignada por el operador de telefonía móvil de la tarjeta SIM). No obstante, si desde un PC conectado al E205 accedemos a Google y hacemos una búsqueda para comprobar la IP pública veremos que se muestra la IP del servidor OpenVPN y no la que asigna el operador de telefonía móvil a la SIM:
    Router E205 - IP pública asignada por el servidor OpenVPN

Ya hemos establecido la comunicación entre el router E205 y nuestro servidor, ¿y ahora qué? Estar conectados a través de la VPN ofrece varios beneficios de cara a proteger y asegurar las comunicaciones del router, ya que toda la información que se envíe y reciba está cifrada con los certificados generados por el servidor OpenVPN. Pero además de la seguridad, el túnel VPN va a permitir hacer un mantenimiento remoto del router de una manera mucho más sencilla.

Acceso a la interfaz web del E205 a través del túnel VPN

En la mayoría de casos, cuando un router está instalado en campo no se podrá acceder a él remotamente porque el operador de telefonía móvil no permite conexiones entrantes a la IP pública asignada al router. Esto implica que ante cualquier incidencia o cambio de configuración que se requiera sería necesario desplazarse para poder acceder localmente al dispositivo. Esto es precisamente lo que ofrece la conexión OpenVPN, comunicación local a través de la interfaz 3G del propio E205.

Para habilitar esta funcionalidad, primero será necesario activar desde Network > Firewall > Traffic rules la opción AllowWanPing (clicar sobre Accept input y luego Save & Apply).
Router E205 - IP pública asignada por el servidor OpenVPN

Una vez activada esta directiva, será posible hacer un ping al equipo desde el servidor OpenVPN para determinar si está operativo:
Router E205 - Ping desde servidor OpenVPN

Para habilitar el acceso a la interfaz web del E205 desde el servidor OpenVPN, es necesario activar una segunda regla en Network > Firewall > Traffic rules. En este caso se trata de AcceptWebAccessWanP (como en el punto anterior, es necesario clicar sobre Accept input y luego Save & Apply):
E205 cliente OpenVPN - Aceptar acceso web desde WAN

Después de haber realizado esta configuración ya es posible acceder a la interfaz web del E205 a través del túnel VPN, lo que nos permitirá controlar el dispositivo remotamente independientemente de donde esté instalado y de si el operador de telefonía móvil le asigna una dirección IP estática o dinámica o de si permite conexiones entrantes o no:

E205 cliente OpenVPN - Acceso web vía WAN

Acceso a E205 vía SSH

La comunicación a través del túnel VPN también se puede utilizar para acceder al router E205 a través de SSH para así poder ejecutar comandos directamente desde la consola OpenWrt. En este caso, también es necesario habilitar este acceso en la reglas del firewall ya que por seguridad está desactivado por defecto. Para ello, desde Network > Firewall > Traffic rules hay que habilitar la directiva AcceptSSHWAN:
E205 cliente OpenVPN - Regla firewall AcceptSSHWAN

Desde el servidor OpenVPN es suficiente con teclear el comando ssh root@10.8.0.14 (es la IP asignada por el servidor al E205) para poder establecer la conexión por SSH:
E205 cliente OpenVPN - Acceso remoto vía SSH

Acceso a equipos Ethernet conectados a E205

Además de facilitar enormemente las tareas de gestión y mantenimiento del router, el túnel VPN también permite acceder a otros dispositivos que estén conectados al router E205 a través de Ethernet o Wi-Fi. Por ejemplo, en las siguientes capturas se muestra cómo acceder al servidor web de un PC que está conectado al equipo E205 por LAN (IP local 192.168.1.104).

En este caso, desde Network > Firewall > Port forwarding es necesario redirigir un puerto externo (en este caso el 3000) a la IP local del PC que se quiere controlar remotamente (192.168.1.104):
E205 cliente OpenVPN - Redireccionamiento de puertos LAN por NAT

Una vez habilitado el redireccionamiento del puerto, desde el servidor OpenVPN se puede acceder al PC conectado al router E205 a través del túnel VPN:
E205 cliente OpenVPN - Acceso equipos LAN vía VPNEs un ejemplo bastante sencillo en el que simplemente se muestra un simple “Hello World!” para comprobar que se ha establecido la conexión con el PC conectado a la interfaz LAN del E205. Siguiendo el mismo principio se podría acceder remotamente a paneles de control o Dashboards de PLCs, microcontroladores, dispositivos Raspberry Pi y similares o cualquier periférico que comunique con el router E205 a través de LAN o Wi-Fi.