Selección de las VPN más aptas para Baruwa Enterprise Edition
Baruwa Enterprise Edition es una appliance de seguridad de correo que corre sobre una base CentOS (v7 o v8), sin entorno gráfico y con administración vía web (console de gestión propia) o SSH. Su gestor de paquetes es yum (en CentOS 7) o dnf (en CentOS 8). El perfil de usuario típico es un administrador de sistemas familiarizado con terminal y SELinux, que integra Baruwa en infraestructuras de correo corporativo.
Al elegir una VPN para este entorno cabe valorar:
- Disponibilidad en repositorios oficiales o EPEL/ELRepo.
- Compatibilidad con SELinux (mínima necesidad de policy custom).
- Ligereza y rendimiento en modo kernel (evitar módulos adicionales complejos).
- Facilidad de configuración en modo headless.
Tras pruebas en laboratorio, estas tres soluciones destacan:
- OpenVPN: siempre presente en los repos oficiales, soporte TLS sobre UDP/TCP, buena documentación y scripts Easy-RSA.
- Strongswan: IPsec natural, integración con libcharon, ideal para túneles site-to-site o road-warrior, policy de SELinux ya empaquetada.
- WireGuard: tecnología moderna en kernel-space, gran rendimiento y simplicidad, aunque en CentOS 7 requiere repositorios externos (EPEL y ELRepo).
Comparativa de VPN para Baruwa EE
| VPN | Protocolo | Disponibilidad | Gestión | Integración SELinux |
|---|---|---|---|---|
| OpenVPN | SSL/TLS sobre UDP o TCP | Base (CentOS 7/8) | CLI scripts Easy-RSA | Policy oficial en EPEL |
| Strongswan | IPsec (IKEv2) | EPEL (CentOS 7/8) | ipsec CLI | Empaquetado con Módulo SELinux |
| WireGuard | UDP nativo con criptografía moderna | EPEL ELRepo (CentOS 7) / Base (CentOS 8) | wg-quick / wg CLI | Requiere policy manual en CentOS 7 |
Instalación y configuración paso a paso
1. OpenVPN
Ideal si buscas algo rápido, probado y con multitud de ejemplos.
Instalación:
# CentOS 7 yum install -y epel-release yum install -y openvpn easy-rsa # CentOS 8 dnf install -y epel-release dnf install -y openvpn easy-rsa
Configuración básica:
# Crear directorio PKI mkdir -p /etc/openvpn/easy-rsa cp -r /usr/share/easy-rsa/3/ /etc/openvpn/easy-rsa/ cd /etc/openvpn/easy-rsa # Inicializar PKI y generar CA ./easyrsa init-pki ./easyrsa build-ca nopass # Generar certificado del servidor ./easyrsa gen-req server nopass ./easyrsa sign-req server server # Generar Diffie-Hellman ./easyrsa gen-dh # Copiar certificados a /etc/openvpn cp pki/ca.crt pki/issued/server.crt pki/private/server.key pki/dh.pem /etc/openvpn # Ejemplo de /etc/openvpn/server.conf cat > /etc/openvpn/server.conf << EOF port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh.pem server 10.8.0.0 255.255.255.0 push redirect-gateway def1 bypass-dhcp keepalive 10 120 persist-key persist-tun user nobody group nobody status openvpn-status.log verb 3 EOF # Habilitar y arrancar systemctl enable openvpn@server systemctl start openvpn@server
2. Strongswan
Perfecto para IPsec/IKEv2, cliente road-warrior o tuneles site-to-site.
Instalación:
# CentOS 7 y 8 yum install -y epel-release yum install -y strongswan strongswan-libcharon # En CentOS 8: dnf install -y epel-release dnf install -y strongswan strongswan-libcharon
Configuración básica:
# /etc/strongswan/ipsec.conf config setup uniqueids=never conn roadwarrior keyexchange=ikev2 ike=aes256-sha1-modp2048 esp=aes256-sha1 left=%any leftid=@server.example.com leftcert=server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 rightsourceip=10.9.0.0/24 rightsendcert=never eap_identity=%identity # /etc/strongswan/ipsec.secrets : RSA server-key.pem user1 : EAP password1 # Arrancar el servicio systemctl enable strongswan systemctl start strongswan
3. WireGuard
El más ligero y rápido, recomendado si tu Baruwa EE es CentOS 8. En CentOS 7 añade ELRepo.
Instalación en CentOS 7:
# Habilitar repositorios yum install -y epel-release yum install -y https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm yum install -y kmod-wireguard wireguard-tools
Instalación en CentOS 8:
dnf install -y epel-release dnf install -y wireguard-tools
Generar claves y configuración:
# Directorio de WG mkdir -p /etc/wireguard cd /etc/wireguard # Claves wg genkey tee privatekey wg pubkey > publickey # /etc/wireguard/wg0.conf cat > wg0.conf << EOF [Interface] Address = 10.10.0.1/24 ListenPort = 51820 PrivateKey = (cat privatekey) [Peer] PublicKey =AllowedIPs = 10.10.0.2/32 EOF # Iniciar interfaz wg-quick up wg0 # Habilitar al arranque systemctl enable wg-quick@wg0
Con estas tres opciones podrás dotar a tu instalación de Baruwa Enterprise Edition de un túnel seguro según tus necesidades: OpenVPN para máxima compatibilidad, Strongswan para IPsec nativo o WireGuard para rendimiento extremo. ¡A probar y adaptar!
Un saludo desde Madrid.
Deja una respuesta