Selección de VPN para NethServer
Trabajar con NethServer en un entorno de producción en Madrid implica manejar un sistema basado en CentOS 7, con yum como gestor de paquetes y un perfil de usuario orientado a administradores de red. La mayoría de instalaciones son headless y gestionadas a través de la interfaz web de Cockpit o directamente por SSH. Aunque algunos optan por añadir un entorno GNOME o XFCE para tareas puntuales, lo habitual es un servidor ligero con servicios dedicados (firewall, proxy, Samba, correo, etc.).
Partiendo de esta base, las VPN más aptas son aquellas que:
– Se integran bien con yum y repositorios EPEL.
– Permiten configuración CLI o módulos existentes en NethServer.
– Soportan IPv4/IPv6, autenticación sólida y buen rendimiento en kernels 3.10.x.
– Cuentan con buen soporte de comunidad y documentación.
Tras analizar compatibilidad, mantenimiento y flexibilidad, las opciones destacadas son:
- OpenVPN: Clásico, estable, compatible con el módulo oficial de NethServer.
- strongSwan (IPsec): Integración IPsec nativa en Linux, ideal para túneles site-to-site.
- WireGuard: Ligero, alto rendimiento y cada vez más soporte backport en CentOS/NethServer.
Tabla comparativa de las mejores VPN
| VPN | Protocolo | Integración NethServer | Gestor de paquetes | Configuración habitual | Enlace oficial |
|---|---|---|---|---|---|
| OpenVPN | UDP/TCP | Módulo disponible en Cockpit | yum / EPEL | Archivo /etc/openvpn/.conf |
Sitio oficial de OpenVPN |
| strongSwan | IPsec (IKEv2) | Se instala vía yum, sin módulo gráfico nativo | yum / EPEL | Archivos en /etc/strongswan |
Página de strongSwan |
| WireGuard | WireGuard | Backport de kernel, hay repositorio específico | yum / Copr | Archivos en /etc/wireguard |
Web oficial de WireGuard |
Instalación y configuración
1. OpenVPN
OpenVPN es la opción más sencilla si usas el módulo de NethServer. Este módulo automatiza la generación de certificados y la configuración de firewall.
- Habilitar repositorio EPEL y módulo de VPN:
yum install epel-release -y yum install nethserver-openvpn -y config set vpn.OpenVPN status enabled signal-event nethserver-openvpn-update
- Personalizar certificados y usuarios desde la interfaz web de NethServer (Menú VPN #62 OpenVPN):
- Crear Autoridad Certificadora (CA).
- Generar certificados de servidor y clientes.
- Comprobar estado del servicio:
systemctl status openvpn-server@server.service
Los ficheros .ovpn generados puedes distribuirlos al cliente vía SCP o descargar desde la interfaz web.
2. strongSwan (IKEv2)
Para conexiones seguras site-to-site o cliente-servidor con IPsec, strongSwan es muy sólido.
- Instalar paquetes necesarios:
yum install epel-release -y yum install strongswan strongswan-libcharon -y
- Editar
/etc/strongswan/ipsec.conf:
cat >> /etc/strongswan/ipsec.conf << EOF config setup charondebug=ike 2, knl 2 conn roadwarrior keyexchange=ikev2 ike=aes256-sha1-modp1024 esp=aes256-sha1 left=%any leftauth=pubkey leftcert=serverCert.pem right=%any rightauth=eap-mschapv2 rightsendcert=never eap_identity=%identity EOF
- Configurar credenciales en
/etc/strongswan/ipsec.secrets:
echo : RSA serverKey.pem >> /etc/strongswan/ipsec.secrets echo usuario1 : EAP tuPasswordSegura >> /etc/strongswan/ipsec.secrets
- Activar y arrancar:
systemctl enable strongswan systemctl start strongswan
3. WireGuard
WireGuard ofrece muy baja latencia y es ideal si el kernel lo soporta o tienes el módulo backport en NethServer/Copr.
- Agregar repositorio Copr:
yum install epel-release -y yum install yum-plugin-copr -y yum copr enable jdoss/wireguard -y yum install wireguard-dkms wireguard-tools -y
- Generar claves y archivo de configuración:
umask 077 wg genkey tee /etc/wireguard/privatekey wg pubkey > /etc/wireguard/publickey cat > /etc/wireguard/wg0.conf << EOF [Interface] PrivateKey = (cat /etc/wireguard/privatekey) Address = 10.0.0.1/24 ListenPort = 51820 SaveConfig = true [Peer] PublicKey = (clave-publica-del-peer) AllowedIPs = 10.0.0.2/32 EOF
- Levantar la interfaz:
systemctl enable wg-quick@wg0 systemctl start wg-quick@wg0
Posteriormente ajusta /etc/firewalld/zones/public.xml para permitir el puerto UDP 51820 y recarga firewalld.
Conclusión
Para entornos NethServer, OpenVPN es la opción más directa gracias al módulo integrado. Si necesitas IPsec corporativo, strongSwan ofrece robustez y estandarización. Cuando el rendimiento y la simplicidad sean clave, WireGuard se alza como la alternativa moderna. La elección dependerá del caso de uso: cliente remoto, túnel site-to-site o necesidades de throughput.
Deja una respuesta