LINUXMIND.DEV

Como elegir, usar y configurar una VPN en Sophos UTM (formerly Astaro Security Gateway) (Comparativa)

VPN más aptas para Sophos UTM

En Sophos UTM (antes Astaro Security Gateway) nos encontramos con una plataforma basada en Debian, pensada para administradores de red y seguridad que gestionan appliances físicas o virtuales. No dispone de entorno de escritorio (todo se maneja por Webadmin y SSH), y su gestor de paquetes interno es APT/dpkg, aunque el sistema de archivos está «sellado» para mantener la integridad. Por defecto, sólo se instalan actualizaciones oficiales vía Sophos si queremos incorporar software adicional como VPN de terceros, hay que remontar la partición en modo lectura-escritura, instalar cuidadosamente y volver a cerrar el sistema para no perder soporte.

Las VPN que más encajan en este entorno son:

  • OpenVPN: maduro, estable y con soporte de la mayoría de clientes. Se integra bien en Debian y su configuración cabe en la CLI de Sophos.
  • SoftEther VPN: ofrece múltiples protocolos (SSL-VPN, L2TP/IPsec, OpenVPN, MS-SSTP) y funciona sobre un único binario. Ideal si necesitamos flexibilidad entre distintos túneles.
  • WireGuard: diseñada para velocidad y simplicidad. Requiere compilar el módulo de kernel (Sophos UTM trae un 4.x personalizado), pero a cambio obtenemos bajo consumo de CPU y alta throughput.

Comparativa de soluciones VPN

VPN Protocolos Integración WebAdmin Clientes soportados
OpenVPN SSL/TLS (UDP/TCP) Limitada (gestión manual) Windows, macOS, Linux, iOS, Android
SoftEther VPN SSL-VPN, L2TP/IPsec, OpenVPN, MS-SSTP Escasa (instalación y config por SSH) Windows, Linux, macOS, iOS, Android
WireGuard WireGuard (UDP) No nativa (módulo a medida) Linux, Windows, macOS, iOS, Android

1) Instalación y configuración de OpenVPN

Preparación del sistema

  1. Entrar por SSH como root.
  2. Desbloquear modo lectura/escritura:
mount -o remount,rw /
  1. Actualizar índices y paquetes:
apt-get update
apt-get install openvpn easy-rsa

Generar certificados

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey --secret ta.key

Archivo de configuración del servidor

cat > /etc/openvpn/server.conf << EOF
port 1194
proto udp
dev tun
ca easy-rsa/pki/ca.crt
cert easy-rsa/pki/issued/server.crt
key easy-rsa/pki/private/server.key
dh easy-rsa/pki/dh.pem
tls-auth ta.key 0
server 10.8.0.0 255.255.255.0
push redirect-gateway def1 bypass-dhcp
push dhcp-option DNS 8.8.8.8
keepalive 10 120
cipher AES-256-CBC
persist-key
persist-tun
user nobody
group nogroup
status openvpn-status.log
verb 3
EOF

Arrancar el servicio y habilitar arranque

systemctl enable openvpn@server
systemctl start openvpn@server

2) Instalación y configuración de SoftEther VPN

Descarga y compilación

  1. Descargamos el paquete fuente:
cd /opt
wget https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/releases/download/v4.39-9772-beta/softether-vpnserver-v4.39-9772-beta-2020.04.05-linux-x64-64bit.tar.gz
tar xzf softether-.tar.gz
cd vpnserver
make

Cuando el compilador pregunte, contestar “1” para aceptar el acuerdo y “1” para compilar.

Instalación como servicio

cp -r vpnserver /usr/local/
chmod 600 /usr/local/vpnserver/
chmod 700 /usr/local/vpnserver/vpnserver
chmod 700 /usr/local/vpnserver/vpncmd
cat > /etc/init.d/vpnserver << EOF
#!/bin/sh
case 1 in
  start) /usr/local/vpnserver/vpnserver start 
  stop)  /usr/local/vpnserver/vpnserver stop 
  ) echo Usage: 0 {startstop} 
esac
EOF
chmod  x /etc/init.d/vpnserver
update-rc.d vpnserver defaults
/etc/init.d/vpnserver start

Configuración básica con vpncmd

/usr/local/vpnserver/vpncmd localhost:5555
# Seleccionar 1 = Management of VPN Server
# Ejecutar dentro de vpncmd:
ServerPasswordSet yourStrongPass
HubCreate hub1 /PASSWORD:hubPass123
Hub hub1
UserCreate usuario1 /GROUP:none /REALNAME:VPN User /NOTE:Acceso SSL-VPN
/PasswordSet usuario1 /PASSWORD:userPass123
SecureNatEnable
ListenerCreate 443
Exit

3) Instalación y configuración de WireGuard

Preparar el kernel

Primero hay que compilar el módulo de WireGuard para el kernel personalizado de Sophos UTM. Suponiendo que tengamos instalados los headers:

apt-get update
apt-get install wireguard-dkms wireguard-tools

Generar claves y archivo de configuración

wg genkey  tee /etc/wireguard/privatekey  wg pubkey > /etc/wireguard/publickey
cat > /etc/wireguard/wg0.conf << EOF
[Interface]
Address = 10.200.200.1/24
ListenPort = 51820
PrivateKey = (cat /etc/wireguard/privatekey)

[Peer]
# Cliente ejemplo
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.200.200.2/32
EOF

Arrancar WireGuard

wg-quick up wg0
systemctl enable wg-quick@wg0

Con esto tenemos tres alternativas contrastadas según necesidades: OpenVPN para compatibilidad, SoftEther para versatilidad de protocolos y WireGuard si priorizamos rendimiento extremo. En Sophos UTM, cada opción exige rematar la instalación desde SSH, siempre asegurando el sellado posterior del sistema para mantener la integridad y el soporte oficial.

Download TXT




Powered by LinuxMind

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *