Guia De Instalación De Un VPN
Enviado por HMarcelo • 15 de Julio de 2013 • 1.218 Palabras (5 Páginas) • 476 Visitas
Instalar OpenVPN
[root@localhost ~]# yum install openvpn
Cambiarse al directorio, desde la terminal, ejecutar lo siguiente para cambiarse al
directorio /etc/openvpn:
cd /etc/openvpn/
NOTA: Todos los procedimientos necesarios para configurar un servidor con OpenVPN se
realizan sin salir de /etc/openvpn/. Por favor, evite cambiar de directorio hasta haber
finalizado los procedimientos descritos en este documento.
A fin de facilitar los procedimientos, se copiarán dentro del directorio /etc/openvpn/ los
archivos openssl.cnf,whichopensslcnf, pkitool y vars, que se localizan
en /usr/share/openvpn/easy-rsa/2.0/:
cp /usr/share/openvpn/easy-rsa/2.0/openssl.cnf ./
cp /usr/share/openvpn/easy-rsa/2.0/whichopensslcnf ./
cp /usr/share/openvpn/easy-rsa/2.0/pkitool ./
cp /usr/share/openvpn/easy-rsa/2.0/vars ./
Utilizar el editor de texto y abrir el archivo /etc/openvpn/vars:
vi /etc/openvpn/vars
De este archivo, solamente editar las últimas líneas, que corresponden a lo siguiente:
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"
Reemplazar por valores reales, como los del siguiente ejemplo:
export KEY_COUNTRY="PE"
export KEY_PROVINCE="Lima"
export KEY_CITY="Lima"
export KEY_ORG="servidor.mi-dominio.com"
export KEY_EMAIL="fulanito@mi-dominio.com"
Se requiere ejecutar del siguiente modo el archivo /etc/openvpn/vars a fin de que carguen las
variables de entorno que se acaban de configurar.
source /etc/openvpn/./vars
Cada vez que se vayan a generar nuevos certificados, debe ejecutarse el mandato anterior a
fin de que carguen las variables de entorno definidas.
Se ejecuta el archivo /usr/share/openvpn/easy-rsa/2.0/clean-all a fin de limpiar cualquier
firma digital que accidentalmente estuviera presente.
sh /usr/share/openvpn/easy-rsa/2.0/clean-all
Lo anterior realiza un rm -fr (eliminación recursiva) sobre el directorio /etc/openvpn/keys, por
lo que se eliminarán todas los certificados y firmas digitales que hubieran existido con
anterioridad.
A fin de crear el certificado del servidor, se crea un certificado:
sh /usr/share/openvpn/easy-rsa/2.0/build-ca
Se crea el archivo dh1024.pem, el cual contendrá los parámetros del protocolo Diffie-Hellman,
de 1024 bits:
sh /usr/share/openvpn/easy-rsa/2.0/build-dh
El protocolo Diffie-Hellman permite el intercambio secreto de claves entre dos partes que sin
que éstas hayan tenido contacto previo, utilizando un canal inseguro y de manera anónima (sin
autenticar). Se emplea generalmente como medio para acordar claves simétricas que serán
empleadas para el cifrado de una sesión, como es el caso de una conexión VPN.
Para generar la firma digital, se utilizan el siguiente mandato:
sh /usr/share/openvpn/easy-rsa/2.0/build-key-server
server
Finalmente se crean los certificados para los clientes. En el siguiente3 ejemplo se crean los
certificados para cliente1,cliente2, cliente3, cliente4, cliente5 y cliente6:
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente1
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente2
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente3
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente4
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente5
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente6
A fin de utilizar los certificados y que se configure el sistema, se crea con el editor de texto el
archivo/etc/openvpn/servidorvpn-udp-1194.conf, donde servidorvpn se reemplaza por el
nombre de anfitrión del sistema:
vi /etc/openvpn/servidorvpn-udp-1194.conf
Para la VPN se recomienda utilizar una red privada que sea poco usual, a fin de poder permitir
a los clientes conectarse sin conflictos de red. Un ejemplo de una red poco utilizada sería
192.168.37.0/255.255.255.0, lo cual permitirá conectarse a laVPN a 253 clientes. Tomando en
cuenta lo anterior, el contenido del archivo /etc/openvpn/servidorvpn-udp-1194.conf, debe
ser el siguiente:
port 1194
proto udp
dev tun
#---- Seccion de llaves -----
ca keys/ca.crt
cert
...