Guia De Instalación De Un VPN

Instalar OpenVPN

[root@localhost ~]# yum install openvpn

Cambiarse al directorio, desde la terminal, ejecutar lo siguiente para cambiarse al

directorio /etc/openvpn:

cd /etc/openvpn/

NOTA: Todos los procedimientos necesarios para configurar un servidor con OpenVPN se

realizan sin salir de /etc/openvpn/. Por favor, evite cambiar de directorio hasta haber

finalizado los procedimientos descritos en este documento.

A fin de facilitar los procedimientos, se copiarán dentro del directorio /etc/openvpn/ los

archivos openssl.cnf,whichopensslcnf, pkitool y vars, que se localizan

en /usr/share/openvpn/easy-rsa/2.0/:

cp /usr/share/openvpn/easy-rsa/2.0/openssl.cnf ./

cp /usr/share/openvpn/easy-rsa/2.0/whichopensslcnf ./

cp /usr/share/openvpn/easy-rsa/2.0/pkitool ./

cp /usr/share/openvpn/easy-rsa/2.0/vars ./

Utilizar el editor de texto y abrir el archivo /etc/openvpn/vars:

vi /etc/openvpn/vars

De este archivo, solamente editar las últimas líneas, que corresponden a lo siguiente:

export KEY_COUNTRY="US"

export KEY_PROVINCE="CA"

export KEY_CITY="SanFrancisco"

export KEY_ORG="Fort-Funston"

export KEY_EMAIL="me@myhost.mydomain"

Reemplazar por valores reales, como los del siguiente ejemplo:

export KEY_COUNTRY="PE"

export KEY_PROVINCE="Lima"

export KEY_CITY="Lima"

export KEY_ORG="servidor.mi-dominio.com"

export KEY_EMAIL="fulanito@mi-dominio.com"

Se requiere ejecutar del siguiente modo el archivo /etc/openvpn/vars a fin de que carguen las

variables de entorno que se acaban de configurar.

source /etc/openvpn/./vars

Cada vez que se vayan a generar nuevos certificados, debe ejecutarse el mandato anterior a

fin de que carguen las variables de entorno definidas.

Se ejecuta el archivo /usr/share/openvpn/easy-rsa/2.0/clean-all a fin de limpiar cualquier

firma digital que accidentalmente estuviera presente.

sh /usr/share/openvpn/easy-rsa/2.0/clean-all

Lo anterior realiza un rm -fr (eliminación recursiva) sobre el directorio /etc/openvpn/keys, por

lo que se eliminarán todas los certificados y firmas digitales que hubieran existido con

anterioridad.

A fin de crear el certificado del servidor, se crea un certificado:

sh /usr/share/openvpn/easy-rsa/2.0/build-ca

Se crea el archivo dh1024.pem, el cual contendrá los parámetros del protocolo Diffie-Hellman,

de 1024 bits:

sh /usr/share/openvpn/easy-rsa/2.0/build-dh

El protocolo Diffie-Hellman permite el intercambio secreto de claves entre dos partes que sin

que éstas hayan tenido contacto previo, utilizando un canal inseguro y de manera anónima (sin

autenticar). Se emplea generalmente como medio para acordar claves simétricas que serán

empleadas para el cifrado de una sesión, como es el caso de una conexión VPN.

Para generar la firma digital, se utilizan el siguiente mandato:

sh /usr/share/openvpn/easy-rsa/2.0/build-key-server

server

Finalmente se crean los certificados para los clientes. En el siguiente3 ejemplo se crean los

certificados para cliente1,cliente2, cliente3, cliente4, cliente5 y cliente6:

sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente1

sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente2

sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente3

sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente4

sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente5

sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente6

A fin de utilizar los certificados y que se configure el sistema, se crea con el editor de texto el

archivo/etc/openvpn/servidorvpn-udp-1194.conf, donde servidorvpn se reemplaza por el

nombre de anfitrión del sistema:

vi /etc/openvpn/servidorvpn-udp-1194.conf

Para la VPN se recomienda utilizar una red privada que sea poco usual, a fin de poder permitir

a los clientes conectarse sin conflictos de red. Un ejemplo de una red poco utilizada sería

192.168.37.0/255.255.255.0, lo cual permitirá conectarse a laVPN a 253 clientes. Tomando en

cuenta lo anterior, el contenido del archivo /etc/openvpn/servidorvpn-udp-1194.conf, debe

ser el siguiente:

port 1194

proto udp

dev tun

#---- Seccion de llaves -----

ca keys/ca.crt

cert keys/server.crt

key keys/server.key

dh keys/dh1024.pem

#----------------------------

server 192.168.37.0 255.255.255.0

ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo

persist-key

persist-tun

status openvpn-status-servidorvpn-udp-1194.log

verb 3

Descripción de los parámetros anteriores:

Port: Especifica el puerto que será utilizado para que los clientes vpn

puedan conectarse al servidor.

Proto: tipo de protocolo que se empleará en a conexión a través de VPN

dev: Tipo de interfaz de conexión virtual que se utilizará el servidor

openvpn.

ca: Especifica la ubicación exacta del archivo de Autoridad Certificadora

[.ca].

cert: Especifica la ubicación del archivo [.crt] creado para el servidor.

key: Especifica la ubicación de la llave [.key] creada para el servidor

openvpn.

dh: Ruta exacta del archivo [.pem] el cual contiene el formato de Diffie

Hellman (requirerido para --tls-serversolamente).

server: Se asigna el rango IP virtual que se utilizará en la red del túnel

VPN.

Ifconfig-pool-persist: Archivo en donde quedarán registrado las

direcciones IP de los clientes que se encuentran conectados al servidor

OpenVPN.

Keepalive 10 120 : Envía los paquetes que se manejan por la red una vez

cada 10 segundos; y asuma que el acoplamiento es abajo si ninguna

respuesta ocurre por 120 segundos.

comp-lzo: Especifica los datos que recorren el túnel vpn será compactados

...