{"id":480,"date":"2011-04-11T08:50:13","date_gmt":"2011-04-11T13:50:13","guid":{"rendered":"https:\/\/rafael.bonifaz.ec\/blog\/?p=480"},"modified":"2011-04-11T08:50:13","modified_gmt":"2011-04-11T13:50:13","slug":"openvpn-how-to-1","status":"publish","type":"post","link":"https:\/\/rafael.bonifaz.ec\/blog\/2011\/04\/openvpn-how-to-1\/","title":{"rendered":"OpenVPN how to 1"},"content":{"rendered":"

Introducci\u00f3n<\/h2>\n

Una Red Privada Virtual <\/strong>(VPN por sus siglas en ingl\u00e9s) sirve para crear una conexi\u00f3n encriptada entre 2 o m\u00e1s puntos a trav\u00e9s de Internet. Un caso de uso t\u00edpico puede ser permitir al acceso a servicios de una intranet de forma segura desde Internet. \u00a0Otro caso t\u00edpico de uso es interconectar redes locales de 2 \u00f3 m\u00e1s sucrusales a trav\u00e9s de Internet. En este art\u00edculo haremos la primera opci\u00f3n y en un futuro cercano publicar\u00e9 c\u00f3mo interconectar 2 redes.<\/p>\n

Existen varias implementaciones de VPN y en el mundo de software libre una de las m\u00e1s populares es OpenVPN. \u00a0Una de sus grandes ventajas, es que se pueden tener clientes en distintos sistemas operativos com GNU\/Linux, Windows, Mac y seguro que en todas las versiones BSD.<\/p>\n

Instalaci\u00f3n<\/h2>\n

OpenVPN viene por defecto en la mayor\u00eda de las distribuciones GNU\/Linux. En mi caso suelo utilizar Debian o Ubuntu. La instalaci\u00f3n la hice con aptitude:<\/p>\n

aptitude install openvpn<\/code><\/p>\n

En distros basadas en RPM la instalaci\u00f3n se la hace con yum:<\/p>\n

yum install openvpn<\/code><\/p>\n

Listo , as\u00ed de f\u00e1cil y de sencillo.<\/p>\n

Crear los certificados digitales<\/h2>\n

OpenVPN autentica sus clientes a trav\u00e9s de llaves p\u00fablicas y privadas. De esta manera cada cliente tiene su llave privada y debe enviar su llave p\u00fablica al servidor. Estas llaves son creadas con un certificado conocido como \u00abCertificado de Autoridad<\/em>\u00ab. De esta forma cuando el servidor recibe una llave p\u00fablica este revisa si esta firmado con el certificado de autoridad. Sino esta no aceptar\u00e1 la conexi\u00f3n.<\/p>\n

La forma m\u00e1s f\u00e1cil de crear estos certificados es utilizando la utilidad easy-rsa que viene en el paquete de OpenVPN. En el caso de debian esta aplicaci\u00f3n se encuentra en: \/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0\/ easy-rsa<\/em>. Otras distribuciones tendr\u00e1n una ruta similar.<\/p>\n

Copiamos la aplicaci\u00f3n a una ruta m\u00e1s f\u00e1cil de recordar. Personalmente opt\u00e9 por un subdirectorio dentro de \/etc\/openvpn. Para tener las cosas ordenadas:<\/p>\n

cp -r \/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0\/ \/etc\/openvpn\/easy-rsa
\n<\/code><\/p>\n

Ahora ingresamos al directorio para crear las claves:<\/p>\n

cd \/etc\/openvpn\/easy-rsa\/ <\/code><\/p>\n

Dentro de esta carpeta tenemos un archivo que almacena algunas variables importantes. Recomiendo revisar este archivo y de ser el caso modificar algunas variables.<\/p>\n

vim vars<\/code><\/p>\n

En mi caso personalice la siguiente parte para que cuando cree los certificados los valores por defecto tengan que ver con mi realidad:<\/p>\n

export KEY_COUNTRY=\"EC\"
\nexport KEY_PROVINCE=\"Pichicha\"
\nexport KEY_CITY=\"Cayambe\"
\nexport KEY_ORG=\"Mi empresa\"
\nexport KEY_EMAIL=\"yo@midominio.com\" <\/code><\/p>\n

Guardamos y cerramos el archivo. Si no queremos no modificamos el archivo, es algo netamente opcional.<\/p>\n

Cargamos las variables de este archivo al shell que estamos utilizando:<\/p>\n

. vars<\/code><\/p>\n

Borramos las claves previamete creados en caso de existir. Hacer esto solo si es la primera vez que vamos a crear los certificados y las claves.<\/p>\n

.\/clean-all <\/code><\/p>\n

Creamos el certificado de autoridad:<\/p>\n

.\/build-ca<\/code><\/p>\n

Si modificaron las variables, se dar\u00e1n cuenta que ahora las estaremos utilizando.<\/p>\n

Certificado y clave privada para el servidor<\/p>\n

\/build-key-server servidor <\/code><\/p>\n

Esto generara los archivos servidor.crt y servidor.key. donde el archivo .key es la llave privada y .crt es la p\u00fablica.<\/p>\n

Generamos los par\u00e1metros\u00a0 Diffie Helman<\/a><\/p>\n

<\/a>.\/build-dh<\/span><\/p>\n

Generamos las claves de los clientes.<\/p>\n

.\/build-key cliente1
\n.\/build-key cliente2
\n.\/build-key cliente3
\n<\/code><\/p>\n

De manera similar al servidor se crear\u00e1n las claves *.key y *.crt que ser\u00e1n las claves privadas y p\u00fablicas respectivamente. Las 2 claves las deberemos copiar al cliente.<\/p>\n

Listo, hemos creado todos los certificados necesarios y estamos listos para configurar los clientes y el servidor. Es importante sacar un respaldo del directorio \/etc\/openvpn\/easy-rsa ya que ah\u00ed est\u00e1n todas las claves, incluido el certificado de autoridad que nos permitir\u00e1 crear nuevas claves a futuro.<\/p>\n

Resumen de las claves y certificados creados:<\/h3>\n\n\n\n\n\n\n\n\n\n\n
Archivo<\/th>\nUtilizado en<\/th>\nDescripci\u00f3n<\/th>\nSecreto<\/th>\n<\/tr>\n
ca.ca<\/td>\nServidor y todos los clientes<\/td>\nCertificado de Autoridad<\/td>\nno<\/td>\n<\/tr>\n
ca.crt<\/td>\nM\u00e1quina donde se crean los certificados<\/td>\nLlave del certificado CA principal<\/td>\ns\u00ed<\/td>\n<\/tr>\n
dh{n}.pem<\/td>\nServidor<\/td>\nPar\u00e1metros Diffie Hellman<\/td>\nno<\/td>\n<\/tr>\n
servidor.crt<\/td>\nServidor<\/td>\nCertificado del servidor<\/td>\nno<\/td>\n<\/tr>\n
servidor.key<\/td>\nServidor<\/td>\nLlave privada del certificado del servidor<\/td>\ns\u00ed<\/td>\n<\/tr>\n
clienteX.crt<\/td>\nSolo en el cliente X<\/td>\nCertificado del Cliente X<\/td>\nno<\/td>\n<\/tr>\n
clienteX.key<\/td>\nSolo en el cliente X<\/td>\nLlave privado del certificado del cliente X<\/td>\nno<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Nota:<\/strong> en clienteX, X quiere decir el n\u00famero del cliente. En este ejemplo estamos trabajamos con 3 clientes para la VPN pr lo que deber\u00ed\u00e1mos tener 3 pares de claves .crt y .key.<\/p>\n

Configurar el Servidor<\/h2>\n

Copiamos los archivos que corresponden al servidor en una carpeta dentro del mismo. En mi caso copie la configuraci\u00f3n en \/etc\/openvpn\/claves. Si generamos las claves en una m\u00e1quina que no es el servidor debemos usar scp<\/a> u otra aplicaci\u00f3n para subirlas a nuestro servidor.
\nCopiamos un archivo de ejemplo de configuraci\u00f3n del servidor y la adaptamos a nuestras necesidades.<\/p>\n

cd \/etc\/openvpn
\ncp \/usr\/share\/doc\/openvpn\/examples\/sample-config-files\/server.conf.gz .
\ngunzip server.conf.gz
\nvim server.conf
\n<\/code><\/p>\n

Dentro del archivo modificamos algunas variables para que funcione. Aqu\u00ed expico algunas:
\nProtocolo a utilizar:<\/p>\n

# TCP or UDP server?
\nproto udp
\n<\/code><\/p>\n

Vamos a configurar la vpn utilizando el protocolo UDP ya que esto nos dar\u00e1 un mejor rendimiento. No tiene sentido trabajar en TCP ya que dentro de nuestra vpn se correra el protocolo IP donde de ser necesario se volver a utilizar el protocolo TCP y no tiene sentido utilizar 2 veces este protocolo. En otras palabras, utilizar TCP solo cuando no lo puedan hacer con UDP.<\/p>\n

Definimos las rutas a los certifiados. Recordar que en este ejemplo estamos utilizando \/etc\/openvpn\/claves<\/p>\n

ca claves\/ca.crt
\ncert claves\/servidor.crt
\nkey claves\/servidor.key
\ndh dh1024.pem
\n<\/code><\/p>\n

Por \u00faltimo, en el mismo archivo, decimos a que redes queremos que los clientes vpn puedan acceder.<\/p>\n

push \"route 192.168.45.0 255.255.255.0\" <\/code><\/p>\n

Listo podremos iniciar el servidor:<\/p>\n

\/etc\/init.d\/openvpn start<\/code><\/p>\n

En caso de necesitar corregir errores se puede iniciar el servicio as\u00ed:<\/p>\n

openvpn <archivo de configuraci\u00f3n><\/code><\/p>\n

Nota<\/strong>: El servidor VPN deber\u00eda poder trabajar como ruteador por lo que debemos activar esto a nivel del kernel:<\/p>\n

echo 1 > \/proc\/sys\/net\/ipv4\/ip_forward<\/p>\n

Para que la configuraci\u00f3n quede grabada y no se pierda al reiniciar la m\u00e1quina se debe editar el archivo \/etc\/sysctl.conf y poner el valor de 1 a la variable correspondiente:<\/p>\n

net.ipv4.ip_forward=1<\/code><\/p>\n

Configuraci\u00f3n de un Cliente<\/h2>\n

Instalar OpenVPN en el cliente. En el caso de usar Linux, la instalaci\u00f3n es igual a como se instala el servidor.
\nCopiamos los archivos correspondientes al cliente dentro de la m\u00e1quina del mismo (Ver la tabla de arriba). En mi caso los copie en \/etc\/openvpn\/claves<\/p>\n

Una vez que tenemos las claves, copiamos un archivo de configuraci\u00f3n de ejemplo para cliente y lo configuramos para nuestras necesidades:<\/p>\n

cp \/usr\/share\/doc\/openvpn\/examples\/sample-config-files\/client.conf \/etc\/openvpn\/
\nvim client.conf<\/code><\/p>\n

Definimos el protocolo como UDP igual que en el servidor:<\/p>\n

proto udp
\n<\/code><\/p>\n

De manera similar al servidor, editamos las varialbes ca, cr y key<\/strong>:<\/p>\n

ca claves\/ca.crt
\n<\/span>cert claves\/clienteX.crt
\n<\/span>key claves\/clientX.key<\/span><\/p>\n

El cliente debe saber a que servidor se debe conectar. Para esto debemos utilizar un nombre de dominio o el IP p\u00fablico y el puerto a conectarse. Por defecto OpeVPN corre en el puerto 1194.<\/p>\n

remote miservidor.com\u00a01194<\/code><\/p>\n

Iniciamos OpenVPN en el cliente<\/p>\n

\/etc\/init.d\/openvpn start<\/span><\/p>\n

En caso de tener errores podemos probar con<\/p>\n

openvpn <archivo de configuracion><\/code><\/p>\n

Para probar la conectividad podemos hacer ping al ip 10.8.0.1 que es el ip de nuestro servidor. Si lo hacemos ya estamos con la VPN arriba. en caso de haber puesto la sentencia push podr\u00edamos hacer ping a ips dentro de la red LAN donde se encuentra la VPN. Ojo que las m\u00e1quinas de la red LAN deber\u00edan saber como llegar a la red 10.8.0.0\/24, para esto deber\u00edamos ver la configuraci\u00f3n del servidor.<\/p>\n

Referencias Adicionales<\/h2>\n