PDF de programación - Cómo configurar un servidor de OpenVPN

Cómo configurar un servidor de OpenVPN

Autor: Joel Barrios Dueñas
Correo electrónico: darkshram en gmail punto com
Sitio de Red: http://www.alcancelibre.org/
Jabber ID: [email protected]

Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

© 1999-2011 Joel Barrios Dueñas. Usted es libre de copiar, distribuir y comunicar
públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a)
Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines
comerciales (incluyendo su publicación, a través de cualquier medio, por
entidades con fines de lucro). c) Si altera o transforma esta obra, o genera una
obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a
ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la
licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene
el permiso del titular de los derechos de autor. Los derechos derivados de usos
legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa
en castellano. La información contenida en este documento y los derivados de éste
se proporcionan tal cual son y los autores no asumirán responsabilidad alguna si el
usuario o lector hace mal uso de éstos.

Introducción.
Acerca de OpenVPN.

OpenVPN es una solución de conectividad basada sobre equipamiento lógico (software):
SSL(Secure Sockets Layer) VPN (Virtual Private Network, o red virtual privada), OpenVPN
ofrece conectividad punto-a-punto con validación, jerárquica de usuarios y host conectados
remotamente, resulta una muy buena opción en tecnologías Wi-Fi (redes inalámbricas EEI
802.11) y soporta una amplia configuración, entre éstas el balanceo de cargas, entre otras
muchas cosas más.

URL: http://openvpn.net

Breve explicación de lo que se logrará con este documento.

Este documento describe la configuración de una VPN tipo Intranet.

Este tipo de redes es creado entre una oficina central (servidor) y una o varias oficinas remotas
(clientes). El acceso viene del exterior. Se utiliza este tipo de VPN cuando se necesita enlazar a
los sitios que son parte de una compañía, en nuestro caso será compuesto por un servidor
Central que conectará a muchos clientes VPN entre si.

La información y aplicaciones a las que tendrán acceso los directivos móviles en el VPN, no
serán las mismas que aquellas en donde pueden acceder los usuarios que efectúan actividades
de mantenimiento y soporte, esto como un ejemplo de lo que se podrá realizar con esta
configuración.

Ademas de que podrá conectarse a través de Terminal Server (en el caso de clientes Linux)

a terminales Windows de la red VPN así como de Clientes Windows a computadoras con el
mismo sistema operativo (mediante RDP).

Nota Importante: Enfocado a esta configuración .. Una vez que los clientes (Windows/Linux)
se conecten a la red VPN quedarán automáticamente sin conexión a Internet, lo cual NO
podrán acceder a la red mundial. Esto puede ser modificable en el servidor VPN.

Servidor de Pasarela OpenVPN con clientes (Windows/Linux) remotos

El servidor VPN hace de pasarela para que todos los clientes (Windows/Linux) puedan estar
comunicados a través del túnel OpenVPN, estos al conectarse por medio de Internet al túnel
automáticamente quedan sin lineaa la red mundial quedando como una red local, esto claro
esta a través de la VPN.

Cada cliente se encuentra en lugares diferentes (ciudad/estado/país) con diferentes tipos de
segmento de red, al estar conectados mediante el túnel VPN se crea un red virtual y se asigna
un nuevo segmento de red proporcionada por el servidor principal en este caso con segmento
(por ejemplo 10.10.0.0/255.255.255.0no 192.168.37.0/255.255.255.0).
Instalación del equipamiento lógico necesario.
Fedora 9 en adelante incluye el paquete openvpn en sus depósitos Yum, por lo que solo es
necesario instalarlo desde la terminal a través del mandato yum. El siguiente procedimiento
solo es necesario para CentOS 5.

Instalación en CentOS 5.

Como el usuario root, desde una terminal, crear el archivo /etc/yum.repos.d/AL-Server.repo,

utilizando cualquier editor de texto. En el siguiente ejemplo se utiliza vi.

vi /etc/yum.repos.d/AL-Server.repo

Añadir a este nuevo archivo el siguiente contenido:

[AL-Server]
name=AL Server para Enterprise Linux $releasever
mirrorlist=http://www.alcancelibre.org/al/el$releasever/al-server
gpgcheck=1
gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY

Importar la firma digital de Alcance Libre ejecutando lo siguiente desde la terminal:

rpm --import http://www.alcancelibre.org/al/AL-RPM-KEY

Luego de importar la firma digital de Alcance Libre, instalar el equipamiento lógico (software)
necesario con el mandato yum. Se requieren los paquetes RPM de OpenVPN, Shorewall y vim-
enhanced (la versión mejorada de Vi):

yum -y install openvpn shorewall vim-enhanced

Procedimientos.
Si fuera necesario, cambiarse al usuario root utilizando el siguiente mandato:

su -l

A fin de poder utilizar inmediatamente la versión mejorada de Vi (instalado con el paquete vim-
enhanced), ejecutar desde la terminal lo siguiente:

alias vi="vim"

Cambiarse al directorio, desde la terminal, ejecutar lo siguiente para cambiarse al directorio
/etc/openvpn:

cd /etc/openvpn/

NOTA: Todos los procedimientos necesarios para configurar un servidor con OpenVPN se

NOTA: Todos los procedimientos necesarios para configurar un servidor con OpenVPN se
realizan sin salir de /etc/openvpn/. Por favor, evite cambiar de directorio hasta haber
finalizado los procedimientos descritos en este documento.

A fin de facilitar los procedimientos, se copiarán dentro del directorio /etc/openvpn/ los archivos
openssl.cnf, whichopensslcnf, pkitool y vars, que se localizan en /etc/openvpn/easy-
rsa/2.0/:

cp /usr/share/openvpn/easy-rsa/2.0/openssl.cnf ./
cp /usr/share/openvpn/easy-rsa/2.0/whichopensslcnf ./
cp /usr/share/openvpn/easy-rsa/2.0/pkitool ./
cp /usr/share/openvpn/easy-rsa/2.0/vars ./

Utilizar el editor de texto y abrir el archivo /etc/openvpn/vars:

vi /etc/openvpn/vars

De este archivo, solamente editar las últimas líneas, que corresponden a lo siguiente:

export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="[email protected]"

Reemplazar por valores reales, como los del siguiente ejemplo:

export KEY_COUNTRY="MX"
export KEY_PROVINCE="DF"
export KEY_CITY="Mexico"
export KEY_ORG="servidor.mi-dominio.com"
export KEY_EMAIL="[email protected]"

Se requiere ejecutar del siguiente modo el archivo /etc/openvpn/vars a fin de que carguen las
variables de entorno que se acaban de configurar.

source /etc/openvpn/./vars

Cada vez que se vayan a generar nuevos certificados, debe ejecutarse el mandato anterior a fin
de que carguen las variables de entorno definidas.

Se ejecuta el archivo /usr/share/openvpn/easy-rsa/2.0/clean-all a fin de limpiar cualquier
firma digital que accidentalmente estuviera presente.

sh /usr/share/openvpn/easy-rsa/2.0/clean-all

Lo anterior realiza un rm -fr (eliminación recursiva) sobre el directorio /etc/openvpn/keys, por
lo que se eliminarán todas los certificados y firmas digitales que hubieran existido con
anterioridad.

A fin de crear el certificado del servidor, se crea un certificado:

sh /usr/share/openvpn/easy-rsa/2.0/build-ca

Se crea el archivo dh1024.pem, el cual contendrá los parámetros del protocolo Diffie-Hellman,
de 1024 bits:

sh /usr/share/openvpn/easy-rsa/2.0/build-dh

El protocolo Diffie-Hellman permite el intercambio secreto de claves entre dos partes que sin
que éstas hayan tenido contacto previo, utilizando un canal inseguro, y de manera anónima (sin
autenticar). Se emplea generalmente como medio para acordar claves simétricas que serán
empleadas para el cifrado de una sesión, como es el caso de una conexión VPN.

Para generar la firma digital, se utilizan el siguiente mandato:

sh /usr/share/openvpn/easy-rsa/2.0/build-key-server server

Finalmente se crean los certificados para los clientes. En el siguiente3 ejemplo se crean los
certificados para cliente1, cliente2, cliente3, cliente4, cliente5, y cliente6:

sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente1
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente2
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente3
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente4
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente5
sh /usr/share/openvpn/easy-rsa/2.0/build-key cliente6

A fin de utilizar los certificados y que se configure el sistema, se crea con el editor de texto el
archivo /etc/openvpn/servidorvpn-udp-1194.conf, donde servidorvpn se reemplaza por el
nombre de anfitrión del sistema:

vi /etc/openvpn/servidorvpn-udp-1194.conf

Para la VPN se recomienda utilizar una red privada que sea poco usual, a fin de poder permitir
a los clientes conectarse sin conflictos de red. Un ejemplo de una red poco utilizada sería
192.168.37.0/255.255.255.0, lo cual permitirá conectarse a la VPN a 253 clientes. Tomando en
cuenta lo anterior, el contenido del archivo /etc/openvpn/servidorvpn-udp-1194.conf, debe
ser el siguiente:

ser el siguiente:

port 1194
proto udp
dev tun
#---- Seccion de llaves -----
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
#----------------------------
server 192.168.37.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status-servidorvpn-udp-1194.log
verb 3

Descripción de los parámetros anteriores:

Port: Especifica el puerto que será utilizado para que los clientes vpn puedan
conectarse al servidor.

Proto: tipo de protocolo que se empleará en a conexión a través de VPN

dev: Tipo de interfaz de conexión virtual que se utilizará el servidor openvpn.

ca: Especifica la ubicación exacta del archivo de Autoridad Certificadora [.ca].

cert: Especifica la ubic