Home

OpenVpn

dpadua

Usuario
Amigo OpenSPA
5 Mar 2017
85
15
0
55
Por si a alguien le sirve y le evita algunas búsquedas ...
Para instalar un servidor opnvpn en un deco
Yo lo he hecho usando la imagen openspa
Deco en el que queremos instalar el servido está fuera de nuestra red
Puerto 22 abierto y con ddns actualizado en deco.
Una vez tenemos abierta la conexión ssh

Código:
ipkg update
ipkg install openvpn
ipkg install esay-rsa

Crear claves para servidor y clientes
Código:
cd /usr/share/easy-rsa
Editar vars
Código:
vi vars

Modificar las últimas líneas del archivo:
Código:
# These are the default values for fields                                      
# which will be placed in the certificate.                                    
# Don't leave any of these fields blank.                                      
export KEY_COUNTRY="ES"                                                        
export KEY_PROVINCE="ZA"                                                      
export KEY_CITY="ZAMORA"                                                    
export KEY_ORG="Grupo_abanicos_paipai"                                        
export KEY_EMAIL="[email protected]"                                          
export [email protected]                                      
export KEY_CN=pues_mi_key_cn                                                        
export KEY_NAME=pues_eso_name                                                      
export KEY_OU=alguna_ocurrencia                                                      
export PKCS11_MODULE_PATH=industria_metal                                        
export PKCS11_PIN=1234
Salir del editor vi con escape y luego :wq

Código:
source ./vars
./clean-all

Clave para autoridad de certificación
Código:
./buid-ca
Nos hace unas preguntas, no contestar y darle a enter

Parámetros Diffie Hellman, pinta la pantalla con puntos y símbolos, tarda un poquito...
.
Código:
/build-dh

Certificados para el servidor
./build-key-server nombre_servidor
Sustituir nombre_servidor por lo que se quiera, servidor, deco, zgemma, server
Código:
./build-key-server zgemma
Hace las mismas preguntas de antes, no contestar y darle al enter
Hace dos preguntas con opciones [y/n]
Contestar las dos con y

Certificados para cliente/s
./build-key nombre_cliente
Sustituir nombre_cliente por lo que se quiera, user1, usuario100, pedrito ...
Código:
./build-key dpadua
Hace las mismas preguntas de antes, no contestar y darle al enter
Hace dos preguntas con opciones [y/n]
Contestar las dos con y
Fin de creación de claves

Todas las claves han sido guardadas en /usr/share/easy-rsa/keys/

Creación de directorios:
Ir al directorio etc
Código:
cd /etc
Crear directorio openvpn
Código:
mkdir openvpn
Situarse en openvpn
Código:
cd openvpn
Crear directorios independientes para cada usuario (opcional, pero aconsejable)
Código:
mkdir dpadua
Tantos como usuarios hayamos creado

Mover/Copiar las claves creadas a sus directorios correspondientes:
Ir al directorio keys donde se encuentran las claves
Código:
cd /usr/share/easy-rsa/keys
Claves para el servidor
Código:
cp dh1024.pem /etc/openvpn/
cp ca.crt /etc/openvpn/
cp zgemma.crt /etc/openvpn/
cp zgemma.key /etc/openvpn/
Total 4 archivos para el servidor, dh1024.pem, ca.crt, zgemma.crt, zgemma.key

Mover/Copiar las claves creadas a sus directorios correspondientes:
Ir al directorio keys donde se encuentran las claves
Código:
cd /usr/share/easy-rsa/keys
Claves para el cliente
Código:
cp ca.crt /etc/openvpn/dpadua/
cp dpadua.crt /etc/openvpn/dpadua/
cp dpadua.key /etc/openvpn/dpadua/
Total 3 archivos por cliente, ca.crt, dpadua.crt, dpadua.key

Configurar servidor:
Ir al directorio openvpn
Código:
cd /etc/openvpn
Dentro del servidor crear el archivo zgemma.conf
Código:
vi zgemma.conf
Pulsar A para modo edición
Poner lo siguiente (copiar y pegar):

Código:
port 1194
proto udp
dev tun
ca ca.crt
cert zgemma.crt
key zgemma.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 120
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

Cambiar el 1194 por otro puerto si se desea, si se cambia aquí hay que cambiarlo en el cliente (más adelante)
En 192.168.1.0 poner la ip del deco, terminada en 0
ca ca.crt
cert zgemma.crt
key zgemma.key
dh dh1024.pem
Esas 4 líneas son para indicar donde están las claves del servidor ...
Activar el servidor
Código:
cd /etc/init.d
./openvpn start
Si todo bien responde esto
Código:
Starting openvpn: zgemma

Configuración de servidor ya está terminada

Ahora debemos sacar los archivos del cliente dpadua
Yo lo he hecho abriéndolos con el editor vi y con seleccionar, copiar y pegar, algo costoso, pero se puede hacer.
Es mejor por ftp, pero lo vamos a hacer todo por telnet (ssh)
Debemos tener ca.crt, dpadua.crt, dpadua.key que estaban en /etc/openvpn/dpadua
Una vez los tengamos en nuestro sitio cliente, debemos crear el archivo dpadua.conf
Y poner los siguientes datos:

Código:
client
dev tun
proto udp
remote dominiodeldeco_ddns.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3

La línea remote es la ip del servidor, ddns, no-ip, freedns, ...seguida del puerto que pusimos en la configuración del servidor

Borrado de archivos en servidor
Carpeta de claves de cliente
Código:
cd /etc/openvpn
rm -r dpadua
Todas las claves generadas en el directorio keys
Código:
cd /usr/share/easy-rsa/keys
rm *.*

Configurar cliente en linux manjaro:
openvpn_zgemma.png


Configurar cliente en windows 10:
Descargar e instalar openvpn
https://openvpn.net/index.php/open-source/downloads.html

Renombrar dpadua.conf a dpadua.ovpn
Editar y añadir la tres ultimas lineas ...
Código:
client
dev tun
proto udp
remote dominiodeldeco_ddns.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
ca ca.crt
cert dpadua.crt
key dpadua.key

Import file
Localizar dpadua.conf
Dará error al conectar, se crea carpeta en
C:\Users\Ususario\OpenVPN\config\dpadua
Copiar en esa carpeta los 4 archivos ca.crt, dpadua.crt, dpadua.key, dpadua.ovpn

Configurar cliente en móvil android:
Descargar openvpn connect de Play Store
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=es_419
Hay que juntar los 4 archivos del cliente dpadua en uno solo y llamarlo dpadua.ovpn
Mucho cuidado con los espacios al copiar certificados
Contenido del fichero dpadua.ovpn:

Código:
#contenido de dpadua.conf el mismo que para linux, sin añadir las tres lineas del final de windows
client
dev tun
proto udp
remote dominiodeldeco_ddns.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3

#contenido de ca.crt
<ca>
-----BEGIN CERTIFICATE-----
MIIEBzCCA3CgAwIBAgIJAPEFG31NY05/MA0GCSqGSIb3DQEBBQUAMIG0MQswCQYD
....
.....copiar todo el bloque
.....
QycsT+Rc0qSXf0o/Owu2gVRbNZwtmtPB10eo
-----END CERTIFICATE-----
</ca>

#contenido de dpadua.crt  -Solo la parte final, que es la clave
<cert>
-----BEGIN CERTIFICATE-----                                                                                                                                                            
MIIESDCCA7GgAwIBAgIBAjANBgkqhkiG9w0BAQUFADCBtDELMAkGA1UEBhMCRVMx                                                                                                                         
....
....copiar todo el bloque
....                                                                                                                      
rVLoW4FkSBOmXXGNQ5c9qeMef9I7TlMi33A9HOqsRsJVy1npBToSWGUWMnA=                                                                                                                            
-----END CERTIFICATE-----
</cert>

#contenido de dpadua.key
<key>
-----BEGIN PRIVATE KEY-----
MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBANPKoTBxu2CCoWbx
...
...copiar todo el bloque
...
eyr2xa3cSELONYA=
-----END PRIVATE KEY-----
</key>

Pasamos el archivo dpadua.ovpn al móvil
Abrimos openvpn connect
Tocamos en los 3 puntos, arriba derecha
Import profile from SD Card
Buscar el archivo dpadua.ovpn
Damos a conectar y listo

Una vez conectados, para entrar al deco por ftp, telnet o web usar la ip 10.8.0.1
Cerrar todos los puertos y dejar abierto solamente el 1194, o el que hayamos elegido
Hacer copia de seguridad de la carpeta /etc/openvpn del deco
Menú- Sistema-Red- Configuración OpenVpn- Autoinicio
Con esta configuración no he conseguido tener acceso al resto de equipos de la red en la que está el deco, sigo buscando solución...
Un saludo!

PD. Siento los errores, no era mi intención;)
 
Última edición:
  • Me gusta
Reactions: rusoalicia

dpadua

Usuario
Amigo OpenSPA
5 Mar 2017
85
15
0
55
He conseguido acceso al router a través de la vpn del deco cambiando el archivo /etc/sysctl.conf
Solo he cambiado esta parte:
Código:
# Uncomment the next line to enable packet forwarding for IPv4                           
net.ipv4.ip_forward=1
Lo que no he conseguido es tener acceso al exterior a través de la vpn con la misma ip que la red del deco, si alguien lo tiene agradecería alguna pista..:)
En red solo hay router y deco
He conseguido conectar con pc y con móvil, pero sin salir al exterior con ninguno de los dos.
Gracias y un saludo!
 

apriliars3

Usuario Destacado
Loco por OpenSPA
21 May 2016
497
28
0
44
A mi me interesa openvpn en el deco, pero es necesario repetir todo esto cada vez que actualizo la versión de openspa?


Enviado desde mi iPad utilizando Tapatalk Pro
 

Тайна го

Usuario Destacado
Loco por OpenSPA
5 Nov 2016
1.411
1.360
0
43
A mi me interesa openvpn en el deco, pero es necesario repetir todo esto cada vez que actualizo la versión de openspa?


Enviado desde mi iPad utilizando Tapatalk Pro

NO es necesario repetir el proceso (salvo la instalacion de openvpn, que no viene instalada por defecto).

Basta que tengas guardada en el pc la carpeta /etc/openvpn (que lleva los certificados servidor del receptor y el archivo de configuracion de openvpn), y tengas guardados los certificados del cliente.

Salvo que te expiren los certificados ( que en ese caso si deberas realizar nuevamente con easy la creacion de los mismos).

Pero lo dicho los certificados cliente y servidor basta que lo hagas una sola vez y los guardes al igual que el archivo de configuracion.
 

Тайна го

Usuario Destacado
Loco por OpenSPA
5 Nov 2016
1.411
1.360
0
43
Con esta configuración no he conseguido tener acceso al resto de equipos de la red en la que está el deco, sigo buscando solución...
Un saludo!

Si te he entendido bien tu cuando accedes a tu ip publica, accedes por openvpn al receptor a traves del puerto 1194.

Bien pues a las demas pues a las demas aparatos conectadas a tu red no podras acceder por openvpn tal cual, simplemente por que imagina:

receptor : ip red 192.168.1.34
otro aparato: ip red 192.168.1.50

Tu en el router cuando abres el puerto 1194 lo haces redirigido a 192.168.1.34, por lo tanto es a lo que accedes, al puerto 192.168.1.34 que como esta el servidor openvnp activo pues accedes al mismo.

Pero no accedes a 192.168.1.50 por que evidentemente en el router no esta redirijido el puerto a esa ip, ni en esa ip hay un aparato con servidor openvnp.

Para realizar lo que quieres, tendrias que intalar servicio openvpn en tu router en caso que fuera compatible. otra cosa es que una vez hallas accedido al receptor via telnet por ejemplo, mediante comandos accedas a otro aparato que eso si seria posible, en el caso que el otro aparato tenga activado conexiones telnet, ftp....
 
Última edición:

dpadua

Usuario
Amigo OpenSPA
5 Mar 2017
85
15
0
55
Sí que tengo acceso a otros aparatos, en este caso al router porque no hay otro
Accedo a la ip publica con openvpn, puerto 1194, ese puerto está redireccionado al deco, por ejemplo 192.168.30.3, ip del deco en la red interna
Entrando así tengo acceso al deco con 192.168.30.3 y con 10.7.0.1, que es la ip del servidor openvpn.
Además puedo entrar al router con el navegador web a través de la dirección 192.168.30.1
Lo que no he conseguido es navegar por intenet...
Un saludo!
 

Тайна го

Usuario Destacado
Loco por OpenSPA
5 Nov 2016
1.411
1.360
0
43
Sí que tengo acceso a otros aparatos, en este caso al router porque no hay otro
Accedo a la ip publica con openvpn, puerto 1194, ese puerto está redireccionado al deco, por ejemplo 192.168.30.3, ip del deco en la red interna
Entrando así tengo acceso al deco con 192.168.30.3 y con 10.7.0.1, que es la ip del servidor openvpn.
Además puedo entrar al router con el navegador web a través de la dirección 192.168.30.1
Lo que no he conseguido es navegar por intenet...
Un saludo!

Hay cosas diferentes, en caso que te este entendiendo bien:


  • Desde fuera de tu red:

Imaginemos que tu ip publica es 80.45.45.88

a) Si tu desde fuera de la red pones en un navegador web 80.45.45.88 en teoria estarias accediendo al router a traves del puerto (dependiendo el que tuviera asignado (80, 8080....).

b) En el caso que fuera 80.45.45.88:1194 seria al deco.

Es decir tu desde fuera de tu red puedes acceder a un aparato a traves de openvpn a traves del puerto 1194.

Pero puedes acceder a otros aparatos a traves de otros puertos, sin usar openvpn, que imagino que es lo que te ocurre al acceder al router.
 

dpadua

Usuario
Amigo OpenSPA
5 Mar 2017
85
15
0
55
Creo que no me he explicado bien
Ip pública 80.45.45.88
Red interna 192.168.30.x
Router 192.168.30.1
Deco 192.168.30.3
Red openvn 10.7.0.1
El unico puerto redireccionado en el router es 1194
NO puedo entrar al router con ip publica:80 (navegador web) porque está restringido
Desde fuera accedo a ip publica:1194 con un cliente openvpn
Un vez dentro (conectado), tengo una ip 10.7.0.6
Teniendo esa ip tengo acceso a 10.7.0.1, es el deco
Pero tambien tengo acceso a 192.168.30.3, que también es el deco, y tengo acceso a 192.168.30.1 que es el router
Un saludo!
 

p.daniel

Usuario
Amigo OpenSPA
25 Sep 2016
19
2
0
62
Gracias por el manual si utilizo otro deco con enigma donde coloco el archivo client
gracias
 

Dealex

Usuario
Amigo OpenSPA
17 Abr 2018
95
39
0
39
Eso si me interesaria saber a mi... En caso de montar otro deco en el lugar donde veraneo... Como accederia al openvpn del deco de mi casa?? Que creo que es lo mismo que pregunta el compañero...