Por si a alguien le sirve y le evita algunas búsquedas ...
Para instalar un servidor opnvpn en un deco
Yo lo he hecho usando la imagen openspa
Deco en el que queremos instalar el servido está fuera de nuestra red
Puerto 22 abierto y con ddns actualizado en deco.
Una vez tenemos abierta la conexión ssh
Crear claves para servidor y clientes
Editar vars
Modificar las últimas líneas del archivo:
Salir del editor vi con escape y luego :wq
Clave para autoridad de certificación
Nos hace unas preguntas, no contestar y darle a enter
Parámetros Diffie Hellman, pinta la pantalla con puntos y símbolos, tarda un poquito...
.
Certificados para el servidor
./build-key-server nombre_servidor
Sustituir nombre_servidor por lo que se quiera, servidor, deco, zgemma, server
Hace las mismas preguntas de antes, no contestar y darle al enter
Hace dos preguntas con opciones [y/n]
Contestar las dos con y
Certificados para cliente/s
./build-key nombre_cliente
Sustituir nombre_cliente por lo que se quiera, user1, usuario100, pedrito ...
Hace las mismas preguntas de antes, no contestar y darle al enter
Hace dos preguntas con opciones [y/n]
Contestar las dos con y
Fin de creación de claves
Todas las claves han sido guardadas en /usr/share/easy-rsa/keys/
Creación de directorios:
Ir al directorio etc
Crear directorio openvpn
Situarse en openvpn
Crear directorios independientes para cada usuario (opcional, pero aconsejable)
Tantos como usuarios hayamos creado
Mover/Copiar las claves creadas a sus directorios correspondientes:
Ir al directorio keys donde se encuentran las claves
Claves para el servidor
Total 4 archivos para el servidor, dh1024.pem, ca.crt, zgemma.crt, zgemma.key
Mover/Copiar las claves creadas a sus directorios correspondientes:
Ir al directorio keys donde se encuentran las claves
Claves para el cliente
Total 3 archivos por cliente, ca.crt, dpadua.crt, dpadua.key
Configurar servidor:
Ir al directorio openvpn
Dentro del servidor crear el archivo zgemma.conf
Pulsar A para modo edición
Poner lo siguiente (copiar y pegar):
Cambiar el 1194 por otro puerto si se desea, si se cambia aquí hay que cambiarlo en el cliente (más adelante)
En 192.168.1.0 poner la ip del deco, terminada en 0
ca ca.crt
cert zgemma.crt
key zgemma.key
dh dh1024.pem
Esas 4 líneas son para indicar donde están las claves del servidor ...
Activar el servidor
Si todo bien responde esto
Configuración de servidor ya está terminada
Ahora debemos sacar los archivos del cliente dpadua
Yo lo he hecho abriéndolos con el editor vi y con seleccionar, copiar y pegar, algo costoso, pero se puede hacer.
Es mejor por ftp, pero lo vamos a hacer todo por telnet (ssh)
Debemos tener ca.crt, dpadua.crt, dpadua.key que estaban en /etc/openvpn/dpadua
Una vez los tengamos en nuestro sitio cliente, debemos crear el archivo dpadua.conf
Y poner los siguientes datos:
La línea remote es la ip del servidor, ddns, no-ip, freedns, ...seguida del puerto que pusimos en la configuración del servidor
Borrado de archivos en servidor
Carpeta de claves de cliente
Todas las claves generadas en el directorio keys
Configurar cliente en linux manjaro:
Configurar cliente en windows 10:
Descargar e instalar openvpn
https://openvpn.net/index.php/open-source/downloads.html
Renombrar dpadua.conf a dpadua.ovpn
Editar y añadir la tres ultimas lineas ...
Import file
Localizar dpadua.conf
Dará error al conectar, se crea carpeta en
C:\Users\Ususario\OpenVPN\config\dpadua
Copiar en esa carpeta los 4 archivos ca.crt, dpadua.crt, dpadua.key, dpadua.ovpn
Configurar cliente en móvil android:
Descargar openvpn connect de Play Store
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=es_419
Hay que juntar los 4 archivos del cliente dpadua en uno solo y llamarlo dpadua.ovpn
Mucho cuidado con los espacios al copiar certificados
Contenido del fichero dpadua.ovpn:
Pasamos el archivo dpadua.ovpn al móvil
Abrimos openvpn connect
Tocamos en los 3 puntos, arriba derecha
Import profile from SD Card
Buscar el archivo dpadua.ovpn
Damos a conectar y listo
Una vez conectados, para entrar al deco por ftp, telnet o web usar la ip 10.8.0.1
Cerrar todos los puertos y dejar abierto solamente el 1194, o el que hayamos elegido
Hacer copia de seguridad de la carpeta /etc/openvpn del deco
Menú- Sistema-Red- Configuración OpenVpn- Autoinicio
Con esta configuración no he conseguido tener acceso al resto de equipos de la red en la que está el deco, sigo buscando solución...
Un saludo!
PD. Siento los errores, no era mi intención
Para instalar un servidor opnvpn en un deco
Yo lo he hecho usando la imagen openspa
Deco en el que queremos instalar el servido está fuera de nuestra red
Puerto 22 abierto y con ddns actualizado en deco.
Una vez tenemos abierta la conexión ssh
Código:
ipkg update
ipkg install openvpn
ipkg install esay-rsa
Crear claves para servidor y clientes
Código:
cd /usr/share/easy-rsa
Código:
vi vars
Modificar las últimas líneas del archivo:
Código:
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="ES"
export KEY_PROVINCE="ZA"
export KEY_CITY="ZAMORA"
export KEY_ORG="Grupo_abanicos_paipai"
export KEY_EMAIL="[email protected]"
export [email protected]
export KEY_CN=pues_mi_key_cn
export KEY_NAME=pues_eso_name
export KEY_OU=alguna_ocurrencia
export PKCS11_MODULE_PATH=industria_metal
export PKCS11_PIN=1234
Código:
source ./vars
./clean-all
Clave para autoridad de certificación
Código:
./buid-ca
Parámetros Diffie Hellman, pinta la pantalla con puntos y símbolos, tarda un poquito...
.
Código:
/build-dh
Certificados para el servidor
./build-key-server nombre_servidor
Sustituir nombre_servidor por lo que se quiera, servidor, deco, zgemma, server
Código:
./build-key-server zgemma
Hace dos preguntas con opciones [y/n]
Contestar las dos con y
Certificados para cliente/s
./build-key nombre_cliente
Sustituir nombre_cliente por lo que se quiera, user1, usuario100, pedrito ...
Código:
./build-key dpadua
Hace dos preguntas con opciones [y/n]
Contestar las dos con y
Fin de creación de claves
Todas las claves han sido guardadas en /usr/share/easy-rsa/keys/
Creación de directorios:
Ir al directorio etc
Código:
cd /etc
Código:
mkdir openvpn
Código:
cd openvpn
Código:
mkdir dpadua
Mover/Copiar las claves creadas a sus directorios correspondientes:
Ir al directorio keys donde se encuentran las claves
Código:
cd /usr/share/easy-rsa/keys
Código:
cp dh1024.pem /etc/openvpn/
cp ca.crt /etc/openvpn/
cp zgemma.crt /etc/openvpn/
cp zgemma.key /etc/openvpn/
Mover/Copiar las claves creadas a sus directorios correspondientes:
Ir al directorio keys donde se encuentran las claves
Código:
cd /usr/share/easy-rsa/keys
Código:
cp ca.crt /etc/openvpn/dpadua/
cp dpadua.crt /etc/openvpn/dpadua/
cp dpadua.key /etc/openvpn/dpadua/
Configurar servidor:
Ir al directorio openvpn
Código:
cd /etc/openvpn
Código:
vi zgemma.conf
Poner lo siguiente (copiar y pegar):
Código:
port 1194
proto udp
dev tun
ca ca.crt
cert zgemma.crt
key zgemma.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 120
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
Cambiar el 1194 por otro puerto si se desea, si se cambia aquí hay que cambiarlo en el cliente (más adelante)
En 192.168.1.0 poner la ip del deco, terminada en 0
ca ca.crt
cert zgemma.crt
key zgemma.key
dh dh1024.pem
Esas 4 líneas son para indicar donde están las claves del servidor ...
Activar el servidor
Código:
cd /etc/init.d
./openvpn start
Código:
Starting openvpn: zgemma
Configuración de servidor ya está terminada
Ahora debemos sacar los archivos del cliente dpadua
Yo lo he hecho abriéndolos con el editor vi y con seleccionar, copiar y pegar, algo costoso, pero se puede hacer.
Es mejor por ftp, pero lo vamos a hacer todo por telnet (ssh)
Debemos tener ca.crt, dpadua.crt, dpadua.key que estaban en /etc/openvpn/dpadua
Una vez los tengamos en nuestro sitio cliente, debemos crear el archivo dpadua.conf
Y poner los siguientes datos:
Código:
client
dev tun
proto udp
remote dominiodeldeco_ddns.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
La línea remote es la ip del servidor, ddns, no-ip, freedns, ...seguida del puerto que pusimos en la configuración del servidor
Borrado de archivos en servidor
Carpeta de claves de cliente
Código:
cd /etc/openvpn
rm -r dpadua
Código:
cd /usr/share/easy-rsa/keys
rm *.*
Configurar cliente en linux manjaro:
Configurar cliente en windows 10:
Descargar e instalar openvpn
https://openvpn.net/index.php/open-source/downloads.html
Renombrar dpadua.conf a dpadua.ovpn
Editar y añadir la tres ultimas lineas ...
Código:
client
dev tun
proto udp
remote dominiodeldeco_ddns.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
ca ca.crt
cert dpadua.crt
key dpadua.key
Import file
Localizar dpadua.conf
Dará error al conectar, se crea carpeta en
C:\Users\Ususario\OpenVPN\config\dpadua
Copiar en esa carpeta los 4 archivos ca.crt, dpadua.crt, dpadua.key, dpadua.ovpn
Configurar cliente en móvil android:
Descargar openvpn connect de Play Store
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=es_419
Hay que juntar los 4 archivos del cliente dpadua en uno solo y llamarlo dpadua.ovpn
Mucho cuidado con los espacios al copiar certificados
Contenido del fichero dpadua.ovpn:
Código:
#contenido de dpadua.conf el mismo que para linux, sin añadir las tres lineas del final de windows
client
dev tun
proto udp
remote dominiodeldeco_ddns.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
#contenido de ca.crt
<ca>
-----BEGIN CERTIFICATE-----
MIIEBzCCA3CgAwIBAgIJAPEFG31NY05/MA0GCSqGSIb3DQEBBQUAMIG0MQswCQYD
....
.....copiar todo el bloque
.....
QycsT+Rc0qSXf0o/Owu2gVRbNZwtmtPB10eo
-----END CERTIFICATE-----
</ca>
#contenido de dpadua.crt -Solo la parte final, que es la clave
<cert>
-----BEGIN CERTIFICATE-----
MIIESDCCA7GgAwIBAgIBAjANBgkqhkiG9w0BAQUFADCBtDELMAkGA1UEBhMCRVMx
....
....copiar todo el bloque
....
rVLoW4FkSBOmXXGNQ5c9qeMef9I7TlMi33A9HOqsRsJVy1npBToSWGUWMnA=
-----END CERTIFICATE-----
</cert>
#contenido de dpadua.key
<key>
-----BEGIN PRIVATE KEY-----
MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBANPKoTBxu2CCoWbx
...
...copiar todo el bloque
...
eyr2xa3cSELONYA=
-----END PRIVATE KEY-----
</key>
Pasamos el archivo dpadua.ovpn al móvil
Abrimos openvpn connect
Tocamos en los 3 puntos, arriba derecha
Import profile from SD Card
Buscar el archivo dpadua.ovpn
Damos a conectar y listo
Una vez conectados, para entrar al deco por ftp, telnet o web usar la ip 10.8.0.1
Cerrar todos los puertos y dejar abierto solamente el 1194, o el que hayamos elegido
Hacer copia de seguridad de la carpeta /etc/openvpn del deco
Menú- Sistema-Red- Configuración OpenVpn- Autoinicio
Con esta configuración no he conseguido tener acceso al resto de equipos de la red en la que está el deco, sigo buscando solución...
Un saludo!
PD. Siento los errores, no era mi intención
Última edición: