Mario Navarro Alvaro Cardador

Configuracin OPEN VPN

Servidor - Preparacin
Primero crearemos la entidad certificadora y generaremos los ficheros de clave, el fichero
Diffie Hellman y el certificado para el cliente.

Copiamos los ejemplos de easy-rsa

mkdir /etc/openvpn/easy-rsa/
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/*
/etc/openvpn/easy-rsa/

En el fichero /etc/openvpn/easy-rsa/vars configuramos las variables para cargarlas

luego y no tener que escribirlas.
export KEY_COUNTRY="ES"
export KEY_PROVINCE="CO"
export KEY_CITY="Crdoba"
export KEY_ORG="asir"
export KEY_EMAIL="i12capea@gmail.com"

Con estos commandos creamos la CA

cd /etc/openvpn/easy-rsa/
source vars
./clean-all
./build-ca

Creamos el certificado y la clave privada para el servidor

./build-key-server cardadoropenvpn

Creamos el fichero Diffie Hellman

./build-dh

Movemos las claves generadas a /etc/openvpn por comodidad.

cd keys/
cp cardadoropenvpn.crt cardadoropenvpn.key ca.crt dh1024.pem
/etc/openvpn/

Generamos el certificado para el cliente

cd /etc/openvpn/easy-rsa/
source vars
./build-key client1

Y al cliente tendremos que pasarle los siguientes archivos

1.

/etc/openvpn/ca.crt

2.

/etc/openvpn/easy-rsa/keys/client1.crt

3.

/etc/openvpn/easy-rsa/keys/client1.key

Servidor -Configuracin
En /usr/share/doc/openvpn/examples/sample-config-files/ hay ficheros ejemplo de
configuracin para el servidor.
sudo cp /usr/share/doc/openvpn/examples/sample-configfiles/server.conf.gz /etc/openvpn/
sudo gzip -d /etc/openvpn/server.conf.gz

Dentro de server.conf editaremos algunas cosas para tener nuestro servidor openvpn en modo
bridge. Le aadimos el fichero .crt .key y .pem que hemos generado antes.

Le especificamos que va a actuar en modo bridge y que ejecute el script up.sh para levantar las
interfaces de red.

Contenido script up.sh

#!/bin/sh

BR=$1
ETHDEV=$2
TAPDEV=$3

/sbin/ip link set "$TAPDEV" up

/sbin/ip link set "$ETHDEV" promisc on
/sbin/brctl addif $BR $TAPDEV

Y le bajamos la seguridad para que pueda ejecutar el script. El script deber tener permisos
755

Cambiamos el interfaz de dev tun a dev tap.

Y nos asguramos de que est en modo UDP

Configuracin de red del servidor /etc/network/interfaces

Creamos una interfaz br0 que ser el bridge para la red interna y ponemos eth1 en modo
promscuo.

Reiniciamos el servicio de red y luego openvpn

Parte cliente.
Realizamos una copia del archivo /usr/share/doc/openvpn/examples/sample-config
files/client.conf a /etc/openvpn/ para poder realizar la configuracin. Tambien
debemos copiar los certificados de la mquina servidora a la mquina cliente. Tras
esto, editamos el archivo /etc/openvpn/client.conf.
Aqu indicamos que es cliente

Aqu la direccin IP del servidor

Aqu indicamos cuales son los ficheros de los certificados

Tras esto reiniciamos el servicio y comprobamos que se crea la interfaz del tnel.

Y probamos que hace ping.

Ahora debemos, descomentar la lnea dev tap y comentar dev tun, ya que vamos a
realizar la configuracin mediante adaptador puente.

Tras esto, reiniciamos el servicio OpenVPN y vemos que nos asigna la interfaz tun0 y
comprobamos que tiene conexin al servidor.

Tambien vemos, que sale por la interfaz tap0