User Tools

Site Tools


informatica:linux:openvpn

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
informatica:linux:openvpn [2018/01/05 10:05] – [Migracion a openvpn >=2.3] javiinformatica:linux:openvpn [2018/01/05 14:20] (current) – [Autenticación LDAP] javi
Line 188: Line 188:
  
 Para cada nuevo cliente se tiene que repetir este proceso completo. Para cada nuevo cliente se tiene que repetir este proceso completo.
- 
  
 1. Convertirse en root y entrar en el directorio: 1. Convertirse en root y entrar en el directorio:
  
   sudo su   sudo su
-  cd /usr/share/doc/openvpn/examples/easy-rsa/2.0 
- 
-Openvpn >=2.3: 
- 
   cd /usr/share/easy-rsa   cd /usr/share/easy-rsa
  
Line 206: Line 201:
  
   ./build-key client1   ./build-key client1
 +
 +Contestar las preguntas, presionar "enter" para aceptar los valores propuestos:
 +
 +<code>
 +Country Name (2 letter code) [US]:ES
 +State or Province Name (full name) [BC]:
 +Locality Name (eg, city) [Barcelona]:
 +Organization Name (eg, company) [Contrabanda FM]:
 +Organizational Unit Name (eg, section) [Tècnica]:
 +Common Name (eg, your name or your server's hostname) [client1]:
 +Name [EasyRSA]:
 +Email Address [admin@example.com]:
 +</code>
 +
 +Las contraseñas las dejo en blanco:
 +
 +  A challenge password []:
 +  An optional company name []:
 +
 +Y aquí hay que pulsar “y” más “enter”:
 +
 +  Sign the certificate? [y/n]:
 +  1 out of 1 certificate requests certified, commit? [y/n]
 +
  
 4. Mover las llaves y copiar la clave publica de la CA a un directorio: 4. Mover las llaves y copiar la clave publica de la CA a un directorio:
  
   mkdir -p ~/openvpn/client1   mkdir -p ~/openvpn/client1
-  user="client1"cp keys/ca.crt ~/openvpn/$usercp keys/ta.key ~/openvpn/$user; mv keys/$user.crt keys/$user.key ~/openvpn/$user +  user="client1" && cp keys/ca.crt ~/openvpn/$user/ && cp keys/$user.crt keys/$user.key ~/openvpn/$user/
-  rm -fr keys/client1.csr+
  
 5. Crear el archivo de configuracion del cliente (hay un ejemplo en /usr/share/doc/openvpn/examples/sample-config-files 5. Crear el archivo de configuracion del cliente (hay un ejemplo en /usr/share/doc/openvpn/examples/sample-config-files
 ): ):
  
-  vim ~/openvpn/client1/client1.conf+  user="client1" && vim ~/openvpn/$user/$user.conf
      
 Con el siguiente contenido: Con el siguiente contenido:
Line 372: Line 390:
  
   sudo service openvpn start   sudo service openvpn start
 +  
 +==== Migracion a openvpn >=2.3 ====
 +
 +**IMPORTANTE**: realizar los siguientes pasos **UNA** sola vez, en caso de migrar a openvpn >=2.3
 +
 +0. Instalar paquete, ahora ya NO es parte de openvpn
 +
 +  sudo aptitude install easy-rsa
 +
 +1. **IMPORTANTE**: mover certificados de la CA, lista de revocados, etc... a nueva ubicacion:
 +
 +  cd /usr/share/easy-rs
 +  mv keys keys.old
 +  sudo mv /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/ /usr/share/easy-rsa
 +
 ====== Acceso desde el cliente a la LAN del servidor VPN (gateway de la LAN y servidor VPN son distintos) ====== ====== Acceso desde el cliente a la LAN del servidor VPN (gateway de la LAN y servidor VPN son distintos) ======
  
Line 956: Line 989:
   </Authorization>   </Authorization>
  
 +
 +====== IPs estáticas ======
 +
 +http://dnaeon.github.io/static-ip-addresses-in-openvpn/
 +
 +1. Una sola vez
 +
 +1.1. Crear directorios y archivos:
 +
 +  sudo mkdir /etc/openvpn/ccd
 +  sudo touch /etc/openvpn/ipp.txt
 +  
 +1.2. Editar arhcivo de configuración del servidor VPN:
 +
 +  sudo vim /etc/openvpn/server.conf
 +  
 +Y añadir las lineas:
 +
 +  client-config-dir /etc/openvpn/ccd
 +  ifconfig-pool-persist /etc/openvpn/ipp.txt
 +
 +1.3. Reiniciar el servicio:
 +
 +  sudo service openvpn restart
 +  
 +2. Para cada cliente
 +
 +2.1. Crear un archivo con el nombre del certificado que se ha creado:
 +
 +  sudo vim /etc/openvpn/ccd/client1
 +
 +Y especificar tanto la IP como la IP del servidor VPN:
 +
 +  ifconfig-push 172.16.0.50 172.16.0.1
 +
 +2.2. Reservar esa IP para ese certificado, para no asignársela a otro cliente:
 +
 +  client1,172.16.0.50
 +
 +2.3. (Cliente) Reiniciar el servicio VPN:
 +
 +  sudo service openvpn restart
 +  
 +2.4. (Cliente) Comprobar que la IP es la especificada en los pasos 2.1. y 2.2:
 +
 +  sudo ifconfig
 +
 +  
 +  
 +  
informatica/linux/openvpn.txt · Last modified: 2018/01/05 14:20 by javi