Herramientas de usuario
servidores:general:openvpn_serverandclients
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
|
servidores:general:openvpn_serverandclients [2009/10/31 21:21] fmolinuevo |
servidores:general:openvpn_serverandclients [2014/08/20 13:56] (actual) fmolinuevo [Configuración de Shorewall para el caso que el servidor OpenVPN esté en el propio firewall] |
||
|---|---|---|---|
| Línea 9: | Línea 9: | ||
| Se hará uso de **easy-rsa**. Esto es una colección de scripts que facilitan el manejo de certificados, tanto del servidor como de los clientes. Dicho directorio easy-rsa/ deberá ser copiado de la ubicación original instalada por el paquete OpenVPN al directorio de configuración en /etc/openvpn. | Se hará uso de **easy-rsa**. Esto es una colección de scripts que facilitan el manejo de certificados, tanto del servidor como de los clientes. Dicho directorio easy-rsa/ deberá ser copiado de la ubicación original instalada por el paquete OpenVPN al directorio de configuración en /etc/openvpn. | ||
| + | |||
| + | cp -iva /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa | ||
| Tal como se menciona en la documentación y por las razones allí indicadas, se muestran aquí --y se recomienda usar-- direcciones IP de clase A para el túnel (10.8.0.0/24) y de clase B para la intranet (172.16.10.0/24). | Tal como se menciona en la documentación y por las razones allí indicadas, se muestran aquí --y se recomienda usar-- direcciones IP de clase A para el túnel (10.8.0.0/24) y de clase B para la intranet (172.16.10.0/24). | ||
| Línea 29: | Línea 31: | ||
| En Lenny, Easy-RSA viene en las versiones 1.0 y 2.0. Se usará 2.0 en este tutorial. | En Lenny, Easy-RSA viene en las versiones 1.0 y 2.0. Se usará 2.0 en este tutorial. | ||
| - | Recordar editar las variables del archivo "vars" con los valores correctos para el servidor en cuestión. Adicionalmente, para generar un CA con contraseña, tipear el parámetro "--pass" para el script build-ca | + | **Recordar editar las variables del archivo "vars"** con los valores correctos para el servidor en cuestión. Adicionalmente, si se desea generar un CA con contraseña, tipear el parámetro "--pass" para el script build-ca |
| cd /etc/openvpn/easy-rsa/ | cd /etc/openvpn/easy-rsa/ | ||
| Línea 58: | Línea 60: | ||
| ./build-key-pass client3 | ./build-key-pass client3 | ||
| - | En cada cliente, se deben copiar en el directorio config/ los siguientes archivos: ca.crt (el CA parte pública del servidor), client1.crt, client1.key y client1.csr. | + | En cada cliente, se deben copiar en el directorio config/ los siguientes archivos: **ca.crt** (el CA parte pública del servidor), **client1.crt**, **client1.key** y **client1.csr**. |
| Si se usan varios servidores OpenVPN distintos, se puede cambiar los nombres de cada uno, para diferenciarlos, reflejando dichos cambios en los archivos de configuración del cliente; estos archivos de configuración del cliente también pueden ser varios. El cliente OpenVPN GUI luego mostrará un menú con los distintos servidores para los cuales está configurado, permitiendo establecer uno o más túneles simultáneamente o no. | Si se usan varios servidores OpenVPN distintos, se puede cambiar los nombres de cada uno, para diferenciarlos, reflejando dichos cambios en los archivos de configuración del cliente; estos archivos de configuración del cliente también pueden ser varios. El cliente OpenVPN GUI luego mostrará un menú con los distintos servidores para los cuales está configurado, permitiendo establecer uno o más túneles simultáneamente o no. | ||
| Línea 135: | Línea 137: | ||
| Estos comandos "push" le inyectan al cliente la configuración de la ruta, el DNS, el WINS y el dominio, y deben ser los correspondientes a la red que el servidor OpenVPN está sirviendo. | Estos comandos "push" le inyectan al cliente la configuración de la ruta, el DNS, el WINS y el dominio, y deben ser los correspondientes a la red que el servidor OpenVPN está sirviendo. | ||
| - | ===== Cambios en el archivo openssl.cnf ===== | + | ===== Cambios en el archivo easy-rsa/openssl.cnf ===== |
| Si no se usa PKCS, la siguiente sección debe estar comentada: | Si no se usa PKCS, la siguiente sección debe estar comentada: | ||
| Línea 163: | Línea 165: | ||
| ==== Configuración de Shorewall para el caso que el servidor OpenVPN esté en el propio firewall ==== | ==== Configuración de Shorewall para el caso que el servidor OpenVPN esté en el propio firewall ==== | ||
| - | |||
| - | //Nota//: revisar esta configuración, ya que no ha sido probada. | ||
| - | |||
| - | En /etc/shorewall/hosts: | ||
| - | |||
| - | vpn ppp0:192.168.1.0/24 | ||
| En /etc/shorewall/interfaces: | En /etc/shorewall/interfaces: | ||
| - | vpn tun0 detect routeback | + | vpn tun+ |
| - | + | ||
| - | En /etc/shorewall/masq (la subnet "!192.168.2.0/24" es la que está en el gateway remoto, es probable que esta línea no se necesite en todas las configuraciones): | + | |
| - | + | ||
| - | ppp0:!192.168.2.0/24 192.168.1.0/24 | + | |
| En /etc/shorewall/policy: | En /etc/shorewall/policy: | ||
| vpn loc ACCEPT | vpn loc ACCEPT | ||
| + | loc vpn ACCEPT | ||
| + | vpn $FW ACCEPT | ||
| + | $FW vpn ACCEPT | ||
| En /etc/shorewall/tunnels (aaa.bbb.ccc.ddd es la IP externa del servidor OpenVPN): | En /etc/shorewall/tunnels (aaa.bbb.ccc.ddd es la IP externa del servidor OpenVPN): | ||
| - | openvpnserver:1194 net aaa.bbb.ccc.ddd | + | openvpn:1194 net 0.0.0.0/0 |
| En /etc/shorewall/zones: | En /etc/shorewall/zones: | ||
servidores/general/openvpn_serverandclients.1257031285.txt.gz · Última modificación: 2013/06/12 21:57 (editor externo)
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International
