Muestra las diferencias entre dos versiones de la página.
Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
servidores:general:openvpn_serverandclients [2013/06/12 22:10] fmolinuevo [Creación del certificado y la clave Certificate Authority (CA)] |
servidores:general:openvpn_serverandclients [2014/08/20 13:56] (actual) fmolinuevo [Configuración de Shorewall para el caso que el servidor OpenVPN esté en el propio firewall] |
||
---|---|---|---|
Línea 31: | Línea 31: | ||
En Lenny, Easy-RSA viene en las versiones 1.0 y 2.0. Se usará 2.0 en este tutorial. | En Lenny, Easy-RSA viene en las versiones 1.0 y 2.0. Se usará 2.0 en este tutorial. | ||
- | **Recordar editar las variables del archivo "vars"** con los valores correctos para el servidor en cuestión. Adicionalmente, para generar un CA con contraseña, tipear el parámetro "--pass" para el script build-ca | + | **Recordar editar las variables del archivo "vars"** con los valores correctos para el servidor en cuestión. Adicionalmente, si se desea generar un CA con contraseña, tipear el parámetro "--pass" para el script build-ca |
cd /etc/openvpn/easy-rsa/ | cd /etc/openvpn/easy-rsa/ | ||
Línea 60: | Línea 60: | ||
./build-key-pass client3 | ./build-key-pass client3 | ||
- | En cada cliente, se deben copiar en el directorio config/ los siguientes archivos: ca.crt (el CA parte pública del servidor), client1.crt, client1.key y client1.csr. | + | En cada cliente, se deben copiar en el directorio config/ los siguientes archivos: **ca.crt** (el CA parte pública del servidor), **client1.crt**, **client1.key** y **client1.csr**. |
Si se usan varios servidores OpenVPN distintos, se puede cambiar los nombres de cada uno, para diferenciarlos, reflejando dichos cambios en los archivos de configuración del cliente; estos archivos de configuración del cliente también pueden ser varios. El cliente OpenVPN GUI luego mostrará un menú con los distintos servidores para los cuales está configurado, permitiendo establecer uno o más túneles simultáneamente o no. | Si se usan varios servidores OpenVPN distintos, se puede cambiar los nombres de cada uno, para diferenciarlos, reflejando dichos cambios en los archivos de configuración del cliente; estos archivos de configuración del cliente también pueden ser varios. El cliente OpenVPN GUI luego mostrará un menú con los distintos servidores para los cuales está configurado, permitiendo establecer uno o más túneles simultáneamente o no. | ||
Línea 137: | Línea 137: | ||
Estos comandos "push" le inyectan al cliente la configuración de la ruta, el DNS, el WINS y el dominio, y deben ser los correspondientes a la red que el servidor OpenVPN está sirviendo. | Estos comandos "push" le inyectan al cliente la configuración de la ruta, el DNS, el WINS y el dominio, y deben ser los correspondientes a la red que el servidor OpenVPN está sirviendo. | ||
- | ===== Cambios en el archivo openssl.cnf ===== | + | ===== Cambios en el archivo easy-rsa/openssl.cnf ===== |
Si no se usa PKCS, la siguiente sección debe estar comentada: | Si no se usa PKCS, la siguiente sección debe estar comentada: | ||
Línea 165: | Línea 165: | ||
==== Configuración de Shorewall para el caso que el servidor OpenVPN esté en el propio firewall ==== | ==== Configuración de Shorewall para el caso que el servidor OpenVPN esté en el propio firewall ==== | ||
- | |||
- | //Nota//: revisar esta configuración, ya que no ha sido probada. | ||
- | |||
- | En /etc/shorewall/hosts: | ||
- | |||
- | vpn ppp0:192.168.1.0/24 | ||
En /etc/shorewall/interfaces: | En /etc/shorewall/interfaces: | ||
- | vpn tun0 detect routeback | + | vpn tun+ |
- | + | ||
- | En /etc/shorewall/masq (la subnet "!192.168.2.0/24" es la que está en el gateway remoto, es probable que esta línea no se necesite en todas las configuraciones): | + | |
- | + | ||
- | ppp0:!192.168.2.0/24 192.168.1.0/24 | + | |
En /etc/shorewall/policy: | En /etc/shorewall/policy: | ||
vpn loc ACCEPT | vpn loc ACCEPT | ||
+ | loc vpn ACCEPT | ||
+ | vpn $FW ACCEPT | ||
+ | $FW vpn ACCEPT | ||
En /etc/shorewall/tunnels (aaa.bbb.ccc.ddd es la IP externa del servidor OpenVPN): | En /etc/shorewall/tunnels (aaa.bbb.ccc.ddd es la IP externa del servidor OpenVPN): | ||
- | openvpnserver:1194 net aaa.bbb.ccc.ddd | + | openvpn:1194 net 0.0.0.0/0 |
En /etc/shorewall/zones: | En /etc/shorewall/zones: |