Universidad Central del Ecuador

Facultad de Ingeniería, Ciencias Físicas y Matemática

Carrera de Ingeniería Informática
Laboratorio de Protocolos de comunicación 2do hemisemestre
Docente: Ing. Eduardo Suárez
Integrantes: Alejandra Mata, Oliver Sánchez

DNS

Servidor principal (masterdns)

1. Cambiamos el nombre de nuestro host
[root@masterdns ~]# hostnamectl set-hostname
masterdns.informatica.local
2. Instalamos los paquetes de bind
[root@masterdns ~]# yum install bind.x86_64 bind-utils.x86_64 -y
3. Editar el archivo de configuración named.conf
[root@masterdns ~]# vi /etc/named.conf
4. Agregar las partes que se encuentran en azul
Creamos los archivos de configuración de las zonas
5. Creamos el archivo para la forward zone
[root@masterdns ~]# vi /var/named/forward.informatica
6. Agregamos las siguientes líneas
 7. Creamos el archivo para la reverse zone
[root@masterdns ~]# vi /var/named/reverse.informatica
8. Agregamos las siguientes líneas

9. Verificamos si esta bien la configuración

[root@masterdns ~]# named-checkconf /etc/named.conf
[root@masterdns ~]# named-checkzone informatica.local
/var/named/forward.informatica

[root@masterdns ~]# named-checkzone informatica.local

/var/named/reverse.informatica

10. Iniciamos el servicio DNS

[root@masterdns ~]# systemctl enable named

[root@masterdns ~]# systemctl start named

11. Añadimos la regla en firewall permitiendo el servicio
a través del puerto 53 TCP/UDP
[root@masterdns ~]# firewall-cmd --permanent --add-port=53/tcp

[root@masterdns ~]# firewall-cmd --permanent --add-port=53/udp

12. Reiniciamos el firewall

[root@masterdns ~]# firewall-cmd –reload

13. Asignamos la IP estática a la NIC

14. Agregamos el servidor DNS de la red al archivo de

configuración de la NIC
[root@masterdns ~]# vi /etc/sysconfig/network-scripts/ifcfg-
enp0s3
 15. Reiniciamos los servicios de red y conectamos
nuevamente el adaptador
[root@masterdns ~]# systemctl restart network
[root@masterdns ~]# ifup enp0s3

16. Verificamos que el servidor está declarado en el

archivo resolv.conf
[root@masterdns ~]# cat /etc/resolv.conf

17. Configuración de permisos, la propiedad y SElinux

[root@masterdns ~]# chgrp named -R /var/named
[root@masterdns ~]# chown -v root:named /etc/named.conf

[root@masterdns ~]# restorecon -rv /var/named

[root@masterdns ~]# restorecon /etc/named.conf
18. Probar el servidor DNS
[root@masterdns ~]# nslookup informatica.local
Servidor Secundario (Slave)
Escenario:

-SERVIDOR (Slave)
IP = 192.168.10.2/24
Hostname = secundarydns.informatica.local

1. Instalamos los paquetes de bind en el servidor:

[root@localhost ~]# yum install bind.x86_64 bind-utils.x86_64 -y

2. Editar el archivo de configuración named.conf y agregamos o

modificamos las partes de amarillo.
[root@localhost ~]# vi /etc/named.conf

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8)
DNS
// server as a caching only nameserver (as a localhost DNS resolver
only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration
files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about
the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
listen-on port 53 { 127.0.0.1; 192.168.10.2; };
# listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; 192.168.10.0/24; };

/*
- If you are building an AUTHORITATIVE DNS server, do NOT
enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you
need to enable
recursion.
- If your recursive DNS server has a public IP address, you
MUST enable access
control to limit queries to your legitimate users. Failing to
do so will
cause your server to become part of large scale DNS
amplification
 attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
recursion yes;

dnssec-enable yes;
dnssec-validation yes;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";

zone "." IN {
type hint;
file "named.ca";
};

zone "informatica.local" IN {
type slave;
file "slaves/informatica.fwd";
masters { 192.168.10.1; };
};

zone "10.168.192.in-addr.arpa" IN {
type slave;
file "slaves/informatica.rev";
masters { 192.168.10.1; };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

3. Verificamos si está bien la configuración

[root@localhost ~]# named-checkconf /etc/named.conf

4. Iniciamos el servicio DNS

[root@localhost ~]# systemctl enable named

Createdsymlinkfrom/etc/systemd/system/multiuser.target.wants/nam
ed.service to /usr/lib/systemd/system/named.service.

[root@localhost ~]#systemctl start named

5. Verificamos que los archivos de configuración de las zonas

se están replicando de servidor DNS Master.

[root@localhost ~]#ls /var/named/slaves/

informatica.fwd informatica.rev

6. Agregamos el servidor DNS de la red al archivo de

configuración de la NIC para VMware

[root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-ens33

YPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
 IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=5c0bd73b-4f4f-4b21-990c-0d46c25f7771
DEVICE=ens33
ONBOOT=no
IPADDR=192.168.10.2
PREFIX=24
DNS1=192.168.10.1
DNS2=192.168.10.2

GATEWAY=192.168.10.1
ZONE=public

7. Reiniciamos los servicios de red y conectamos de nuevo el

adaptador.

[root@localhost ~]#systemctl restart network

[root@localhost ~]#ifup ens33

Connection successfully activated (D-Bus active path:

/org/freedesktop/NetworkManager/ActiveConnection/5)

8. Verificamos que el servidor está declarado en el archivo

resolv.conf

[root@localhost ~]# cat /etc/resolv.conf

# Generated by NetworkManager
nameserver 192.168.10.1
nameserver 192.168.10.2

9. Añadimos la regla en firewall permitiendo el servicio a

través del puerto 53 TCP/UDP

[root@localhost ~]#firewall-cmd --permanent --add-port=53/tcp

Success
[root@localhost ~]# firewall-cmd --permanent --add-port=53/udp
Success

10. Reiniciamos el firewall

[root@localhost ~]#firewall-cmd –reload

Success

11. Configuración de permisos, la propiedad y SELinux

[root@localhost ~]#chgrp named -R /var/named

[root@localhost ~]#chown -v root:named /etc/named.conf
chown -v root:named /etc/named.conf

[root@localhost ~]#restorecon -rv /var/named

[root@localhost ~]#restorecon /etc/named.conf

12. Probar el servidor DNS

[root@localhost ~]#nslookup informatica.local

Server: 192.168.10.1
 Address: 192.168.10.1#53

Name: informatica.local
Address: 192.168.10.2
Name: informatica.local
Address: 192.168.10.4
Name: informatica.local
Address: 192.168.10.3
Name: informatica.local
Address: 192.168.10.1

CLIENTE (client1)
Primeramente poner una IP estática a la maquina: 192.168.10.3
1. Agregamos los detalles de los servidores DNS en
resolv.conf
[root@client1 ~]# vi /etc/resolv.conf

2. Probamos los servidores DNS

[root@client1 ~]# dig masterdns.informatica.local

[root@client1 ~]# dig secondarydns.informatica.local

[root@client1 ~]# dig client1.informatica.local

[root@client1 ~]# nslookup informatica.local

MAIL (POP, IMAP, SMTP)

Escenario:

-SERVIDOR (Mail)
IP = 192.168.10.100/24
 Hostname = mail.informatica.local

1. Agregar el hostname en el archivo /etc/hosts

[root@localhost ~]# vi /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

:1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.100 mail.informatica.local mail

2. Deshabilitamos el SELinux para reducir la complejidad

en la configuración del postfix

[root@localhost ~]# vi /etc/sysconfig/selinux

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are pr$
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

3. Instalamos el servicio de telnet para cliente

[root@localhost ~]#yum install telnet.x86_64 -y

4. Agregamos el puerto por defecto de SMTP el 25, POP 110 e

IMAP 143 al Firewall

[root@localhost ~]#firewall-cmd --permanent --add-port=25/tcp

Success
[root@localhost ~]# firewall-cmd --permanent --add-port=110/tcp
Success
[root@localhost ~]# firewall-cmd --permanent --add-port=143/tcp
Success
[root@localhost ~]# firewall-cmd --reload
Success

Reiniciamos el servidor para que se apliquen los cambios

5. Instalamos Postfix

[root@localhost ~]#yum install postfix.x86_64

Si esque está instalado, eliminarlo y volverlo a instalar

6. Editamos las siguientes líneas del archivo de

configuración del postfix

[root@localhost ~]#nano /etc/postfix/main.cf

## Línea 76 – Des comentar y agregar hostname del servidor

myhostname = mail.informatica.local

## Línea 83 – Des comentar y agregar el domino

mydomain = informatica.local
 ## Linea 99 – Des comentar
myorigin = $mydomain

## Linea 113 – Des comentar

inet_interfaces = all

## Linea 116 – Comentar

#inet_interfaces = localhost

## Linea 119 – Des comentar

inet_protocols = all

## Linea 164 – Comentar

#mydestination = $myhostname, localhost.$mydomain, localhost

## Linea 165 – Des comentar

mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

## Linea 264 – Des comentar y agregar el rango de IPs

mynetworks = 192.168.10.0/24, 127.0.0.0/8

## Linea 419 – Des comentar

home_mailbox = Maildir/

7. Habilitamos y reiniciamos el servicio de postfix

[root@localhost ~]#systemctl enable postfix

[root@localhost ~]#systemctl restart postfix

8. Creamos un usuario para probar el servidor de correo y le

asignamos una contraseña

[root@localhost ~]#useradd mabel

[root@localhost ~]#passwd mabel

9. Enviamos un correo de prueba

[root@localhost ~]#echo Mensaje de prueba | mail -s "Prueba"

mabel@informatica.local

Usando telnet

[root@localhost ~]#telnet localhost smtp

Trying ::1...
Connected to localhost.
Escape character is '^]'.
220 mail.informatica.local ESMTP Postfix
ehlo localhost # Escribir esta linea
250-mail.informatica.local
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from:<mabel> # El usuario que envia el correo
250 2.1.0 Ok
rcpt to:<mabel> # El usuario que recibe el correo
250 2.1.5 Ok
data # Para entrar a escribir el cuerpo del correo
354 End data with <CR><LF>.<CR><LF>
Mensaje de prueba # El cuerpo del correo
 . # Para finalizer el correo
250 2.0.0 Ok: queued as E2B522032F93
quit # Para salir
221 2.0.0 Bye
Connection closed by foreign host.

10. Verificamos si el correo ha sido recibido

[root@localhost ~]#ls /home/user1/Maildir/new/

1469380254.Vfd00I315cb1M394920.mail.informatica.local

11. Para leer el correo escribimos

[root@localhost ~]#cat
/home/test/Maildir/new/1469380254.Vfd00I315cb1M394920.mail.informatica.l
ocal

Return-Path: <root@informatica.local>
X-Original-To: mabel@informatica.local
Delivered-To: mabel@informatica.local
Received: by mail.informatica.local (Postfix, from userid 0)
id 688F72420178; Sun, 24 Jul 2016 18:22:01 -0500 (ECT)
Date: Fri, 19 Jul 2019 18:22:01 -0500
To: mabel@informatica.local
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20160724232201.688F72420178@mail.informatica.local>
From: root@informatica.local (root)
Mensaje de prueba

Con esto finalizamos la configuración del postfix

12. Instalamos el repositorio de EPEL

[root@localhost ~]#yum install epel-release -y

13. Instalamos el programa dovecot.

[root@localhost ~]# yum install dovecot.x86_64 -y

Editamos el archivo de configuración de dovecot

/etc/dovecot/dovecot.conf
[root@localhost ~]# vi /etc/dovecot/dovecot.conf

## Línea 24 – Des comentar

protocols = imap pop3 lmtp

14. Editamos el archivo /etc/dovecot/conf.d/10-mail.conf

[root@localhost ~]# vi /etc/dovecot/conf.d/10-mail.conf

## Línea 24 – Des comentar

mail_location = maildir:~/Maildir

15. Editamos el archivo /etc/dovecot/conf.d/10-auth.conf

[root@localhost ~]#vi /etc/dovecot/conf.d/10-auth.conf

## Línea 10 – Des comentar

 disable_plaintext_auth = no

## Línea 100 – Agregar “login”

auth_mechanisms = plain login

16. Editamos el archivo

[root@localhost ~]#vi /etc/dovecot/conf.d/10-ssl.conf

## Línea 8 – Poner yes

ssl = yes

17. Editamos el archivo

[root@localhost ~]#vi /etc/dovecot/conf.d/10-master.conf

## Línea 91 y 92 – Des comentar y agregar postfix

unix_listener auth-userdb {
#mode = 0666
user = postfix
group = postfix
}

18. Habilitamos y reiniciamos el servicio de dovecot

[root@localhost ~]#systemctl enable dovecot

[root@localhost ~]#systemctl start dovecot

19. Probar dovecot

[root@localhost ~]#telnet localhost pop3

Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
+OK Dovecot ready.
user mabel ## Ingrese el usuario al que se envió el correo
+OK
pass Mabel ## La contraseña del usuario
+OK Logged in.
list ## Lista los mensaje que tiene el usuario
+OK 1 messages:
1 579
retr 1 ## Para ver el correo
+OK 579 octets
Return-Path: <root@informatica.local>
X-Original-To: test@informatica.local
Delivered-To: test@informatica.local
Received: by mail.informatica.local (Postfix, from userid 0)
id 51B8221E3FF8; Fri, 19 Jul 2019 13:51:43 -0500 (ECT)
Date: Fri, 19 Jul 2019 13:51:43 -0500
To: test@informatica.local
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20160724185143.51B8221E3FF8@mail.informatica.local>
From: root@informatica.local (root)
Mensaje de prueba
.
quit ## Para salir
+OK Logging out.
 Connection closed by foreign host.

20. Para finalizar verificamos que tenemos conexión

con el servidor DNS

[root@localhost ~]#ping -c4 192.168.10.1

CLIENTE 2
Escenario:
IP: 192.168.10.4
Hostname: client2.infomatica.local

CONFIGURACIÓN DEL CLIENTE AL MAIL

1. Configurar la máquina virtual en adaptador puente o red

interna con IP estática

2. Agregamos la dirección del servidor DNS en el archivo

/etc/resolv.conf

[root@localhost ~]#vi /etc/resolv.conf

search informática.local
nameserver 192.168.10.1

3. Verificamos que exista conexión con el servidor de

correo

[root@localhost ~]#ping -c4 192.168.10.100

PING 192.168.10.100 (192.168.10.100) 56(84) bytes of data.

64 bytes from 192.168.10.100: icmp_seq=1 ttl=64 time=0.347 ms
64 bytes from 192.168.10.100: icmp_seq=2 ttl=64 time=0.455 ms
64 bytes from 192.168.10.100: icmp_seq=3 ttl=64 time=0.761 ms
64 bytes from 192.168.10.100: icmp_seq=4 ttl=64 time=0.349 ms
 --- 192.168.10.100 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 0.347/0.478/0.761/0.169 ms

4. Verificamos que está funcionando el servidor DNS

[root@localhost ~]#nslookup 192.168.10.100

Server: 192.168.10.1
Address: 192.168.10.1#53
100.10.168.192.in-addr.arpa name = mail.informatica.local.

5. Como usuario normal iniciamos y configuramos el cliente de

correo Evolution
Ingresamos la contraseña del usuario que creamos
7. Creamos otro usuario en el servidor de correo
[root@localhost]# useradd oli
[root@localhost]# passwd oli

Seguimos los mismos pasos para acceder al correo del usuario Oli en
Evolution

8. Enviamos un correo al Oli desde la opción de Nuevo de

evolution

Enviamos el mensaje y comprobamos que al usuario Oli haya

recibido el correo.
 LDAP
Antes de iniciar se recomienda tener instalado SSH tanto en
servidor como en cliente
SERVIDOR LDAP
1. Instalamos las dependencias de openldap
[root@ldap ~]# yum install -y openldap openldap-clients
openldap-servers migrationtools
2. Asignamos una ipe estática a nuestro servidor:
192.168.10.40
3. Editamos el archivo hosts
[root@ldap ~]# vi /etc/hosts
añadimos la siguiente línea: 192.168.10.200
ldap.informatica.local ldap
4. Generamos la contraseña cifrada para el LDAP
[root@ldap ~]# slappasswd

5. Habilitamos los certificados por 365 dias

[root@ldap ~]# openssl req -new -x509 -nodes -out
/etc/openldap/certs/cert.pem \-keyout
/etc/openldap/certs/priv.pem -days 365.
Llenamos todos los datos para el certificado
6. Damos permisos a los certificados
[root@ldap ~]# cd /etc/openldap/certs
[root@ldap ~]# chown ldap:ldap *
[root@ldap ~]# chmod 600 priv.pem
7. Exportamos la base de datos de ejemplo
[root@ldap ~]# cp /usr/share/openldap-servers/DB_CONFIG.example
/var/lib/ldap/DB_CONFIG
[root@ldap ~]# slaptest
[root@ldap ~]# chown ldap:ldap /var/lib/ldap/*
8. Modificamos el archivo olcDataBase={2}hdb.ldif
[root@ldap ~]# cd /etc/openldap/slapd.d/
[root@ldap ~]# cd cn\=config/
[root@ldap ~]# vi olcDatabase\=\{2\}hdb.ldif
 9. Modificamos el archivo olcDatabase={1}monitor.ldif y
ejecutamos slaptest -u
[root@ldap cn=config]# vi olcDatabase\=\{1\}monitor.ldif

[root@ldap cn=config]# slaptest -u

10. Habilitamos el servicio slapd

[root@ldap cn=config]# systemctl start slapd
[root@ldap cn=config]# systemctl enable slapd
11. Nos dirigimos a la raíz
[root@ldap cn=config]# cd
12. Agregamos al ldap el archivo de configuración
cosine.ldif
[root@ldap cn=config]# ldapadd -Y EXTERNAL -H ldapi:// -f
/etc/openldap/schema/cosine.ldif
13. Agregamos al ldap el archivo de configuración
nis.ldif
[root@ldap cn=config]# ldapadd -Y EXTERNAL -H ldapi:// -f
/etc/openldap/schema/nis.ldif
14. Agregamos al ldap el archivo de configuración
inetorgperson.ldif
[root@ldap cn=config]# ldapadd -Y EXTERNAL -H ldapi:// -f
/etc/openldap/schema/inetorgperson.ldif
15. Nos dirigimos la siguiente ruta:
[root@ldap cn=config]# cd /usr/share/migrationtools/
16. Modificamos el archivo migrate_common.ph
[root@ldap cn=config]# vi migrate_common.ph

17. Nos dirigimos al root

[root@ldap cn=config]# cd /root/
18. Creamos el archivo base.ldif y con las siguientes
líneas
[root@ldap cn=config]# vi base.ldif
 19. Creamos un usuario y una contraseña para ldap
[root@ldap cn=config]# useradd oli
[root@ldap cn=config]# passwd oli
20. Migración de cuentas de usuario
[root@ldap cn=config]# cd /usr/share/migrationtools/
[root@ldap migrationtools]# ldapadd -x -W -D
"cn=Manager,dc=informatica,dc=local" -f /root/base.ldif
21. Añadimos al ldap los usuarios con sus respectivas
contraseñas
[root@ldap migrationtools]# grep ":10[0-9][0-9]"
/etc/passwd>passwd
[root@ldap migrationtools]# ./migrate_passwd.pl passwd
users.ldif
[root@ldap migrationtools]# ldapadd -x -W -D
cn=Manager,dc=informatica,dc=local -f users.ldif
22. Añadimos los usuarios a un grupo
[root@ldap migrationtools]# grep ":10[0-9][0-9]"
/etc/group>group
[root@ldap migrationtools]# ./migrate_group.pl group groups.ldif
[root@ldap migrationtools]# ldapadd -x -W -D
cn=Manager,dc=informatica,dc=local -f groups.ldif
23. Verificamos que el usuario este correctamente añadido
[root@ldap migrationtools]# ldapsearch -x cn=oli -b
dc=informatica,dc=local
CLIENTE LDAP (CLIENT1)
1. Instalamos los siguientes paquetes
[root@client1 ~]# yum install openldap openldap-clients nss-pam-
ldap -y
2. Configurar e archivo hosts
[root@client1 ~]# vi /etc/hosts
Añadir la línea: 192.168.10.200 ldap.informatica.local ldap
3. Preparar al cliente para que se una al dominio ldap
[root@client1 ~]# authconfig --enableldap --enableldapauth \--
ldapserver="ldap.informatica.local" \--
ldapbasedn="dc=informatica,dc=local" –update
[root@client1 ~]# authconfig --enablemkhomedir –update
4. Transferirse los certificados desde el servidor ldap al
cliente
[root@client1 ~]# scp
root@ldap.informatica.local:/etc/openldap/certs/cert.pem
\/etc/openldap/cacerts/cert.pem
5. Habilitar ldaptls
[root@client1 ~]# authconfig --enableldaptls –update
6. Probar que el usuario ldap ya es reconocido por la maquina
cliente
[root@client1 ~]# getent passwd oli

7. Cierre sesión e inicie con el usuario ldap creado

 VPN (OPENVPN)
Servidor vpn
1. Instalamos el repositorio epel
[root@vpn ~]# yum install epel-release -y
2. Instalamos openvpn
[root@vpn ~]# yum install -y openvpn wget
3. Usamos la versión del easy-rsa 2.0 para ello digitamos
[root@vpn ~]# wget -O /tmp/easyrsa
http://github.com/OpenVPN/easy-rsa-old/archive/2.3.3.tar.gz
[root@vpn ~]# tar xfz /tmp/easyrsa
4. Creamos un subdirectorio para almacenar los archivos de la
versión 2.0
[root@vpn ~]# mkdir /etc/openvpn/easy-rsa/2.0
5. Extraemos los archivos en la carpeta creada anteriormente
[root@vpn ~]# cp -rf easy-rsa-old-2.3.3/easy-rsa/2.0/*
/etc/openvpn/easy-rsa/2.0
6. Cambiamos al propietario del directorio al usuario root
[root@vpn ~]# chown oliver_cliente /etc/openvpn/easy-rsa/
7. Instalamos el firewall iptables
[root@vpn ~]# yum -y install iptables-services
CONFIGURACION DEL EASY-RSA
8. Nos dirigimos a la ruta
[root@vpn ~]# cd /etc/openvpn/easy-rsa/2.*/
9. Abrimos el archivo vars y modificamos la parte señalada
[root@vpn ~]# vim vars
 10. Generamos las nuevas claves y certificados para la
instalación
[root@vpn 2.0]# source ./vars
11. Ejecutamos clean-all
[root@vpn 2.0]# ./clean-all
12. Generamos un certificado de autoridad CA
[root@vpn 2.0]# ./build-ca
13. Generamos un serverkey y un certificado
[root@vpn 2.0]# ./build-key-server server
14. Creamos un intercambio de claves Diffie-Hellman
[root@vpn 2.0]# ./build-dh
15. Generamos clave de client y certificado y cambiamos
los mismos parámetros que en la clave y certificado del
server (password)
[root@vpn 2.0]# ./build-key client
16. Copiamos el directorio keys/ a /etc/openvpn
[root@vpn 2.0]# cp -r keys/ /etc/openvpn/
CONFIGURACION DEL OPENVPN
17. Creamos el archivo server.conf y digitamos la
siguiente información
[root@vpn 2.0]# cd /etc/openvpn/
[root@vpn 2.0]# vim server.conf
 18. Creamos una carpeta para guardar el log
[root@vpn openvpn]# mkdir -p /var/log/myvpn/
[root@vpn openvpn]# touch /var/log/myvpn/openvpn.log
19. Deshabilitamos el firewall y SElinux
[root@vpn openvpn]# systemctl mask firewalld
[root@vpn openvpn]# systemctl stop firewalld
[root@vpn openvpn]# vim /etc/sysconfig/selinux

20. Activamos iptables

[root@vpn openvpn]# systemctl enable iptables
[root@vpn openvpn]# systemctl start iptables
[root@vpn openvpn]# iptables -F
21. Agregamos iptables-rules para reenvio de enrutamiento
a nuestra subred openvpn
[root@vpn openvpn]# iptables -t nat -A POSTROUTING -s
192.168.25.24 -o eth0 -j MASQUERADE
[root@vpn openvpn]# iptables-save > /etc/sysconfig/iptablesvpn
22. Habilitamos el reenvio de puertos
[root@vpn openvpn]# vim /etc/sysctl.conf
 23. Reiniciamos el servidor y habilitamos el servicio
openvpn
[root@vpn openvpn]# systemctl start openvpn@server
[root@vpn openvpn]# iptables -F

CONFIGURACION DEL CLIENTE CON VPN

1. Instalamos OpenVPN
[root@localhost]# yum install openvpn

2. A continuación, copie los siguientes archivos del servidor

VPN a la máquina
cliente, éstos los guaramos en /etc/openvpn del cliente.

3. Necesitaremos los valores de ca.crt, client.crt y

client.key, esos valores losencontraremos:

[root@localhost]# cat ca.crt

[root@localhost]# cat client.crt
[root@localhost]# cat client.ley

Cada valor obtenido lo pegamos en su respectiva sección del

archivo client.ovpn que lo crearemos.

4. Creamos el archivo con extensión .ovpn en /etc/openvpn

[root@localhost]# vi /etc/openvpn/client.ovpn
5. Ejecutamos el archivo .ovpn que creamos

[root@localhost]# openvpn client.ovpn

6. Abrimos otro terminal y ejecutamos

[root@localhost]# ifconfig