Está en la página 1de 5

Configuración Open VPN

1) Descargar el Install para el sistema que queremos dejar nuestro servidor.


2) Al instalar dejamos cliqueado Open SSL Utilities y OpenVPN RSA Certificate Management
Scripts y esperamos que finalice la Instalación.

Revisamos que este correctamente instalado.


Para eso nos vamos a la carpeta Archivo de Programas- OpenVPN- easy-rsa si esta carpeta
no está quiere decir que se instaló como cliente no como servidor.
REINICIAR WINDOWS.
3) Ir a MSDOS en modo administrador.
Para luego dejar la siguiente ruta inserta: C:\Programs Files\OpenVpn\easy-rsa

 init-config.bat
 vars.bat
 clean-all

Crear la llave maestra:

1) build-ca.bat

set KEY_COUNTRY=CL
set KEY_PROVINCE=MT
set KEY_CITY=Santiago
set KEY_ORG=Empresa (No olvidar, si vuelvo a crear un certificado tengo que colocarlo)
Unit Name: Empresa
Common Name: llave-servidor (diferente siempre)
Name: llave-servidor (puede quedar en blanco o repetir etc.… da igual)
Email-adddress: (blanco)

Podemos revisar la carpeta y veremos que se creó el archivo ca.crt

Creación del Certificado del Servidor:

build-key-server server-vpn

Es el mismo comando agregando el: \build-key-server (y agregar nombre del servidor)


C:\Programs Files\OpenVpn\easy-rsa\build-key-server servidor-vpn enter.
CL
MT
Santiago
Empresa
Empresa
servidor-vpn
Name (en blanco)
e-mail (en blanco)
Password: Empresa2020
Name Company: (En blanco)
Y
Y
Se crean 4 archivos en easy-rsa\keys
servidor-vpn.crt
servidor-vpn.csr
servidor-vpn.key
01.pem

Certificados de DH
build-dh.bat

build-key-pass.bat(este archivo pico idea como es)

C:\Program Files\OpenVPN\easy-rsa>build-key-pass dir


Generating a RSA private key
...............................................................................................................................................................
................++++
.............++++
writing new private key to 'keys\dir.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:CL
State or Province Name (full name) [CA]:MT
Locality Name (eg, city) [SanFrancisco]:Santiago
Organization Name (eg, company) [OpenVPN]:Empresa
Organizational Unit Name (eg, section) [changeme]:Empresa
Common Name (eg, your name or your server's hostname) [changeme]:key
Name [changeme]:key
Email Address [mail@host.domain]:jreyes@tekchile.cl

Please enter the following 'extra' attributes


to be sent with your certificate request
A challenge password []:Empresa2020
An optional company name []:
Using configuration from openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'CL'
stateOrProvinceName :PRINTABLE:'MT'
localityName :PRINTABLE:'Santiago'
organizationName :PRINTABLE:'Empresa'
organizationalUnitName:PRINTABLE:'Empresa'
commonName :PRINTABLE:'key'
name :PRINTABLE:'key'
emailAddress :IA5STRING:'jreyes@tekchile.cl'
ERROR:There is already a certificate for
/C=CL/ST=MT/L=Santiago/O=Empresa/OU=Empresa/CN=key/name=key/emailAddress=jreyes@te
kchile.cl
The matching entry has the following details
Type :Valid
Expires on :300118181508Z
Serial Number :02
File name :unknown
Subject Name
:/C=CL/ST=MT/L=Santiago/O=Empresa/OU=Empresa/CN=key/name=key/emailAddress=jreyes@te
kchile.cl
No se pudo encontrar C:\Program Files\OpenVPN\easy-rsa\keys\*.old

Certificados de PCK12
build-key-pkcs12 pc12

Certificados de cliente:
build-key.bat = build-key client

Editas en el Notepad los parámetros.


Para luego ir a C:\Program Files\OpenVPN\sample-config Y copiamos el archivo
server.ovpn en la carpeta Openvpn\config

Editamos el block de notas dl archivo server en modo administrador para eso tenemos que
abrir el notepad en modo administrador para luego

puerto 1194
Dejamos el dev tun sin puntos de esta manera dejamos activo esa opción.
Corroborar que los nombres de ca y cert servidor y el key el dh1024.pem tengan los
mismos nombre que tenemos en la carpeta config de nuestro equipo sino poner el nombre
correcto de como se muestra en nuestra carpeta.

Configurar la red de los equipos que se van a conectar a nuestra VPN


192.168.1.1 o 172.16.52.0 con la máscara que queramos allí se pone la dirección.
Crear una ruta estatica.
puch “route 192.168.8.10 255.255.255.0”
Aquí le decimos que si recibe una solicitud de esta dirección reenvié esta información a esa
red” esta se debe también configurar en el equipo destino para que este responda.

Abrir puertos en el Firewall:

Configurar paso de paquetes entre la red física y virtual, necesitamos ir al registro de


Windows y realizar una configuración: regedith\Hkey_local_machine\System\Current
ControlSet\Services\Tcpip\Parameteers modificamos el parámetro IPEnableRouter de 0 a
1. No hace intercambio de paquetes en tarjeta de red traspaso de datos o paquetes entre
tarjetas de red de la física a la virtual.

Abrir los puertos en el Firewall- configuración avanzada- agregar una nueva regla de
entrada- agregar un puerto- tcp- agregamos el número del puerto (1194) - y ponemos
Open Vpn- Finalizar. Si da algún problema hacer pruebas con el firewall con los puertos
deshabilitados.

Abrir el puerto del router y hacer una Nateo de ese puerto hacia la maquina dónde está
corriendo el servidor VPN. Si no tienes acceso al router no puedes ver la vpn desde afuera
desde internet.
Otro parámetro, ip dinámica, necesitaríamos poner el duc aplicación al servidor VPN.

En el archivo de blog de notas SERVER ir a la parte donde dicen dev-node y ponemos TAP-
01 en el nombre ese mismo se pone en nuestra tarjeta de red que tiene como descripción
TAP, poner el mismo nombre y sacarle le punto y coma en el blog de notas para que quede
habilitada esa configuración.

Creación de Certificados de los Clientes OpenVpn.

Iniciar Consola en modo administrador


ir al directorio OpenVpn
C:\Programs Files\OpenVPN\easy-rsa
Crear un certificado por cada cliente, de modo contrario tendremos problemas para
conectar los clientes.
Podemos abrir la carpeta keys para ir viendo los certificados que vamos a ir creando.

Ponemos en consola:
Vars enter
build-key client
CountryName CL
StateorProvinceName MT
LocalityName Santiago
OrganizacionalName Empresa
OrganizacionalUnitName Empresa
CommonName client (este nombre tiene que ser único ojalá el mismo que pusimos arriba)
Name client lo repito para no enredarme
E-mailAddress podemos poner cualquier cosa
pass: debe ser la misma que pusimos para poner en la creación del certificado
Luego de eso si queremos firmar el certificado y nos dice su duración que son
aparentemente 10 años de duración. Le debemos decir que si en inglés: Y
Y en el otro igual: Y
Al aparecer las dos líneas y volvemos al directorio principal se crean estos tres
archivos.usuario.crt .key .csr

Creamos una nueva carpeta con el nombre usuario-01 y copiamos el ca.crt el usuario-01-
crt y .key y el archivo cliente.opvpn también déjenlo en la misma carpeta.

También podría gustarte