1) Descargar el Install para el sistema que queremos dejar nuestro servidor.
2) Al instalar dejamos cliqueado Open SSL Utilities y OpenVPN RSA Certificate Management Scripts y esperamos que finalice la Instalación.
Revisamos que este correctamente instalado.
Para eso nos vamos a la carpeta Archivo de Programas- OpenVPN- easy-rsa si esta carpeta no está quiere decir que se instaló como cliente no como servidor. REINICIAR WINDOWS. 3) Ir a MSDOS en modo administrador. Para luego dejar la siguiente ruta inserta: C:\Programs Files\OpenVpn\easy-rsa
init-config.bat vars.bat clean-all
Crear la llave maestra:
1) build-ca.bat
set KEY_COUNTRY=CL set KEY_PROVINCE=MT set KEY_CITY=Santiago set KEY_ORG=Empresa (No olvidar, si vuelvo a crear un certificado tengo que colocarlo) Unit Name: Empresa Common Name: llave-servidor (diferente siempre) Name: llave-servidor (puede quedar en blanco o repetir etc.… da igual) Email-adddress: (blanco)
Podemos revisar la carpeta y veremos que se creó el archivo ca.crt
Creación del Certificado del Servidor:
build-key-server server-vpn
Es el mismo comando agregando el: \build-key-server (y agregar nombre del servidor)
C:\Programs Files\OpenVpn\easy-rsa\build-key-server servidor-vpn enter. CL MT Santiago Empresa Empresa servidor-vpn Name (en blanco) e-mail (en blanco) Password: Empresa2020 Name Company: (En blanco) Y Y Se crean 4 archivos en easy-rsa\keys servidor-vpn.crt servidor-vpn.csr servidor-vpn.key 01.pem
Certificados de DH build-dh.bat
build-key-pass.bat(este archivo pico idea como es)
C:\Program Files\OpenVPN\easy-rsa>build-key-pass dir
Generating a RSA private key ............................................................................................................................................................... ................++++ .............++++ writing new private key to 'keys\dir.key' Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [US]:CL State or Province Name (full name) [CA]:MT Locality Name (eg, city) [SanFrancisco]:Santiago Organization Name (eg, company) [OpenVPN]:Empresa Organizational Unit Name (eg, section) [changeme]:Empresa Common Name (eg, your name or your server's hostname) [changeme]:key Name [changeme]:key Email Address [mail@host.domain]:jreyes@tekchile.cl
Please enter the following 'extra' attributes
to be sent with your certificate request A challenge password []:Empresa2020 An optional company name []: Using configuration from openssl-1.0.0.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'CL' stateOrProvinceName :PRINTABLE:'MT' localityName :PRINTABLE:'Santiago' organizationName :PRINTABLE:'Empresa' organizationalUnitName:PRINTABLE:'Empresa' commonName :PRINTABLE:'key' name :PRINTABLE:'key' emailAddress :IA5STRING:'jreyes@tekchile.cl' ERROR:There is already a certificate for /C=CL/ST=MT/L=Santiago/O=Empresa/OU=Empresa/CN=key/name=key/emailAddress=jreyes@te kchile.cl The matching entry has the following details Type :Valid Expires on :300118181508Z Serial Number :02 File name :unknown Subject Name :/C=CL/ST=MT/L=Santiago/O=Empresa/OU=Empresa/CN=key/name=key/emailAddress=jreyes@te kchile.cl No se pudo encontrar C:\Program Files\OpenVPN\easy-rsa\keys\*.old
Certificados de PCK12 build-key-pkcs12 pc12
Certificados de cliente: build-key.bat = build-key client
Editas en el Notepad los parámetros.
Para luego ir a C:\Program Files\OpenVPN\sample-config Y copiamos el archivo server.ovpn en la carpeta Openvpn\config
Editamos el block de notas dl archivo server en modo administrador para eso tenemos que abrir el notepad en modo administrador para luego
puerto 1194 Dejamos el dev tun sin puntos de esta manera dejamos activo esa opción. Corroborar que los nombres de ca y cert servidor y el key el dh1024.pem tengan los mismos nombre que tenemos en la carpeta config de nuestro equipo sino poner el nombre correcto de como se muestra en nuestra carpeta.
Configurar la red de los equipos que se van a conectar a nuestra VPN
192.168.1.1 o 172.16.52.0 con la máscara que queramos allí se pone la dirección. Crear una ruta estatica. puch “route 192.168.8.10 255.255.255.0” Aquí le decimos que si recibe una solicitud de esta dirección reenvié esta información a esa red” esta se debe también configurar en el equipo destino para que este responda.
Abrir puertos en el Firewall:
Configurar paso de paquetes entre la red física y virtual, necesitamos ir al registro de
Windows y realizar una configuración: regedith\Hkey_local_machine\System\Current ControlSet\Services\Tcpip\Parameteers modificamos el parámetro IPEnableRouter de 0 a 1. No hace intercambio de paquetes en tarjeta de red traspaso de datos o paquetes entre tarjetas de red de la física a la virtual.
Abrir los puertos en el Firewall- configuración avanzada- agregar una nueva regla de entrada- agregar un puerto- tcp- agregamos el número del puerto (1194) - y ponemos Open Vpn- Finalizar. Si da algún problema hacer pruebas con el firewall con los puertos deshabilitados.
Abrir el puerto del router y hacer una Nateo de ese puerto hacia la maquina dónde está corriendo el servidor VPN. Si no tienes acceso al router no puedes ver la vpn desde afuera desde internet. Otro parámetro, ip dinámica, necesitaríamos poner el duc aplicación al servidor VPN.
En el archivo de blog de notas SERVER ir a la parte donde dicen dev-node y ponemos TAP- 01 en el nombre ese mismo se pone en nuestra tarjeta de red que tiene como descripción TAP, poner el mismo nombre y sacarle le punto y coma en el blog de notas para que quede habilitada esa configuración.
Creación de Certificados de los Clientes OpenVpn.
Iniciar Consola en modo administrador
ir al directorio OpenVpn C:\Programs Files\OpenVPN\easy-rsa Crear un certificado por cada cliente, de modo contrario tendremos problemas para conectar los clientes. Podemos abrir la carpeta keys para ir viendo los certificados que vamos a ir creando.
Ponemos en consola: Vars enter build-key client CountryName CL StateorProvinceName MT LocalityName Santiago OrganizacionalName Empresa OrganizacionalUnitName Empresa CommonName client (este nombre tiene que ser único ojalá el mismo que pusimos arriba) Name client lo repito para no enredarme E-mailAddress podemos poner cualquier cosa pass: debe ser la misma que pusimos para poner en la creación del certificado Luego de eso si queremos firmar el certificado y nos dice su duración que son aparentemente 10 años de duración. Le debemos decir que si en inglés: Y Y en el otro igual: Y Al aparecer las dos líneas y volvemos al directorio principal se crean estos tres archivos.usuario.crt .key .csr
Creamos una nueva carpeta con el nombre usuario-01 y copiamos el ca.crt el usuario-01- crt y .key y el archivo cliente.opvpn también déjenlo en la misma carpeta.
