[2024-feb-29] Sad news: Eric Layton aka Nocturnal Slacker aka vtel57 passed away on Feb 26th, shortly after hospitalization. He was one of our Wiki's most prominent admins. He will be missed.
Diferencias
Muestra las diferencias entre dos versiones de la página.
Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
es:howtos:network_services:openvpn [2019/02/17 10:18 (UTC)] – [11. IP Routing] pedro.herrero | es:howtos:network_services:openvpn [2019/02/19 12:28 (UTC)] (actual) – [11.1 Configuración del servidor] rramp | ||
---|---|---|---|
Línea 1: | Línea 1: | ||
- | <note important> | + | |
====== OpenVPN - Cómo configurar un servidor Slackware y un cliente Slackware ====== | ====== OpenVPN - Cómo configurar un servidor Slackware y un cliente Slackware ====== | ||
Línea 12: | Línea 12: | ||
===== 2. Ámbito de aplicación y objetivo ===== | ===== 2. Ámbito de aplicación y objetivo ===== | ||
- | El objetivo de este artículo es servir como un tutorial para que los lectores configuren un servidor | + | El objetivo de este artículo es servir como un tutorial para que los lectores configuren un servidor y un cliente |
El énfasis está en proporcionar un método fiable que pueda seguirse fácilmente para configurar OpenVPN en servidores y clientes Slackware. Sin embargo, el proceso no está libre de obstáculos y requiere cierta atención y determinación. | El énfasis está en proporcionar un método fiable que pueda seguirse fácilmente para configurar OpenVPN en servidores y clientes Slackware. Sin embargo, el proceso no está libre de obstáculos y requiere cierta atención y determinación. | ||
Línea 20: | Línea 20: | ||
===== 3. Instalación ===== | ===== 3. Instalación ===== | ||
- | Openvpn | + | OpenVPN |
- | Si desea confirmar que Openvpn | + | Si desea confirmar que OpenVPN |
< | < | ||
Línea 30: | Línea 30: | ||
===== 4. Requisitos ===== | ===== 4. Requisitos ===== | ||
- | Se necesitarían | + | Se necesitarán dos ordenadores |
==== 4.1. Servidor DNS ==== | ==== 4.1. Servidor DNS ==== | ||
Línea 55: | Línea 55: | ||
==== 4.3 Derechos de Administrador ==== | ==== 4.3 Derechos de Administrador ==== | ||
- | Necesitará tener derechos de administrador para configurar OpenVPN. Esto se aplica tanto al Servidor | + | Necesitará tener derechos de administrador para configurar OpenVPN. Esto se aplica tanto al servidor |
==== 4.4 Posibles limitaciones y soluciones para un cliente equipado con WiFi ==== | ==== 4.4 Posibles limitaciones y soluciones para un cliente equipado con WiFi ==== | ||
- | La disponibilidad de dos routers | + | La disponibilidad de dos enutadores |
- | - Utilice la función " | + | - Utilice la función " |
- Conecte el cliente a otra conexión WiFi disponible en las proximidades del servidor. Algunas personas afortunadas viven en áreas donde los vecinos benévolos les proporcionan acceso abierto a Internet WiFi. Se recomienda solicitar permiso antes de aceptar esta solución. En caso de que no exista tal servicio abierto, puede ser conveniente solicitar una contraseña temporal a un vecino amistoso para el servicio WiFi privado encriptado. | - Conecte el cliente a otra conexión WiFi disponible en las proximidades del servidor. Algunas personas afortunadas viven en áreas donde los vecinos benévolos les proporcionan acceso abierto a Internet WiFi. Se recomienda solicitar permiso antes de aceptar esta solución. En caso de que no exista tal servicio abierto, puede ser conveniente solicitar una contraseña temporal a un vecino amistoso para el servicio WiFi privado encriptado. | ||
- | - Hoy en día, muchos locales gubernamentales, | + | - Hoy en día, muchos locales gubernamentales, |
===== 5. Creación de una infraestructura de clave pública (PKI) utilizando los scripts easy-rsa ===== | ===== 5. Creación de una infraestructura de clave pública (PKI) utilizando los scripts easy-rsa ===== | ||
- | La PKI se puede crear en cualquier ordenador con una instalación VPN, pero probablemente sea más sensato hacerlo tanto en el Servidor | + | La PKI se puede crear en cualquier ordenador con una instalación VPN, pero probablemente sea más sensato hacerlo tanto en el servidor |
< | < | ||
Línea 82: | Línea 82: | ||
==== 5.1 Cree las claves y certificados para el servidor ==== | ==== 5.1 Cree las claves y certificados para el servidor ==== | ||
- | Siga estos pasos en el Servidor | + | Siga estos pasos en el servidor |
< | < | ||
Línea 120: | Línea 120: | ||
</ | </ | ||
- | ==== 5.2 Cree las claves y certificados para el Cliente | + | ==== 5.2 Cree las claves y certificados para el cliente |
- | Siga estos pasos en el Cliente | + | Siga estos pasos en el cliente |
- | Necesitará los scripts easy-rsa, para poder copiar el tarball easy-rsa del Servidor | + | Necesitará los scripts easy-rsa, para poder copiar el tarball easy-rsa del servidor |
< | < | ||
Línea 143: | Línea 143: | ||
Copie pki/ | Copie pki/ | ||
- | === 5.2.1 Firme la solicitud del Cliente | + | === 5.2.1 Firme la solicitud del cliente |
- | Para los fines de este artículo, se asume que el archivo de solicitud del Cliente | + | Para los fines de este artículo, se asume que el archivo de solicitud del cliente |
< | < | ||
Línea 286: | Línea 286: | ||
</ | </ | ||
- | Entonces dele permisos | + | Entonces, dele permisos |
< | < | ||
Línea 298: | Línea 298: | ||
En caso de que haya extraviado dicha documentación, | En caso de que haya extraviado dicha documentación, | ||
- | ===== 8. Configuración del Cliente | + | ===== 8. Configuración del cliente |
- | En el equipo de Cliente, siga las siguientes instrucciones para configurarlo. | + | En el equipo de cliente, siga las siguientes instrucciones para configurarlo. |
Descargue el tarball de código fuente de OpenVPN y extráigalo como se explica en el Capítulo 6, luego proceda a copiar el archivo de configuración incluido para los clientes: | Descargue el tarball de código fuente de OpenVPN y extráigalo como se explica en el Capítulo 6, luego proceda a copiar el archivo de configuración incluido para los clientes: | ||
Línea 350: | Línea 350: | ||
< | < | ||
- | Necesitará este archivo generado por los scripts easy-rsa del Cliente: | + | Necesitará este archivo generado por los scripts easy-rsa del cliente: |
< | < | ||
Línea 357: | Línea 357: | ||
</ | </ | ||
- | y lo siguiente de los scripts easy-rsa del Servidor: | + | y lo siguiente de los scripts easy-rsa del servidor: |
< | < | ||
Línea 382: | Línea 382: | ||
Introduzca la contraseña PEM del servidor cuando se le solicite. | Introduzca la contraseña PEM del servidor cuando se le solicite. | ||
- | En el Cliente: | + | En el cliente: |
< | < | ||
Línea 388: | Línea 388: | ||
</ | </ | ||
- | Introduzca la contraseña PEM del Cliente | + | Introduzca la contraseña PEM del cliente |
- | En ambos debería ver una nueva interfaz de red llamada tun0. En el Servidor, obtuve lo siguiente: | + | En ambos debería ver una nueva interfaz de red llamada tun0. En el servidor, obtuve lo siguiente: |
< | < | ||
Línea 403: | Línea 403: | ||
</ | </ | ||
- | Del mismo modo, en el Cliente: | + | Del mismo modo, en el cliente: |
< | < | ||
Línea 416: | Línea 416: | ||
</ | </ | ||
- | Naturalmente, | + | Naturalmente, |
- | Por ejemplo, desde el Cliente: | + | Por ejemplo, desde el cliente: |
< | < | ||
Línea 432: | Línea 432: | ||
</ | </ | ||
- | ===== 10. Almacenamiento de la contraseña PEM en un archivo seguro e Inicio | + | ===== 10. Almacenamiento de la contraseña PEM en un archivo seguro e inicio |
Para iniciar el servicio OpenVPN en el arranque, se necesita una entrada en / | Para iniciar el servicio OpenVPN en el arranque, se necesita una entrada en / | ||
Línea 440: | Línea 440: | ||
</ | </ | ||
- | En el Servidor, edite / | + | En el servidor, edite / |
< | < | ||
Línea 449: | Línea 449: | ||
También, descomente la opción ' | También, descomente la opción ' | ||
- | Esto puede repetirse también en el Cliente, simplemente edite / | + | Esto puede repetirse también en el cliente, simplemente edite / |
Para iniciar el servicio OpenVPN automáticamente al arrancar desde el servidor, incluya estas líneas en / | Para iniciar el servicio OpenVPN automáticamente al arrancar desde el servidor, incluya estas líneas en / | ||
Línea 472: | Línea 472: | ||
===== 11. Enrutamiento IP ===== | ===== 11. Enrutamiento IP ===== | ||
- | Hasta ahora hemos creado un dispositivo de túnel tanto en el servidor como en el cliente llamado tun0 que sólo es visible para estos dos equipos. Sin embargo, se necesita más trabajo para enrutar la conexión del Cliente | + | Hasta ahora hemos creado un dispositivo de túnel tanto en el servidor como en el cliente llamado tun0 que sólo es visible para estos dos equipos. Sin embargo, se necesita más trabajo para enrutar la conexión del cliente |
- | ==== 11.1 Server Configuration | + | ==== 11.1 Configuración del servidor |
- | Enable | + | Habilite el reenvío |
< | < | ||
Línea 483: | Línea 483: | ||
</ | </ | ||
- | IP forwarding is now enabled and will be enabled also after you reboot. | + | El reenvío de IP está ahora activado y lo estará también después de reiniciar. |
- | Make a directory called | + | Cree un directorio llamado |
< | < | ||
Línea 491: | Línea 491: | ||
</ | </ | ||
- | Create a file with the same name of the client | + | Cree un fichero con el mismo nombre del cliente |
< | < | ||
Línea 497: | Línea 497: | ||
</ | </ | ||
- | Replace | + | Sustituya |
- | Similarly edit / | + | Del mismo modo, edite / |
< | < | ||
Línea 513: | Línea 513: | ||
</ | </ | ||
- | Naturally replace | + | Naturalmente, |
- | 208.67.222.222 | + | 208.67.222.222 |
- | <note warning>Up to now the DNS push configuration has not been successful.</ | + | <note warning>Hasta ahora la configuración de DNS push no ha tenido éxito.</ |
- | You can either use the original Client | + | Puede utilizar los servidores |
< | < | ||
Línea 526: | Línea 526: | ||
</ | </ | ||
- | According to your routing table however, it is still worth trying to use the DNS servers listed by the Client, I find that they are generally still available, so you would not need to do anything. However do be aware of possible | + | De acuerdo con su tabla de enrutamiento, sin embargo, vale la pena intentar usar los servidores |
- | Some users have reported that their Client' | + | Algunos usuarios han comunicado que el administrador de red de su cliente |
- | Next you will have to configure some iptables | + | A continuación tendrá que configurar algunos reenvíos |
< | < | ||
Línea 536: | Línea 536: | ||
</ | </ | ||
- | And then: | + | Y entonces: |
< | < | ||
Línea 542: | Línea 542: | ||
</ | </ | ||
- | On Slackware, | + | En Slackware, |
- | The exact lines which you need to include depend on whether you already entered your own iptables | + | Las líneas exactas que necesita incluir dependen de si ya ha introducido sus propias cadenas y reglas de filtros |
- | As already explained, as a minimum you only need to enter the following lines in / | + | Como ya se ha explicado, como mínimo sólo necesita introducir las siguientes líneas en / |
< | < | ||
Línea 553: | Línea 553: | ||
</ | </ | ||
- | If on the other hand you would like a better | + | Si por otro lado desea un firewall |
< | < | ||
Línea 559: | Línea 559: | ||
# Start/ | # Start/ | ||
- | IPT=/ | + | IPT=/ |
firewall_start() { | firewall_start() { | ||
- | # flush the iptables | + | # limpie las iptables |
echo -e " | echo -e " | ||
$IPT -F | $IPT -F | ||
- | # policies | + | # directrices |
$IPT -P OUTPUT DROP | $IPT -P OUTPUT DROP | ||
$IPT -P INPUT DROP | $IPT -P INPUT DROP | ||
$IPT -P FORWARD DROP | $IPT -P FORWARD DROP | ||
- | $IPT -N SERVICES # services | + | $IPT -N SERVICES # services |
- | # allowed output | + | # salida permitida |
$IPT -A OUTPUT -o lo -j ACCEPT | $IPT -A OUTPUT -o lo -j ACCEPT | ||
$IPT -A OUTPUT -o eth0 -j ACCEPT | $IPT -A OUTPUT -o eth0 -j ACCEPT | ||
$IPT -A OUTPUT -o tun0 -j ACCEPT | $IPT -A OUTPUT -o tun0 -j ACCEPT | ||
- | # allowed inputs | + | # entradas permitidas |
- | #$IPT -A INPUT -i lo -j ACCEPT # uncomment if the host is a desktop | + | #$IPT -A INPUT -i lo -j ACCEPT # descomentar si el host es un escritorio |
- | $IPT -A INPUT -m conntrack --ctstate ESTABLISHED, | + | $IPT -A INPUT -m conntrack --ctstate ESTABLISHED, |
- | $IPT -A INPUT -j SERVICES # append the services chain to the input | + | $IPT -A INPUT -j SERVICES # añadir la cadena de servicios a la entrada |
- | # allowed forwarding for OpenVPN | + | # reenvío permitido para OpenVPN |
$IPT -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED, | $IPT -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED, | ||
$IPT -A FORWARD -s 10.8.0.0/24 -o eth0 -j ACCEPT | $IPT -A FORWARD -s 10.8.0.0/24 -o eth0 -j ACCEPT | ||
- | # masquerade the OpenVPN | + | # enmascarar la red OpenVPN |
$IPT -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE | $IPT -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE | ||
- | # allow sshd on the default | + | # permitir |
- | #$IPT -A SERVICES -p tcp --dport 22 -j ACCEPT # Uncomment to allow sshd | + | #$IPT -A SERVICES -p tcp --dport 22 -j ACCEPT # Descomentar para permitir |
- | # allow OpenVPN | + | # permitir |
$IPT -A SERVICES -p udp --dport 1194 -j ACCEPT | $IPT -A SERVICES -p udp --dport 1194 -j ACCEPT | ||
| | ||
Línea 603: | Línea 603: | ||
echo -e " | echo -e " | ||
- | # polcies | + | # políticas |
$IPT -P OUTPUT ACCEPT | $IPT -P OUTPUT ACCEPT | ||
$IPT -P INPUT ACCEPT | $IPT -P INPUT ACCEPT | ||
$IPT -P FORWARD ACCEPT | $IPT -P FORWARD ACCEPT | ||
- | # flush the iptables | + | # limpie las iptables |
$IPT -F | $IPT -F | ||
- | # delete the services custom chain | + | # eliminar la cadena personalizada de servicios |
$IPT -X SERVICES | $IPT -X SERVICES | ||
echo " | echo " | ||
Línea 639: | Línea 639: | ||
</ | </ | ||
- | Give the firewall rc script | + | Dele al script |
< | < | ||
Línea 645: | Línea 645: | ||
</ | </ | ||
- | and start it: | + | e inícielo: |
< | < | ||
Línea 651: | Línea 651: | ||
</ | </ | ||
- | Restart the OpenVPN | + | Reinicie el servicio |
< | < | ||
Línea 657: | Línea 657: | ||
</ | </ | ||
- | and reconnect from the Client: | + | y vuelva a conectarse con el cliente: |
< | < | ||
Línea 663: | Línea 663: | ||
</ | </ | ||
- | ===== 12. Firewalls | + | ===== 12. Cortafuegos |
- | In the previous chapter we referred to a firewall | + | En el capítulo anterior nos referimos |
- | In order to penetrate through the Client firewall your may want to try changing the port to 443 - normally reserved for https. | + | Para penetrar a través del cortafuegos del cliente, puede intentar cambiar el puerto a 443 - normalmente reservado para https. |
< | < | ||
Línea 674: | Línea 674: | ||
</ | </ | ||
- | to: | + | a: |
< | < | ||
Línea 681: | Línea 681: | ||
</ | </ | ||
- | and / | + | y / |
< | < | ||
Línea 689: | Línea 689: | ||
</ | </ | ||
- | to: | + | a: |
< | < | ||
Línea 697: | Línea 697: | ||
</ | </ | ||
- | The Server' | + | El script |
< | < | ||
- | # allow vpn on the default | + | # permite |
$IPT -A SERVICES -p udp --dport 1194 -j ACCEPT | $IPT -A SERVICES -p udp --dport 1194 -j ACCEPT | ||
</ | </ | ||
- | to: | + | a: |
< | < | ||
- | # allow vpn on the custom tcp port 443 | + | # permite |
$IPT -A SERVICES -p tcp --dport 443 -j ACCEPT | $IPT -A SERVICES -p tcp --dport 443 -j ACCEPT | ||
</ | </ | ||
- | You also have to modify your Router' | + | También tiene que modificar el redireccionamiento del puerto de su enroutador al puerto |
- | ===== 13. Sources | + | ===== 13. Fuentes |
(1) http:// | (1) http:// | ||
Línea 725: | Línea 725: | ||
(5) http:// | (5) http:// | ||
- | * Written for Slackware 14.2 in April 2018 | + | * Escrito para Slackware 14.2 en Abril del 2018 |
- | * Originally written by [[wiki: | + | * Escrito originalmente por [[wiki: |
+ | * Traducido por --- // | ||
<!-- Please do not modify anything below, except adding new tags.--> | <!-- Please do not modify anything below, except adding new tags.--> | ||
{{tag> | {{tag> | ||