Proyectos

Herramientas de usuario

Herramientas del sitio

Traza:
proyectos:multivpnbuster

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
proyectos:multivpnbuster [2020/06/29 05:08] – [Varios servicios de VPN en un solo servidor Buster] gatoproyectos:multivpnbuster [2022/05/31 00:41] (actual) – [Fuentes] manuel.floresv
Línea 1: Línea 1:
 ====== Varios servicios de VPN en un solo servidor Buster ====== ====== Varios servicios de VPN en un solo servidor Buster ======
  
-Instalar herramientas+===== Instalar herramientas ===== 
 <code> <code>
 apt install openvpn easy-rsa apt install openvpn easy-rsa
 </code> </code>
 +===== Configurar la red a Pasarela =====
 Ajustar el reenvío de paquetes Ajustar el reenvío de paquetes
 <code> <code>
Línea 13: Línea 15:
 net.ipv4.ip_forward=1 net.ipv4.ip_forward=1
 </code> </code>
- +===== Configuración de VPN-1 ===== 
-===== Servicio 1 con red 10.19.80.0/24 en puerto 1194=====+==== Servicio 1 con red 10.19.80.0/24 en puerto 1194====
  
 Crear espacio de trabajo para red01 Crear espacio de trabajo para red01
 <code> <code>
 +mkdir /var/log/openvpn
 mkdir -p /etc/openvpn/server/red01/clientes/generados mkdir -p /etc/openvpn/server/red01/clientes/generados
 </code> </code>
 Preparar la autoridad certificadora de red01 Preparar la autoridad certificadora de red01
 <code> <code>
-cp -r /usr/share/easy-rsa/ /etc/openvpn/server/red01/autoridad+make-cadir autoridad
 cd /etc/openvpn/server/red01/autoridad cd /etc/openvpn/server/red01/autoridad
-cp vars.example vars 
 </code> </code>
 Hay que editar las variables para identificar la autoridad de la primera red Hay que editar las variables para identificar la autoridad de la primera red
Línea 67: Línea 69:
 Y también una firma HMAC Y también una firma HMAC
 <code> <code>
-openvpn --genkey --secret ta.key+openvpn --genkey --genkey secret ta.key
 </code> </code>
 Lo siguiente es juntar todo lo del servidor ordenadamente Lo siguiente es juntar todo lo del servidor ordenadamente
Línea 77: Línea 79:
 cp pki/dh.pem /etc/openvpn/server/red01/ChonteSV_vpn_1-dh.pem cp pki/dh.pem /etc/openvpn/server/red01/ChonteSV_vpn_1-dh.pem
 </code> </code>
-Para cada cliente que se deba conectar hay que crear certificados, lo cual puede ser incomodo pero es necesario por seguridad, pero depende de la configuración del servicio se puede usar un solo certificado para todos equipos que se conectarán... esto depende mas de sus escenarios, en este caso se creará para un cliente llamado **chonte001_vpn_1** +
-<code> +
-./easyrsa build-client-full "chonte001_vpn_1" nopass +
-</code> +
-Y se pone todo en orden del para el/los cliente/s +
-<code> +
-cp pki/issued/chonte001_vpn_1.crt /etc/openvpn/server/red01/clientes/ +
-cp pki/private/chonte001_vpn_1.key /etc/openvpn/server/red01/clientes/ +
-</code>+
 Después de tanto trabajo para los archivos previos necesarios para el servidor, hay que crear la configuración del primer servicio Después de tanto trabajo para los archivos previos necesarios para el servidor, hay que crear la configuración del primer servicio
 <code> <code>
Línea 92: Línea 86:
 </code> </code>
 Y le llenamos con la siguiente configuración Y le llenamos con la siguiente configuración
-<code>+<code bash>
 port 1194 port 1194
 proto tcp proto tcp
Línea 109: Línea 103:
 push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.222.222"
 push "dhcp-option DNS 208.67.220.220" push "dhcp-option DNS 208.67.220.220"
 +# Si se desar usar ip fija por cliente
 +;topology subnet
 +# Y para colocar las configuraciones específicas por cliente
 +# habrá que crear el subdirectorio y crear un archivo para cada uno
 +# que deberá contener algo como : ifconfig-push 10.19.80.10 255.255.255.0
 +;client-config-dir server/red01/clientes/fijos/
 # Algunos parámetros para el cliente # Algunos parámetros para el cliente
 keepalive 10 120 keepalive 10 120
-cipher AES-256-CBC+cipher AES-256-GCM
 auth SHA256 auth SHA256
 user nobody user nobody
Línea 135: Línea 135:
 systemctl status openvpn@servicio1 systemctl status openvpn@servicio1
 </code> </code>
 +
 +==== Generar Certificados de Clientes ====
 +Para cada cliente que se deba conectar hay que crear certificados, lo cual puede ser incomodo pero es necesario por seguridad, pero depende de la configuración del servicio se puede usar un solo certificado para todos equipos que se conectarán... esto depende mas de sus escenarios, en este caso se creará para un cliente llamado **chonte001_vpn_1**
 +<code>
 +./easyrsa build-client-full "chonte001_vpn_1" nopass
 +</code>
 +Y se pone todo en orden del para el/los cliente/s
 +<code>
 +cp pki/issued/chonte001_vpn_1.crt /etc/openvpn/server/red01/clientes/
 +cp pki/private/chonte001_vpn_1.key /etc/openvpn/server/red01/clientes/
 +</code>
 +
 +
 Luego se prepara el archivo a compartir con los clientes, para lo cual y por facilidades futuras tendremos un archivo base para completar Luego se prepara el archivo a compartir con los clientes, para lo cual y por facilidades futuras tendremos un archivo base para completar
 <code> <code>
Línea 154: Línea 167:
 tls-version-min 1.0 tls-version-min 1.0
 remote-cert-tls server remote-cert-tls server
-cipher AES-256-CBC+cipher AES-256-GCM
 auth SHA256 auth SHA256
 comp-lzo adaptive comp-lzo adaptive
Línea 170: Línea 183:
 SERVICIO="red01" SERVICIO="red01"
 DIRECTORIO="/etc/openvpn/server/${SERVICIO}" DIRECTORIO="/etc/openvpn/server/${SERVICIO}"
-SERVIDOR="ChoteSV_vpn_1"+SERVIDOR="ChonteSV_vpn_1"
 if  [ $# -ne 1 ]; then if  [ $# -ne 1 ]; then
   #Avisar que se rquieren mas parámetros   #Avisar que se rquieren mas parámetros
Línea 227: Línea 240:
 </code> </code>
  
-===== Servicio 2 con red 10.19.90.0/24 en puerto 1195=====+===== Configuración de VPN-2 ===== 
 + 
 +==== Servicio 2 con red 10.19.90.0/24 en puerto 1195====
  
 Todo es repetir lo echo en el servicio anterior pero para una red diferente, primero hay que crear el espacio de trabajo para red02 Todo es repetir lo echo en el servicio anterior pero para una red diferente, primero hay que crear el espacio de trabajo para red02
Línea 322: Línea 337:
 push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.222.222"
 push "dhcp-option DNS 208.67.220.220" push "dhcp-option DNS 208.67.220.220"
 +# Si se desar usar ip fija por cliente
 +;topology subnet
 +# Y para colocar las configuraciones específicas por cliente
 +# habrá que crear el subdirectorio y crear un archivo para cada uno
 +# que deberá contener algo como : ifconfig-push 10.19.90.10 255.255.255.0
 +;client-config-dir server/red02/clientes/fijos/
 # Algunos parámetros para el cliente # Algunos parámetros para el cliente
 keepalive 10 120 keepalive 10 120
-cipher AES-256-CBC+cipher AES-256-GCM
 auth SHA256 auth SHA256
 user nobody user nobody
Línea 348: Línea 369:
 systemctl status openvpn@servicio2 systemctl status openvpn@servicio2
 </code> </code>
 +==== Generar Certificados de Clientes ====
 Luego se prepara el archivo a compartir con los clientes, para lo cual y por facilidades futuras tendremos un archivo base para completar Luego se prepara el archivo a compartir con los clientes, para lo cual y por facilidades futuras tendremos un archivo base para completar
 <code> <code>
Línea 367: Línea 389:
 tls-version-min 1.0 tls-version-min 1.0
 remote-cert-tls server remote-cert-tls server
-cipher AES-256-CBC+cipher AES-256-GCM
 auth SHA256 auth SHA256
 comp-lzo adaptive comp-lzo adaptive
Línea 383: Línea 405:
 SERVICIO="red02" SERVICIO="red02"
 DIRECTORIO="/etc/openvpn/server/${SERVICIO}" DIRECTORIO="/etc/openvpn/server/${SERVICIO}"
-SERVIDOR="ChoteSV_vpn_2"+SERVIDOR="ChonteSV_vpn_2"
 if  [ $# -ne 1 ]; then if  [ $# -ne 1 ]; then
   #Avisar que se rquieren mas parámetros   #Avisar que se rquieren mas parámetros
Línea 446: Línea 468:
  
 ===== Fuentes ===== ===== Fuentes =====
-https://www.howtoforge.com/how-to-install-and-configure-openvpn-server-on-debian-10/ +  * https://www.howtoforge.com/how-to-install-and-configure-openvpn-server-on-debian-10/ 
-https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10 +  https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10 
-https://wiki.archlinux.org/index.php/Easy-RSA +  https://wiki.archlinux.org/index.php/Easy-RSA 
-https://wiki.gentoo.org/wiki/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scripts +  https://wiki.gentoo.org/wiki/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scripts 
-https://www.hugeserver.com/kb/openvpn-multiple-ports/ +  https://www.hugeserver.com/kb/openvpn-multiple-ports/ 
-http://systemadmin.es/2013/01/mismo-certificado-servidor-openvpn+  http://systemadmin.es/2013/01/mismo-certificado-servidor-openvpn
  
  
  
proyectos/multivpnbuster.1593407308.txt.gz · Última modificación: por gato