Proyectos

Herramientas de usuario

Herramientas del sitio

Traza:
proyectos:multivpnbuster

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
proyectos:multivpnbuster [2020/07/03 18:32] gatoproyectos:multivpnbuster [2022/05/31 00:41] (actual) – [Fuentes] manuel.floresv
Línea 1: Línea 1:
 ====== Varios servicios de VPN en un solo servidor Buster ====== ====== Varios servicios de VPN en un solo servidor Buster ======
  
-Instalar herramientas+===== Instalar herramientas ===== 
 <code> <code>
 apt install openvpn easy-rsa apt install openvpn easy-rsa
 </code> </code>
 +===== Configurar la red a Pasarela =====
 Ajustar el reenvío de paquetes Ajustar el reenvío de paquetes
 <code> <code>
Línea 13: Línea 15:
 net.ipv4.ip_forward=1 net.ipv4.ip_forward=1
 </code> </code>
- +===== Configuración de VPN-1 ===== 
-===== Servicio 1 con red 10.19.80.0/24 en puerto 1194=====+==== Servicio 1 con red 10.19.80.0/24 en puerto 1194====
  
 Crear espacio de trabajo para red01 Crear espacio de trabajo para red01
Línea 23: Línea 25:
 Preparar la autoridad certificadora de red01 Preparar la autoridad certificadora de red01
 <code> <code>
-cp -r /usr/share/easy-rsa/ /etc/openvpn/server/red01/autoridad+make-cadir autoridad
 cd /etc/openvpn/server/red01/autoridad cd /etc/openvpn/server/red01/autoridad
-cp vars.example vars 
 </code> </code>
 Hay que editar las variables para identificar la autoridad de la primera red Hay que editar las variables para identificar la autoridad de la primera red
Línea 68: Línea 69:
 Y también una firma HMAC Y también una firma HMAC
 <code> <code>
-openvpn --genkey --secret ta.key+openvpn --genkey --genkey secret ta.key
 </code> </code>
 Lo siguiente es juntar todo lo del servidor ordenadamente Lo siguiente es juntar todo lo del servidor ordenadamente
Línea 78: Línea 79:
 cp pki/dh.pem /etc/openvpn/server/red01/ChonteSV_vpn_1-dh.pem cp pki/dh.pem /etc/openvpn/server/red01/ChonteSV_vpn_1-dh.pem
 </code> </code>
-Para cada cliente que se deba conectar hay que crear certificados, lo cual puede ser incomodo pero es necesario por seguridad, pero depende de la configuración del servicio se puede usar un solo certificado para todos equipos que se conectarán... esto depende mas de sus escenarios, en este caso se creará para un cliente llamado **chonte001_vpn_1** +
-<code> +
-./easyrsa build-client-full "chonte001_vpn_1" nopass +
-</code> +
-Y se pone todo en orden del para el/los cliente/s +
-<code> +
-cp pki/issued/chonte001_vpn_1.crt /etc/openvpn/server/red01/clientes/ +
-cp pki/private/chonte001_vpn_1.key /etc/openvpn/server/red01/clientes/ +
-</code>+
 Después de tanto trabajo para los archivos previos necesarios para el servidor, hay que crear la configuración del primer servicio Después de tanto trabajo para los archivos previos necesarios para el servidor, hay que crear la configuración del primer servicio
 <code> <code>
Línea 93: Línea 86:
 </code> </code>
 Y le llenamos con la siguiente configuración Y le llenamos con la siguiente configuración
-<code>+<code bash>
 port 1194 port 1194
 proto tcp proto tcp
Línea 118: Línea 111:
 # Algunos parámetros para el cliente # Algunos parámetros para el cliente
 keepalive 10 120 keepalive 10 120
-cipher AES-256-CBC+cipher AES-256-GCM
 auth SHA256 auth SHA256
 user nobody user nobody
Línea 142: Línea 135:
 systemctl status openvpn@servicio1 systemctl status openvpn@servicio1
 </code> </code>
 +
 +==== Generar Certificados de Clientes ====
 +Para cada cliente que se deba conectar hay que crear certificados, lo cual puede ser incomodo pero es necesario por seguridad, pero depende de la configuración del servicio se puede usar un solo certificado para todos equipos que se conectarán... esto depende mas de sus escenarios, en este caso se creará para un cliente llamado **chonte001_vpn_1**
 +<code>
 +./easyrsa build-client-full "chonte001_vpn_1" nopass
 +</code>
 +Y se pone todo en orden del para el/los cliente/s
 +<code>
 +cp pki/issued/chonte001_vpn_1.crt /etc/openvpn/server/red01/clientes/
 +cp pki/private/chonte001_vpn_1.key /etc/openvpn/server/red01/clientes/
 +</code>
 +
 +
 Luego se prepara el archivo a compartir con los clientes, para lo cual y por facilidades futuras tendremos un archivo base para completar Luego se prepara el archivo a compartir con los clientes, para lo cual y por facilidades futuras tendremos un archivo base para completar
 <code> <code>
Línea 161: Línea 167:
 tls-version-min 1.0 tls-version-min 1.0
 remote-cert-tls server remote-cert-tls server
-cipher AES-256-CBC+cipher AES-256-GCM
 auth SHA256 auth SHA256
 comp-lzo adaptive comp-lzo adaptive
Línea 177: Línea 183:
 SERVICIO="red01" SERVICIO="red01"
 DIRECTORIO="/etc/openvpn/server/${SERVICIO}" DIRECTORIO="/etc/openvpn/server/${SERVICIO}"
-SERVIDOR="ChoteSV_vpn_1"+SERVIDOR="ChonteSV_vpn_1"
 if  [ $# -ne 1 ]; then if  [ $# -ne 1 ]; then
   #Avisar que se rquieren mas parámetros   #Avisar que se rquieren mas parámetros
Línea 234: Línea 240:
 </code> </code>
  
-===== Servicio 2 con red 10.19.90.0/24 en puerto 1195=====+===== Configuración de VPN-2 ===== 
 + 
 +==== Servicio 2 con red 10.19.90.0/24 en puerto 1195====
  
 Todo es repetir lo echo en el servicio anterior pero para una red diferente, primero hay que crear el espacio de trabajo para red02 Todo es repetir lo echo en el servicio anterior pero para una red diferente, primero hay que crear el espacio de trabajo para red02
Línea 337: Línea 345:
 # Algunos parámetros para el cliente # Algunos parámetros para el cliente
 keepalive 10 120 keepalive 10 120
-cipher AES-256-CBC+cipher AES-256-GCM
 auth SHA256 auth SHA256
 user nobody user nobody
Línea 361: Línea 369:
 systemctl status openvpn@servicio2 systemctl status openvpn@servicio2
 </code> </code>
 +==== Generar Certificados de Clientes ====
 Luego se prepara el archivo a compartir con los clientes, para lo cual y por facilidades futuras tendremos un archivo base para completar Luego se prepara el archivo a compartir con los clientes, para lo cual y por facilidades futuras tendremos un archivo base para completar
 <code> <code>
Línea 380: Línea 389:
 tls-version-min 1.0 tls-version-min 1.0
 remote-cert-tls server remote-cert-tls server
-cipher AES-256-CBC+cipher AES-256-GCM
 auth SHA256 auth SHA256
 comp-lzo adaptive comp-lzo adaptive
Línea 396: Línea 405:
 SERVICIO="red02" SERVICIO="red02"
 DIRECTORIO="/etc/openvpn/server/${SERVICIO}" DIRECTORIO="/etc/openvpn/server/${SERVICIO}"
-SERVIDOR="ChoteSV_vpn_2"+SERVIDOR="ChonteSV_vpn_2"
 if  [ $# -ne 1 ]; then if  [ $# -ne 1 ]; then
   #Avisar que se rquieren mas parámetros   #Avisar que se rquieren mas parámetros
Línea 459: Línea 468:
  
 ===== Fuentes ===== ===== Fuentes =====
-https://www.howtoforge.com/how-to-install-and-configure-openvpn-server-on-debian-10/ +  * https://www.howtoforge.com/how-to-install-and-configure-openvpn-server-on-debian-10/ 
-https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10 +  https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10 
-https://wiki.archlinux.org/index.php/Easy-RSA +  https://wiki.archlinux.org/index.php/Easy-RSA 
-https://wiki.gentoo.org/wiki/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scripts +  https://wiki.gentoo.org/wiki/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scripts 
-https://www.hugeserver.com/kb/openvpn-multiple-ports/ +  https://www.hugeserver.com/kb/openvpn-multiple-ports/ 
-http://systemadmin.es/2013/01/mismo-certificado-servidor-openvpn+  http://systemadmin.es/2013/01/mismo-certificado-servidor-openvpn
  
  
  
proyectos/multivpnbuster.1593801156.txt.gz · Última modificación: por gato