Instalar herramientas

apt install openvpn easyrsa

Ajustar el reenvío de paquetes

echo 1 > /proc/sys/net/ipv4/ip_forward

En /etc/sysctl.conf descomentar la linea que contiene

net.ipv4.ip_forward=1

Crear espacio de trabajo para red01

mkdir /etc/openvpn/server/red01
mkdir /etc/openvpn/client/red01

Preparar la autoridad certificadora de red01

cp -r /usr/share/easy-rsa/ /etc/openvpn/server/red01/autoridad
cd /etc/openvpn/server/red01/autoridad
cp vars.example vars

Hay que editar las variables para identificar la autoridad de la priemra red

nano vars

Encontrar donde están estas variables

#set_var EASYRSA_REQ_COUNTRY    "US"
#set_var EASYRSA_REQ_PROVINCE   "California"
#set_var EASYRSA_REQ_CITY       "San Francisco"
#set_var EASYRSA_REQ_ORG        "Copyleft Certificate Co"
#set_var EASYRSA_REQ_EMAIL      "me@example.net"
#set_var EASYRSA_REQ_OU         "My Organizational Unit"

Habrá que descomentarlas y modificarlas a su gusto

set_var EASYRSA_REQ_COUNTRY     "SV"
set_var EASYRSA_REQ_PROVINCE    "SanSalvador"
set_var EASYRSA_REQ_CITY        "San Salvador"
set_var EASYRSA_REQ_ORG         "ChonteSV"
set_var EASYRSA_REQ_EMAIL       "chirote@chonte.sv"
set_var EASYRSA_REQ_OU          "vpn 01"

Se inicializa la autoridad certificadora

./easyrsa init-pki
./easyrsa build-ca nopass

Preguntará que nombre desea para la autoridad, pude ponerle lo que se le ocurra, en este ejemplo ChonteSV_vpn_1

Common Name (eg: your user, host, or server name) [Easy-RSA CA]:ChonteSV_vpn_1

Luego se generan los certificados para este primer servicio, primero la solicitud de firma, pedirá un nombre para el servidor que solicita pero este fue pasado por medio del comando, solo basta darle Enter

./easyrsa gen-req "ChonteSV_vpn_1" server nopass

Luego habrá que firmar la solicitud del servidor, pedirá una confirmación de la firma, hay que introducir yes y dar Enter

./easyrsa sign-req server "ChonteSV_vpn_1"

Se crea una llave de intercambio Diffie-Hellman

./easyrsa gen-dh

Y también una firma HMAC

openvpn --genkey --secret ta.key

Lo siguiente es juntar todo lo del servidor ordenadamente

cp ta.key /etc/openvpn/server/red01/ChonteSV_vpn_1-hmac-ta.key
cp pki/ca.crt /etc/openvpn/server/red01/ChonteSV_vpn_1-ca.crt
cp pki/private/ChonteSV_vpn_1.key /etc/openvpn/server/red01/
cp pki/issued/ChonteSV_vpn_1.crt /etc/openvpn/server/red01/
cp pki/dh.pem /etc/openvpn/server/red01/ChonteSV_vpn_1-dh.pem

Para cada cliente que se deba conectar hay que crear certificados, lo cual puede ser incomodo pero es necesario por seguridad, pero depende de la configuración del servicio se puede usar un solo certificado para todos equipos que se conectarán… esto depende mas de sus escenarios, en este caso se creará para un cliente llamado chonte001_vpn_1

./easyrsa build-client-full "chonte001_vpn_1" nopass

Y se pone todo en orden

cp pki/ca.crt /etc/openvpn/client/red01/ChonteV_vpn_1-ca.crt
cp pki/issued/chonte001_vpn_1.crt /etc/openvpn/client/red01/
cp pki/private/chonte001_vpn_1.key /etc/openvpn/client/red01/