Actividad 1 Instalación Openvpn en Ubuntu

Server 16.04

Preparación Previa a la Instalación

En esta práctica prepararemos en primer lugar un server Ubuntu 16.04 que
denominaremos chaalvjos con la ip 192.168.56.12
 Instalación OpenVPN

Una vez lista la máquina la clonaremos y procederemos a instalar el paquete

OpenVPN mediante los comandos Update e Install

Configurar Directorio de CA

Una instalados los paquetes, tendremos que configurar nuestra propia autoridad de
certificación simple (CA).

Para empezar, podemos copiar el directorio de plantillas easy-rsa en nuestro

directorio usando make-cadir.

Make-cadir ≈/openvpn

CD ≈/openvpn
 Configurar las Variables de CA

Una vez creado el directorio, continuaremos editando el archivo vars dentro del
directorio y buscaremos la información que establece los valores predeterminados de
campo para los nuevos certifcados según nuestras preferencias y en export
KEY_NAME ponemos en este caso nuestro usuario (Chaalvjos).
 Construyendo el Certificado de Autoridad

Una vez establecidos los parametros del archivo vars, usaremos las variables de easy-
rsa para crear nuestro certificado de autoridad

Y nos aseguraremos que operaremos en un entorno limpio mediante ./clean-all y

luego crear nuestro certificado de autoridad mediante ./build-ca. Dado que editamos
anteriormente las opciones de Vars, los valores se rellenaran por defecto.

Una vez creado un certificado de autentificación que se puede utilizar crear los
archivos que necesitamos.
 Creando los certificados del servidor, llaves y archivos
cifrados

Una vez creado el certificado de autentificación procederemos a crear el del servidor

OpenVPN y crearemos las llaves mediante ./build-key-server.conf
Una vez más apareceran los valores predeterminados que tendremos que añadir, sino
estna ya añadidos y firmar y confirmar los certificados.

A continuación generaremos una llave fuerte dh (Diffie-Hellman) para utilizar

durante el intercambio de lalves con el comando ./build dh

Luego generaremos una forma HMAC para mejorar la integridad del servidor:
 Configurar el Servicio OpenVPN

Podemos comenzar a configurar el servicio OpenVPN utilizando las credenciales y

los archivos que hemos generado.

Para comenzar, necesitamos copiar los archivos que necesitamos al directorio de

configuración de /etc/openvpn.

A continuación nuestros archivos están en su lugar, podremos modificar las siguientes

líneas del archivo de configuración del servidor /etc/openvpn

En la sección HMAC buscando la directiva tls-auth, añadimos el parametro key-

direction ajustandolo al 0

A continuación buscamos el cifrado criptográfico buscando las líneas comentadas de

cipher y añadimos AES-128-CBC debido a que ofrece un buen nivel de cifrado.

A continuación ajustaremos el puerto y protocolo en las líneas port y y protocolo

 Ajuste de configuración de Red del Servidor

Una vez configurados los parametros anteriores del servidor openvpn, pues
procederemos a configurar la red del servidor.

Para esto lo haremos modificando el archivo /etc/sysctl.conf

Habilitaremos la línea de retransmisión de paquetes con net.ip4.ip_forward

A continuación ajustaremos los valores actuales introducidos con sudo sysctl -p

Una vez establecido el forward, habitaremos las conexiones con el masquerade. Lo
primero será localizar el nombre de nuestra interfaz de red para lo cúal lol haremos
con el comando ip route | grep default y luego editaremos el archivo nano
/etc/ufw/before.rules para establecer la directiva predeterminada para controlar la
alteración de paquetes a medida que dejan el dispositivo externo en el cortafuegos del
Cliente1 cuya ip es 192.168.56.6
 Iniciar y Habilitar el Servicio OpenVPN

Finalmente estamos listos para iniciar el servicio OpenVPN en nuestro servidor. Podemos
hacer esto usando systemd start

sudo systemctl start openvpn@chaalvjos (para iniciar servicio)

sudo systemctl status openvpn@chaalvjos (ver el estado del servidor)

 Crear Infraestructura de Usuario

Una vez configurado nuestro servidor openvpn, nuestro próximo paso, será
configurar crear en el cliente archivos de configuración para este.

Primero crearemos una estructura de directorios en su directorio personal para

almacenar archivos mediante mkdir y cambiar sus permisos para bloquear el acceso,
debido a que tendremos las llaves aquí incrustadas.
A continuación copiaremos una configuración de ejemplo para usarla de base base en
nuestro directorio y luego abriremos nuestro archivo con nuestro editor de texto para
configurarlo.

A continuación editaremos el puerto y la ip del servidor openvpn que serán

192.168.56.12 y el puerto 1194 que será el de udp
Establecemos protocolo UDP, quitando las comillas de por medio que se nos pasaron
antes por alto porque sino se omite la configuración.

Luego configuramos los apartados group y user para dejarlos con el estado de nobody
Luego tenemos que buscar las directivas que establecen ca, cert y key pero las
dejaremos omitidas ya que agregaremos las llaves y los certs en el propio archivo.

A continuación añadiremos la configuración de cifrado introducida en el servidor

openvpn y la auth.
Ademas de añadir en el archivo la directiva key-direction 1 para poder trabajar con el
servidor.

Para acabar de finalizar con la creación de infraestructura de usuario, crearemos un

script de generador de configuración automatizada de usuario.
Y una vez creado, procederemos a darle permisos de ejecución con chmod.

Ahora solo sería necesario ejecutar el script y poder crear una configuración para un
cliente denominado cliente1, tras ejecutar el script, si todo a ido bien, creará un
archivo ovpn de configuración en /client-configs/files
 Instalar Configuración de Cliente
Tras todos los pasos realizados anteriormente, ya tendriamos listo casi todo, ahora
sería necesario instalar la configuración de cliente, para lo cúal comenzaremos
instalando openvpn.

Luego comprobamos que traiga el script de update resolv.conf al instalarse para evitar
problemas con los dns

Y ahora para poder conectarse al servidor solo haría falta conectarlo mediante sudo
openvpn –config client1.ovpn (pero al final no me conecto pero al menos se intento )