VPN

Cómo instalar el servidor OpenVPN en Debian 10/9

Cómo instalar el servidor OpenVPN en Debian 10/9

Una red privada virtual (VPN) es un protocolo utilizado para agregar seguridad y privacidad a las redes privadas y públicas. Las VPN envían tráfico entre dos o más dispositivos en una red en un túnel encriptado. Una vez que se realiza una conexión VPN, todo el tráfico de la red está encriptado al final del cliente. Las VPN enmascaran su dirección IP para que sus acciones en línea sean prácticamente imposibles de rastrear.

Proporciona cifrado y anonimato, y protege sus actividades en línea, compras en línea, enviando correos electrónicos, y también ayuda a mantener su navegación web anónima.

En este tutorial, le mostraremos cómo instalar y configurar el servidor OpenVPN y el cliente en Debian 10 Server.

Empezando

Antes de comenzar, es una buena idea actualizar los paquetes de su sistema a la última versión.

Ejecute el siguiente comando para actualizar y actualizar los paquetes de su sistema:

APT -GET Update -y APT -GET UPDACCIDE -Y

Una vez que su sistema esté actualizado, puede proceder al siguiente paso.

Paso 1 - Habilitar el reenvío de IP

A continuación, deberá habilitar el reenvío de IP en su sistema. El reenvío de IP permite que su sistema operativo acepte los paquetes de red entrantes y lo reenvíe a la otra red si el destino está en otra red.

Para habilitar el reenvío de IP, editar el archivo /etc /sysctl.conf:

nano /etc /sysctl.confusión

Agregue la siguiente línea:

neto.IPv4.ip_forward = 1

Guarde el archivo cuando haya terminado. Luego, ejecute el siguiente comando para aplicar los cambios:

sysctl -p

Paso 2 - Instale el servidor OpenVPN

Por defecto, el paquete OpenVPN está disponible en el repositorio predeterminado de Debian 10. Puede instalarlo con el siguiente comando:

apt -get install openvpn -y

Una vez que se haya completado la instalación, también deberá copiar el directorio Easy-RSA para administrar los certificados SSL.

Ejecute el siguiente comando para copiar directorio fácil-RSA desde el directorio /usr /compartir al directorio /etc /openvpn.

cp -r/usr/share/easy -rsa/etc/openvpn/

Paso 3 - Autoridad de certificado de configuración

Easy RSA usa un conjunto de scripts para generar claves y certificados. Primero, deberá configurar la autoridad de certificado en su sistema.

Para hacerlo, cambie el directorio a/etc/openvpn/easy-rsa y cree un nuevo archivo de configuración de RSA fácil:

CD/etc/OpenVPN/Easy-RSA Nano Vars

Agregue las siguientes líneas, incluidos su país, ciudad y dirección de correo electrónico preferida:

set_var EASYRSA "$PWD" set_var EASYRSA_PKI "$EASYRSA/pki" set_var EASYRSA_DN "cn_only" set_var EASYRSA_REQ_COUNTRY "INDIA" set_var EASYRSA_REQ_PROVINCE "Gujrat" set_var EASYRSA_REQ_CITY "Ahmedabad" set_var EASYRSA_REQ_ORG "Tecadmin CERTIFICATE AUTHORITY" set_var EASYRSA_REQ_EMAIL "[email protected]" set_var EASYRSA_REQ_OU "Tecadmin EASY CA" set_var EASYRSA_KEY_SIZE 2048 set_var EASYRSA_ALGO rsa set_var EASYRSA_CA_EXPIRE 7500 set_var EASYRSA_CERT_EXPIRE 365 set_var EASYRSA_NS_SUPPORT "no" set_var EASYRSA_NS_COMMENT "Tecadmin CERTIFICATE AUTHORITY" set_var EASYRSA_EXT_DIR "$EASYRSA/x509-types" set_var EASYRSA_SSL_CONF "$EASYRSA/openssl-easyrsa.cnf "set_var easyrsa_digest" sha256 "

Guarde el archivo cuando haya terminado.

A continuación, ejecute el siguiente comando para iniciar el directorio PKI.

./Easyrsa Init-Pki

Producción:

Nota: Uso de la configuración fácil de RSA de: ./vars init-pki completo; Ahora puede crear una CA o solicitudes. Su recién creado PKI DIR es:/etc/openvpn/easy-rsa/pki

A continuación, cree los certificados CA con el siguiente comando:

./Easyrsa Build-Ca

Debe obtener la siguiente salida:

Nota: Uso de la configuración fácil de RSA de: ./Vars usando SSL: OpenSSL OpenSSL 1.1.1c FIPS 28 de mayo de 2019 Ingrese la nueva frase de pases de la clave CA: Reingrese la nueva frase de pases de la tecla CA: Generación de la clave privada RSA, 2048 bits Long Modulus (2 primos) ... ++++++ ... +++++ E IS 65537 (0x010001) No se puede cargar/etc/openvpn/easy-rsa/pki/.RND en RNG 140218549745472: Error: 2406F079: Generador de números aleatorios: rand_load_file: No se puede abrir el archivo: crypto/rand/randfile.C: 98: FileName =/etc/Openvpn/Easy-RSA/PKI/.RND está a punto de que se le pida que ingrese información que se incorporará a su solicitud de certificado. Lo que está a punto de ingresar es lo que se llama un nombre distinguido o un DN. Hay bastantes campos, pero puede dejar algo de blanco para algunos campos, habrá un valor predeterminado, si ingresa '.', el campo se dejará en blanco. ----- Nombre común (por ejemplo: nombre de usuario, host o servidor) [Easy-RSA CA]: CA Creation Complete y ahora puede importar y firmar solicitudes CERT. Su nuevo archivo de certificado de CA para la publicación está en:/etc/openvpn/easy-rsa/pki/ca.CRT

El comando anterior generará dos archivos llamados CA.Key y CA.CRT. Estos certificados se utilizarán para firmar los certificados de su servidor y clientes.

Paso 4: generar archivos de certificado de servidor

A continuación, deberá generar una solicitud de certificación KeyPair y Certificado para su servidor.

Ejecute el siguiente comando para generar la clave del servidor llamada Tecadmin-server:

./Easyrsa Gen-req tecadmin-server nopass

Debe obtener la siguiente salida:

Nota: Uso de la configuración fácil de RSA de: ./Vars usando SSL: OpenSSL OpenSSL 1.1.1c FIPS 28 de mayo de 2019 Generación de una clave privada RSA ... ++++++ ... ++++++ Escribir nueva clave privada para '/etc/openvpn/easy-rsa/pki/private/tecadmin-server.llave.Kolbtwty6a '------ Está a punto de que se le pida que ingrese la información que se incorporará a su solicitud de certificado. Lo que está a punto de ingresar es lo que se llama un nombre distinguido o un DN. Hay bastantes campos, pero puede dejar algo de blanco para algunos campos, habrá un valor predeterminado, si ingresa '.', el campo se dejará en blanco. ----- Nombre común (por ejemplo: nombre de usuario, host o servidor) [tecadmin-server]: solicitud de keypair y certificado completado. Sus archivos son: req:/etc/openvpn/easy-rsa/pki/reqs/tecadmin-server.Clave REQ:/etc/openvpn/easy-rsa/pki/private/tecadmin-server.llave

Paso 5: firme la tecla del servidor con CA

A continuación, deberá firmar la tecla Tecadmin-Merver utilizando su certificado CA:

Ejecute el siguiente comando para firmar la clave del servidor:

./Easyrsa Sign-Req Server Tecadmin-server

Debe obtener la siguiente salida:

Nota: Uso de la configuración fácil de RSA de: ./Vars usando SSL: OpenSSL OpenSSL 1.1.1C FIPS 28 de mayo de 2019 está a punto de firmar el siguiente certificado. Consulte los detalles que se muestran a continuación para obtener precisión. Tenga en cuenta que esta solicitud no ha sido verificada criptográficamente. Asegúrese de que provenga de una fuente confiable o que haya verificado la suma de verificación de la solicitud con el remitente. Solicitud del asunto, que se firmará como un certificado de servidor durante 365 días: Sujeto = CommonName = Tecadmin-Server Escriba la palabra 'Sí' para continuar, o cualquier otra entrada para abortar. Confirme los detalles de la solicitud: Sí usando la configuración de/etc/openvpn/easy-rsa/pki/safessl-easyrsa.CNF Ingrese la frase de pase para/etc/openvpn/easy-rsa/pki/private/ca.Clave: verifique que la solicitud coincida con la firma de la firma OK el nombre distinguido del sujeto es el siguiente nombre CommonName: ASN.1 12: El certificado 'Tecadmin-server' debe ser certificado hasta el 16 de febrero 05:00:50 2021 GMT (365 días) Escriba la base de datos con 1 nueva base de datos Certificado actualizado de base creado en:/etc/OpenVPN/Easy-RSA/ PKI/emitido/tecadmin-server.CRT

A continuación, verifique el archivo de certificado generado con el siguiente comando:

OpenSSL Verify -Cafile PKI/CA.CRT PKI/emitido/tecadmin-server.CRT

Si todo está bien, debe obtener la siguiente salida:

PKI/emitido/tecadmin-server.CRT: OK

A continuación, ejecute el siguiente comando para generar una fuerte clave Diffie-Hellman para usar para el intercambio de claves:

./Easyrsa Gen-DH

Debe obtener la siguiente salida:

Nota: Uso de la configuración fácil de RSA de: ./Vars usando SSL: OpenSSL OpenSSL 1.1.1c FIPS 28 de mayo de 2019 Generación de parámetros DH, 2048 bit Long Safe Prime, Generador 2 Esto llevará mucho tiempo ...+...+...+... ++*++*++*++*Parámetros DH del tamaño 2048 creado AT/ETC/OpenVPN/Easy-RSA/PKI/DH.pem

Después de crear todos los archivos de certificado, copielos en el directorio/etc/openvpn/server/:

CP PKI/CA.CRT/etc/Openvpn/Server/CP PKI/DH.PEM/ETC/OpenVPN/Server/CP PKI/Private/Tecadmin-Server.Key/etc/OpenVPN/Server/CP PKI/emitido/tecadmin-server.CRT/etc/OpenVPN/Server/

Paso 6: generar certificado de cliente y archivo de clave

A continuación, deberá generar la clave y el archivo de certificado para el cliente.

Primero, ejecute el siguiente comando para construir el archivo de clave del cliente:

./Easyrsa Gen-Req Client NOPass

Debería ver la siguiente salida:

Nota: Uso de la configuración fácil de RSA de: ./Vars usando SSL: OpenSSL OpenSSL 1.1.1c FIPS 28 de mayo de 2019 Generación de una clave privada RSA ... ++++++ ... ++++++ Escribir nueva clave privada para '/etc/openvpn/easy-rsa/pki/private/client.llave.E38Gutzhie '------ Está a punto de que se le solicite que ingrese la información que se incorporará a su solicitud de certificado. Lo que está a punto de ingresar es lo que se llama un nombre distinguido o un DN. Hay bastantes campos, pero puede dejar algo de blanco para algunos campos, habrá un valor predeterminado, si ingresa '.', el campo se dejará en blanco. ----- Nombre común (por ejemplo: nombre de usuario, host o servidor) [Cliente]: Solicitud de keypair y certificado completado. Sus archivos son: req:/etc/openvpn/easy-rsa/pki/reqs/client.clave REQ:/etc/openvpn/easy-rsa/pki/private/cliente.llave

A continuación, firme la clave del cliente usando su certificado CA:

./Cliente de cliente Easyrsa Sign-Req

Debe obtener la siguiente salida:

Nota: Uso de la configuración fácil de RSA de: ./Vars usando SSL: OpenSSL OpenSSL 1.1.1C FIPS 28 de mayo de 2019 está a punto de firmar el siguiente certificado. Consulte los detalles que se muestran a continuación para obtener precisión. Tenga en cuenta que esta solicitud no ha sido verificada criptográficamente. Asegúrese de que provenga de una fuente confiable o que haya verificado la suma de verificación de la solicitud con el remitente. Solicitud del asunto, que se firmará como un certificado de cliente durante 365 días: tema = CommonName = Cliente Escriba la palabra 'Sí' para continuar, o cualquier otra entrada para abortar. Confirme los detalles de la solicitud: Sí usando la configuración de/etc/openvpn/easy-rsa/pki/safessl-easyrsa.CNF Ingrese la frase de pase para/etc/openvpn/easy-rsa/pki/private/ca.Clave: verifique que la solicitud coincida con la firma de la firma OK el nombre distinguido del sujeto es el siguiente nombre CommonName: ASN.1 12: El certificado 'Cliente' debe certificarse hasta el 16 de febrero 05:11:19 2021 GMT (365 días) Escriba la base de datos con 1 nueva Entrada Base de datos Certificado actualizado creado en:/etc/openvpn/easy-rsa/pki/ emitido/cliente.CRT

A continuación, copie todo el certificado del cliente y el archivo de clave al directorio/etc/openvpn/client/:

CP PKI/CA.CRT/etc/OpenVPN/Client/CP PKI/emitido/cliente.CRT/etc/OpenVPN/Client/CP PKI/Private/Client.Key/etc/OpenVPN/Client/

Paso 7 - Configurar el servidor OpenVPN

A continuación, cree un nuevo archivo de configuración de OpenVPN dentro de/etc/OpenVPN/Directory:

nano/etc/openvpn/servidor.confusión

Agregue las siguientes líneas:

Puerto 1194 Proto UDP Dev Tun Ca/etc/Openvpn/Server/CA.CRT CERT/ETC/OpenVPN/Server/Tecadmin-Server.CRT Key/Etc/OpenVPN/Server/Tecadmin-Server.clave DH/ETC/OPERVPN/SERVER/DH.servidor PEM 10.8.0.0 255.255.255.0 Push "Redirect-Gateway Def1" Push "DHCP-option DNS 208.67.222.222 "Push" DHCP-option DNS 208.67.220.220 "duplicado-CN cifrado AES-256-CBC TLS-Min 1.2 tls-cipher tls-dhe-rsa-with-aes-256-gcm-sha384: tls-dhe-rsa-with-aes-256-cbc-sha256: tls-dhe-rsa-with-aes-128-gcm- SHA256: TLS-DHE-RSA-WITH-AES-128-CBC-SHA256 AUTH SHA512 Auth-Nocache Keepalive 20 60 Persist-Key Persist-Tun Compress LZ4 Daemon User Nadie Group Nogroup log-append/Var/Log/OpenVpn.verbo de registro 3

Guarde el archivo cuando haya terminado.

Paso 8 - Iniciar servicio OpenVPN

OpenVPN ahora está instalado y configurado. Ahora puede iniciar el servicio OpenVPN y habilitarlo para comenzar después del reinicio del sistema usando el siguiente comando:

SystemCTL Start [correo electrónico protegido] SystemCTL Habilitar [correo electrónico protegido]

Ejecute el siguiente comando para verificar el estado del servicio OpenVPN:

Estado de SystemCTL [Correo electrónico protegido]

Debe obtener la siguiente salida:

● [Correo electrónico protegido]-Conexión OpenVPN al servidor Cargado: cargado (/lib/systemd/sistema/[correo electrónico protegido]; habilitado; proveedor preestablecido: habilitado) Activo: activo (en ejecución) desde el viernes 2020-02-21 15:38: 31 UTC; Hace 4s Docs: Hombre: OpenVPN (8) https: // Community.OpenVPN.Net/OpenVPN/Wiki/OpenVPN24ManPage https: // Comunidad.OpenVPN.Net/OpenVPN/Wiki/Howto Pid Main: 3044 (OpenVPN) Estado: "Secuencia de inicialización completada" Tareas: 1 (Límite: 2359) Memoria: 1.3M CGROUP: /SISTEMA.Slice/System-Openvpn.Slice/[correo electrónico protegido] └─3044/usr/sbin/openvpn --daemon ovpn-server--status/run/openvpn/servidor.Estado 10 -cd/etc/OpenVPN - -Config/etc/OpenVPN/Server. 21 de febrero 15:38:31 Debian10 Systemd [1]: Iniciar conexión OpenVPN al servidor ... 21 de febrero 15:38:31 Debian10 Systemd [1]: Comenzó la conexión OpenVPN al servidor.

Una vez que el servicio OpenVPN comenzó correctamente, creará una nueva interfaz de red llamada TUN0. Puede verificarlo con el siguiente comando:

ip un show tun0

Debe obtener la nueva interfaz TUN0 en la siguiente salida:

59: TUN0: MTU 1500 QDISC PFIFO_FAST State Desconocido Grupo predeterminado QLEN 100 LINK/NINGUNO INET 10.8.0.1 par 10.8.0.2/32 SCOPE GLOBAL TUN0 VALEN_LFT Forever Preferred_lft Forever Inet6 Fe80 :: 90: E3C0: 5F1A: 27F5/64 Link de alcance PRIVACIÓN ESTÁN

Paso 9 - Generar la configuración del cliente

A continuación, cree un nuevo archivo de configuración del cliente OpenVPN llamado Cliente.ovpn. Requerirá que este archivo conecte su servidor OpenVPN desde el sistema del cliente.

nano/etc/openvpn/cliente/cliente.ovpn

Agregue las siguientes líneas:

Cliente Dev Tun Proto UDP Remoto VPN-Server-IP 1194 CA CA.Cliente CRT Cert.Cliente CRT Key.Key Cipher AES-256-CBC Auth SHA512 Auth-Nocache TLS-Version-Min 1.2 tls-cipher tls-dhe-rsa-with-aes-256-gcm-sha384: tls-dhe-rsa-with-aes-256-cbc-sha256: tls-dhe-rsa-with-aes-128-gcm- SHA256: TLS-DHE-RSA-WITH-AES-128-CBC-SHA256 Resetrre Infinite Compress LZ4 Nobind Persist-Key Persist-Tun Mute-Replay-Warnings Verbo 3

Guarde el archivo cuando haya terminado.

Paso 10 - Configurar enrutamiento usando UFW

Por defecto, el firewall UFW no está instalado en Debian 10. Puede instalarlo con el siguiente comando:

apt -get install uFW -y

Después de instalar el firewall de UFW, deberá agregar reglas de firewall para habilitar el disfrazamiento para que sus clientes VPN tengan acceso a Internet.

Primero, deberá configurar UFW para aceptar los paquetes reenviados. Puede hacerlo editando el archivo/etc/default/UFW:

nano/etc/default/UFW

Cambie la siguiente línea:

Default_forward_policy = "aceptar"

Guarde y cierre el archivo. Luego, abra el/etc/UFW/antes.Archivo de reglas:

nano/etc/uFW/antes.normas

Agregue las siguientes líneas al final del archivo:

*nat: posterior a aceptar [0: 0] -A POSTROUTING -S 10.8.0.6/16 -O ENS3 -J MASQUERADE COMISM

Guarde el archivo cuando haya terminado.

Nota: Reemplace ENS3 con el nombre de su interfaz de red pública.

A continuación, permita el puerto OpenVPN predeterminado 1194 y abre el siguiente comando:

UFW Permitir 1194/UDP UFW Permitir OpenSsh

A continuación, vuelva a cargar el firewall UFW usando el siguiente comando:

UFW Disable UFW Enable

Paso 11: conecte OpenVPN desde el cliente

Primero, inicie sesión en la máquina del cliente e instale el paquete OpenVPN con el siguiente comando:

apt -get install openvpn -y

A continuación, deberá descargar los archivos de configuración del cliente OpenVPN desde el servidor OpenVPN a la máquina del cliente.

En la máquina del cliente, ejecute el siguiente comando para descargar todo el archivo de configuración del cliente:

SCP -R [correo electrónico protegido]:/etc/openvpn/client .

Una vez descargado, cambie el directorio al cliente y ejecute el siguiente comando para conectarse al servidor OpenVPN:

CD Client OpenVPN -CLIENTE DE CONFIG.ovpn

Debería ver la siguiente salida:

Viernes 21 de febrero 15:39:18 2020 TCP/UDP: Preservación de la dirección remota recientemente utilizada: [AF_INET] 69.87.218.145: 1194 viernes 21 de febrero 15:39:18 2020 Buffers de socket: R = [212992-> 212992] S = [212992-> 212992] viernes 21 de febrero 15:39:18 2020 UDP Link Local: (no está atado) FeB feB FEB 21 15:39:18 2020 UDP Link Remote: [AF_INET] 69.87.218.145: 1194 viernes 21 de febrero 15:39:18 2020 TLS: Paquete inicial de [AF_INET] 69.87.218.145: 1194, Sid = 6d27e1cb 524bd8cd viernes 21 de febrero 15:39:18 2020 Verificar OK: profundidad = 1, CN = Easy-RSA Ca Fri 21 de febrero 15:39:18 2020 Verify OK: DERVIL servidor viernes 21 de febrero 15:39:18 2020 canal de control: TLSV1.3, cifrado TLSV1.3 TLS_AES_256_GCM_SHA384, 2048 Bit RSA Fri 21 de febrero 15:39:18 2020 [Tecadmin-server] Conexión pares iniciada con [AF_INET] 69.87.218.145: 1194 viernes 21 de febrero 15:39:19 2020 enviado control [tecadminserver]: 'push_request' (status = 1) viernes 21 de febrero 15:39:19 2020 Push: Mensaje de control recibido: 'push_reply, redirect-gateway def1 , DHCP-option DNS 208.67.222.222, DHCP-option DNS 208.67.220.220, Ruta 10.8.0.1, Topology Net30, Ping 20, Ping-Restart 60, Ifconfig 10.8.0.6 10.8.0.5, Peer-ID 0, Cipher AES-256-GCM 'FRI 21 de febrero 15:39:19 2020 Opciones Importar: Temporizadores y/o Tiempos de espera modificados FRI 21 de febrero 15:39:19 2020 Importación de opciones: --Ifconfig/Up Opciones up Modificado de viernes 21 de febrero 15:39:19 2020 Opciones Importación: Opciones de ruta Modificadas

Después de una conexión exitosa, OpenVPN asignará una dirección IP a su sistema. Puede verificarlo con el siguiente comando:

ip un show tun0

Producción:

4: TUN0: MTU 1500 QDISC FQ_CODEL STATE GRUPO Desconocido Predeterminado Qlen 100 Link/Ninguno INET 10.8.0.6 par 10.8.0.5/32 SCOPE GLOBAL TUN0 VALID_LFT FOREVENTE Prefered_lft Forever Inet6 Fe80 :: 7226: 57B1: F101: 313B/64 Link de alcance Estable Privacy Valid_lft Forever_lft Forever Forever

También puede verificar el registro del servidor OpenVPN para verificar el estado de la conexión:

Tail -f/var/log/openvpn.registro

Debería ver la siguiente salida:

Viernes 21 de febrero 15:39:18 2020 45.58.34.83: 37445 canal de control: TLSV1.3, cifrado TLSV1.3 TLS_AES_256_GCM_SHA384, 2048 bit rsa viernes 21 de febrero 15:39:18 2020 45.58.34.83: 37445 [cliente] Conexión pares iniciada con [AF_INET] 45.58.34.83: 37445 viernes 21 de febrero 15:39:18 2020 Cliente/45.58.34.83: 37445 multi_sva: grupo devuelto ipv4 = 10.8.0.6, ipv6 = (no habilitado) viernes 21 de febrero 15:39:18 2020 Cliente/45.58.34.83: 37445 multi: aprender: 10.8.0.6 -> Cliente/45.58.34.83: 37445 viernes 21 de febrero 15:39:18 2020 Cliente/45.58.34.83: 37445 Multi: IP virtual primaria para el cliente/45.58.34.83: 37445: 10.8.0.6 viernes 21 de febrero 15:39:19 2020 Cliente/45.58.34.83: 37445 Push: Mensaje de control recibido: 'Push_request' Fri 21 de febrero 15:39:19 2020 Cliente/45.58.34.83: 37445 enviado control [cliente]: 'push_reply, redirect-gateway def1, dhcp-option dns 208.67.222.222, DHCP-option DNS 208.67.220.220, Ruta 10.8.0.1, Topology Net30, Ping 20, Ping-Restart 60, Ifconfig 10.8.0.6 10.8.0.5, Peer-ID 0, Cipher AES-256-GCM '(Status = 1) Vie 21 de febrero 15:39:19 2020 Cliente/45.58.34.83: 37445 Canal de datos: Uso de cifrado negociado 'AES-256-GCM' Fri 21 de febrero 15:39:19 2020 Cliente/45.58.34.83: 37445 Canal de datos saliente: cifrado 'AES-256-GCM' inicializado con una llave de 256 bits de febrero 21 de febrero 15:39:19 2020 Cliente/45.58.34.83: 37445 Canal de datos entrantes: cifrado 'AES-256-GCM' inicializado con una tecla de 256 bits

Conclusión

Felicidades! Ha instalado y configurado correctamente el servidor OpenVPN y el cliente en Debian 10 Server. Ahora puede acceder a Internet de forma segura y proteger su identidad.