SERVIDOR OPENVPN EN UBUNTU 14.04 (TRUSTY TAHR )

PASO 1: DESCARGAR E INSTALAR EL SISTEMA OPERATIVO UBUNTUEntramos al navegador Mozilla Firefox y escribimos en google descargar Ubuntu, una vez entrado en la pgina descargamos directo despus procedemos a instalar el sistema operativo en la PC que lo utilizaremos como servidor.

Figura A.1: Pagina de descarga de Ubuntu

Figura A.2: Instalacin de Ubuntu en la laptop

PASO 2: ACTUALIZAR PAQUETES DE UBUNTU Actualizaremos los paquetes que son necesarios con el comando el sudo apt-get install update y el sudo apt-get aptitude para luego proceder a instalar el servidor.

Figura A.3: Actualizacin de paquete Necesarios de Ubuntu

PASO 3: INSTALACIN DEL SERVIDOR OPENVPN Y EASY- RSAPara instalar el servidor OpenVPN con easy-rsa que es una utilidad que nos facilita la creacin de los certificados. Tenemos que abrir el terminal para luego teclear el siguiente comando:sudo apt-get install -y openvpn esasy-rsa

.

Figura A.4: Instalando el OPENVPN con EASY-RSA

PASO 4: COPIAMOS LOS SCRIPTS DE CONFIGURACION A LA CARPETA OPENVPNAhora tenemos que copiar los scripts de configuracin de OpenVPN, que se hallan en la ubicacin /usr/share/doc/openvpn/examples/sample-config-files/ a la siguiente ubicacion /etc/openvpncp -R server.conf.gz /etc/openvpn/

Figura A.5: Copiamos el server.conf.gz a la carpeta OPENVPN

Tambin copiamos los scripts de configuracin del easy-rsa a la ubicacin /etc/openvpn.

cp -R easy-rsa/ /etc/openvpn

Figura A.6: Copiamos toda la carpeta Easy-rsa a la carpeta OPENVPN

PASO 5: EDITAR Y MODIFICACION VARS

Ya ubicado la carpeta easy-rsa dentro de OPENVPN entramos en ella y seleccionamos vars y modificamos con este comando: nano vars

.

Figura A.7: Modificamos el export KEY_CONFIG para generar los encriptados de los certificados

Figura A.8: Modificamos el export KEY de 1024 al 2048 para generar el tamao del encriptado de las claves.

Figura A.9: Modificamos los datos de la autoridad certificadora y guardamos.

PASO 6: ASIGNACION DE PERMISOS PARA LA CARPETA EASY-RSA

Despus de copiar ya los scripts y modificado el vars y guardado ahora le asignamos todos los permisos a la carpeta easy-rsa que est situada dentro de las carpetas /etc/openvpn/easy-rsa con el comando :

sudo chmod 777 easy-rsa/*

Figura A.10: Permisos dado a la carpeta Easy-rsa donde los certificados las claves se encuentran.

PASO 7: EJECUTAR VARS Ya dado los permisos a la carpeta Easy-rsa donde se encuentra vars ya guardamos los cambios. Ahora tenemos que exportar sus variables ejecutando el siguiente comando: . ./vars

Figura A.11: ejecucin de . ./vars para exportar las nuevas modificaciones de vars.

PASO 8: GENERAR LOS CERTIFICADOS CAEmpezamos a crear el certificado y la clave privada de nuestra propia autoridad certificadora. Para ello tenemos que teclear el siguiente comando en la terminal:./build-caDurante el proceso de creacin se les har una serie de preguntas para incorporar informacin dentro del certificado que se crear. Como anteriormente hemos editado el fichero vars ahora solo nos tenemos que limitar a aceptar el valor por defecto de las preguntas que nos hacen.Al terminar el proceso dentro de la ubicacin /etc/openvpn/easy-rsa/keys se ha creado ca.crt y ca.key:ca.crt: Es el certificado raz pblico de la autoridad de certificacin (CA)ca.key: Este fichero contiene la clave privada de la autoridad de certificacin (CA). Este archivo debe mantenerse protegido y no debe estar al alcance de terceros.

Figura A.12: Creacin de la autoridad certificadora con ./build-ca

PASO 9: CREACION DEL CERTIFICADO PARA EL SERVIDOR OPENVPNYa tenemos todo listo para poder crear el certificado y clave de nuestro servidor. Se generar los siguiente servidorvpn.crt, servidorvpn.key, servidorvpn.csr Para ello introducimos el siguiente comando en la terminal:./build-key-server servidorvpn

Una vez introducido este comando se nos har una serie de preguntas. Simplemente tienen que contestar el valor por defecto ya que anteriormente hemos modificado el archivo vars.Al terminar el proceso dentro de la ubicacin /etc/openvpn/easy-rsa/keys se habrn creado los siguientes archivos:servidorvpn.key: Este fichero contiene la clave privada del servidor. Este archivo no debe estar al alcance de nadie.servidorvpn.crt: Este fichero corresponde al certificado pblico del servidor.servidorvpn.csr: Este archivo es la peticin de certificado que se enva a la autoridad de certificacin. Mediante la informacin que contiene el archivo .csr, la autoridad de certificacin podr realizar el certificado del servidor una vez hayan realizado las comprobaciones de seguridad pertinentes.Una vez creado el certificado y la clave del servidor la pantalla de vuestro ordenador tiene que presentar el siguiente estado:

Figura A.13: creacin del certificado, las claves del servidor OpenVPN con ./build-key-server y escribir los valores por defecto que se modific en vars.

PASO 10: CREACION DEL CERTIFICADO PARA EL CLIENTE OPENVPNEl siguiente paso es crear los certificados y las claves de los clientes que se podrn conectar al servidor VPN. Para ello tenemos que teclear el siguiente comando en la terminal:

./build-key clientevpn

Una vez introducido este comando se nos har una serie de preguntas. Simplemente tienen que contestar el valor por defecto ya que anteriormente hemos editado el fichero vars.Al terminar el proceso dentro de la ubicacin /etc/openvpn/easy-rsa/keys se habrn creado los siguientes archivosclientevpn.key: Este fichero contiene la clave privada del cliente. Este archivo no debe estar al alcance de nadie.clientevpn.crt: Este fichero corresponde corresponde al certificado pblico del servidor.clientevpn.csr: Este archivo es la peticin de certificado que es enva a la autoridad de certificacin. Mediante la informacin contenida en el archivo .csr, la autoridad de certificacin podr realizar el certificado del cliente una vez hayan realizado las comprobaciones de seguridad pertinentes.Nota: El procedimiento de generacin de clientes se deber repetir tantas veces como clientes queris que tenga el servidor OpenVPN.Una vez creado el certificado y la clave del cliente, la pantalla de vuestro ordenador tiene que presentar el siguiente estado:

Figura A.14: creacin del certificado, las claves del servidor OpenVPN con ./build-key y escribir los valores por defecto que se modific en vars.

PASO 10: CREACION DE LA ENCRIPTACION DEL DIFFIE HELLMAN La creacin del diffie Hellman es para tener mayor seguridad de encriptacin en nuestra clave, certificado con siguiente comando en el terminal../build-dh

Figura A.15: con ./build-dh creamos el diffie Hellman para tener mayor seguridad de encriptacin.

PASO 11: FORTIFICAR LA SEGURIDAD DEL SERVIDOR OPENVPN CON TLS-AUTH

Ahora generamos otra clave. Esta clave nos servir para agregar soporte para usar la autentificacin TLS y de este modo fortificar la seguridad del servidor VPN. Para generar la clave para poder fortificar el servidor se tiene que introducir el siguiente comando en la terminal:cd /etc/openvpn/easy-rsa/keysUna vez hemos accedido a la ubicacin /etc/opnevpn/easy-rsa/keys tecleamos el siguiente comando:openvpn --genkey --secret ta.keyJusto al ejecutar el comando, Como se puede ver en la captura de pantalla, se generar una clave con el nombre ta.key en la misma ubicacin dnde hemos aplicado el comando.

Figura A.16: Muestra la autenticacin del TLS para fortificar ms la seguridad.

PASO 12: PERSIMOS A LAS CARPETA KEYS

Generamos el permiso correspondiente a la carpeta keys para que el servidor se inicie bien sin ninguna falla o error.

sudo chmod -R 777 keys/

Figura A.17: Generamos los permisos a la carpeta Keys para poner en ejecucin el servidor openVPN

PASO 13: COPIAR LOS LAS CLAVES, CERTIFICADOS, SERVIDOR, DH,TLS Copiamos los certificados las clavesel Diffie-Hellman a la carpeta openvpn.

cp -R servidorvpn.crt servidorvpn.key ca.crt dh2048.pem ta.key /etc/openvpn/

Figura A.18: Copiamos los scripts mencionado en el aparto a la carpeta del servidor OpenVPN ya con los permisos dados.

PASO 14: DESCOMPRIMIR EL ARCHIVO SERVER.CONF.GZ Para descomprimir el archivo que contiene los archivos de configuracin server.conf.gz tecleamos:gunzip server.conf.gz

Figura A.19: Descomprimir el archivo server.conf con gunzip

PASO 15: CONFIGURAR EL SERVIDOR OPENVPNUna vez descomprimido el archivo de configuracin del servidor comenzamos a modificar la configuracin estndar para adaptarla a nuestras necesidades tienen que teclear el siguiente comando en la terminal:nano server.conf

Figura A.20: Modificamos el server.conf para adaptarlo a nuestro requerimiento del servidor.PASO 16: CONFIGURACION DEL CLIENTETambin configuramos el cliente. Para ver y modificar la configuracin estndar para adaptarla a nuestras necesidades tienen que teclear el siguiente comando en la terminal:nano client.conf

Figura A.20: Modificamos el client.conf para adaptarlo a nuestro requerimiento para el cliente y el mismo servidor

PASO 17: AUTENTIFICACIN DEL CLIENTE MEDIANTE LOGIN Y PASSWORDA pesar de toda la seguridad que hemos implementado hasta el momento podra darse el caso que alguien robar nuestro ordenador. Si alguien robar nuestro ordenador, telfono o tablet podra encontrarse con la totalidad de nuestras claves criptogrficas y de esta forma podra acceder fcilmente a nuestra red.Para solucionar este problema vamos a introducir un usuario y un password para los clientes de nuestro servidor vpn. Para ello tan solo tenemos que aadir uno o los usuarios que queramos.Para aadir un usuario, como por ejemplo el usuariovpn2, tienen que teclear el siguiente comando en la terminal:useradd usuariovpn -M -s /bin/falseUna vez creado el usuario tenemos que definir un password del usuariovpn2. Para ello tecleamos el siguiente comando en la terminal:passwd usuariovpnUna vez introducido el comando nos pedir que introduzcamos la clave de usuario y despus nos pedir confirmacin.

Figura A.21: creamos los usuarios y la contrasea de los clientes

PASO 18: INICIAR EL SERVIDOR

Ya creados autenticados los usuarios los certificados las claves ahora procedemos a iniciar nuestro servidor

Figura A.22: Ahora ya iniciamos el servidor OpenVPN creado en Ubuntu.