Configure su propia red privada con OpenVPN

• Máquina 1
• Máquina 2

Vultr le ofrece una increíble conectividad de red privada para servidores que se ejecutan en la misma ubicación. Pero a veces desea que dos servidores en diferentes países / centros de datos puedan comunicarse de forma privada y segura. Este tutorial le mostrará cómo lograrlo con la ayuda de OpenVPN. Los sistemas operativos utilizados aquí son Debian y CentOS, solo para mostrarle dos configuraciones diferentes. Esto se puede adaptar fácilmente para Debian -> Debian, Ubuntu -> FreeBSD, etc.

• Máquina 1: Debian, actuará como servidor (Ubicación: NL)
• Máquina 2: CentOS, actuará como cliente (Ubicación: FR)

Máquina 1

Inicie en la máquina 1 instalando OpenVPN:

apt-get install openvpn

Luego, copie la configuración de ejemplo y la herramienta para generar claves,, easy-rsaa /etc/openvpn:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn

Los valores predeterminados para sus claves ya no son exactamente seguros, para arreglar esto abierto /etc/openvpn/easy-rsa/2.0/varscon su editor de texto favorito y modificar la siguiente línea:

export KEY_SIZE=4096

A continuación, asegúrese de que los valores se carguen en su sesión actual, limpie las claves existentes y genere su autoridad de certificación:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./clean-all
./build-ca

Se le pedirá información. Facilite su vida al proporcionar información sobre su servidor, por ejemplo, dónde está ubicado y cuál es / será el FQDN. Esto es útil para cuando tienes que depurar problemas:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [changeme]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Otra necesidad son los parámetros para el intercambio de claves Diffie-Hellman. Esos deben ser generados también:

./build-dh

Importante : El build-dhcomando es un proceso relativamente complejo que puede demorar hasta diez minutos, dependiendo de los recursos de su servidor.

Para mejorar aún más la seguridad de esta conexión, generaremos un secreto estático que debe distribuirse entre todos los clientes:

mkdir /etc/openvpn/keys
openvpn --genkey --secret /etc/openvpn/keys/ta.key

Ahora, puede generar la clave para el servidor:

./build-key-server server1

Este comando solicitará cierta información:

Country Name (2 letter code) [US]:NL
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter NL
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) [server1]:yourserver1.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

El último paso es firmar la solicitud de certificado que se acaba de generar con la clave de CA:

1 out of 1 certificate requests certified, commit? [y/n]y

Copie las claves y certificados necesarios en una carpeta separada:

cd /etc/openvpn/easy-rsa/2.0/keys
cp dh4096.pem ca.crt server1.crt server1.key /etc/openvpn/keys/
chmod 700 /etc/openvpn/keys
chmod 600 /etc/openvpn/keys/*

Ahora para la configuración, descomprímalo ...

cd /etc/openvpn
gunzip server.conf.gz

... y abra el resultado server.confcon su editor de texto favorito. La configuración debería ser similar a esta:

port 1194
proto udp
dev tun

ca keys/ca.crt
cert keys/server1.crt
key keys/server1.key 
dh keys/dh4096.pem
server 10.8.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Uncomment this if you have multiple clients
# and want them to be able to see each other
;client-to-client

keepalive 10 120
tls-auth keys/ta.key 0 

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384
comp-lzo

user nobody
group nogroup

persist-key
persist-tun
verb 3
mute 20

Después de reiniciar el servicio, debe mirar un poco su registro ...

service openvpn restart && tail -f /var/log/syslog

... para asegurarse de que todo funcione. Si no se detectan errores, puede generar las claves para su segundo servidor:

cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key server2

Nuevamente, se le pedirá información:

Country Name (2 letter code) [US]:FR
State or Province Name (full name) [CA]:-
Locality Name (eg, city) [SanFrancisco]:Vultr Datacenter FR
Organization Name (eg, company) [Fort-Funston]:-
Organizational Unit Name (eg, section) [changeme]:-
Common Name (eg, your name or your server's hostname) 
[server2]:yourserver2.yourdomain.tld
Name [changeme]:-
Email Address [[email protected]]:[email protected]

Ahora, debe transferir los archivos necesarios a su segundo servidor, preferiblemente encriptados:

cd /etc/openvpn/easy-rsa/2.0/keys
cp /etc/openvpn/keys/ta.key .
tar -cf vpn.tar ca.crt server2.crt server2.key ta.key
scp vpn.tar yourusername@server2:~/
rm vpn.tar

Máquina 2

Es hora de cambiar a la conexión SSH de su segundo servidor . El primer paso es instalar OpenVPN ...

yum install openvpn

... y para desactivar firewalld. El reemplazo será iptables simples.

systemctl stop firewalld
systemctl disable firewalld

Descomprima el archivo que acaba de mover al servidor y establezca correctamente los permisos en los archivos:

cd /etc/openvpn
mkdir keys
chmod 700 keys
cd keys
tar -xf ~/vpn.tar -C .
chmod 600 *

Crea /etc/openvpn/client.confcon tu editor de texto favorito. Debe tener un aspecto como este:

client
dev tun
proto udp

remote yourserver yourport
resolv-retry infinite
nobind
user nobody
group openvpn


persist-key
persist-tun

ca keys/ca.crt
cert keys/server2.crt
key keys/.key

ns-cert-type server
tls-auth keys/ta.key 1

tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
cipher AES-256-CBC
auth SHA384

remote-cert-tls server

comp-lzo
verb 3
mute 20

El último paso es iniciar y habilitar el servicio:

systemctl start [email protected]
systemctl enable [email protected]

Si todo funciona, no debería tener problemas para hacer ping al primer servidor:

PING 10.8.100.1 (10.8.100.1) 56(84) bytes of data.
64 bytes from 10.8.100.1: icmp_seq=1 ttl=64 time=17.8 ms
64 bytes from 10.8.100.1: icmp_seq=2 ttl=64 time=17.9 ms
64 bytes from 10.8.100.1: icmp_seq=3 ttl=64 time=17.8 ms

¡Ahora tiene una conexión privada a través de Internet!

Si necesita solucionar cualquier error, intente verificar los registros con el siguiente comando:

journalctl -xn