= openvpn
  * [[linux:certificados:pki|]]
  * [[linux:paquetes:openvpn:pia]]

== instalación
<code bash>aptitude install openvpn</code>
<code bash>aptitude install easy-rsa</code>

== configuración servidor
copiar ficheros para facilitar la generación de claves y certificados:
<code bash>cp -rd /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn/</code>

=== creación keys
modificamos el fichero **vars** del directorio **easy-rsa**
<code bash /etc/openvpn/easy-rsa/vars>export KEY_DIR=“/etc/openvpn/keys”</code>

empezamos la generación de la CA (Autoridad de Certificación):
<code bash>
# root o sudo
mkdir /etc/openvpn/keys
source vars
./clean-all
build-ca
</code>
se pueden dejar todos los valores por defecto

creamos el fichero de intercambio de claves (Diffie-Hellmann):
<code bash>./build-dh</code>

creamos la pareja de claves para el servidor:
<code bash>./build-key-server <servidor></code>
esta instrucción genera los ficheros **.key**, **.crt**, **.csr**\\
hay que estar atentos cuando nos solicite los datos, a la pregunta de si deseamos firmar el certificado hay que responder **si**

=== personalizar fichero configuración
copiamos un fichero de configuración //base// para la parte servidor:
<code bash>zcat /usr/share/doc/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf</code>

y modificamos las claves **ca**, **cert**, **key** y **dh** para las generadas (en ''/etc/openvpn/keys'')

=== arrancar el servicio
<code bash>service openvpn start</code>

esto debería montar un nuevo dispositivo de red que podemos consultar a través de ''ifconfig''

y si no es así, podemos depurar mirando en ''tail -f /var/log/daemon.log''
== configuración cliente
=== generación llaves
(suponemos que el fichero **vars** ya está correctamente configurado:
<code bash /etc/openvpn/easy-rsa>
export vars
./build-key <cliente>
</code>

=== personalizar configuración
copiamos un fichero //base// para la configuración del cliente:
<code bash>cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/</code>

y editamos este fichero para modificar las claves **remote**, **ca**, **crt** y **csr** para los valores del serividor y de las claves generadas para el cliente respectivamente

=== iniciar servicio
<code bash>service openvpn start</code>

esto debería crear un nuevo dispositivo de red visible con ''ifconfig''

== enlaces
  * [[https://linuxboss.wordpress.com/?s=openvpn]]
  * cliente mac: [[https://nordvpn.com/tutorials/x-mac-os-x/openvpn/]]