¿Estás intentando configurar OpenVPN en CentOS 7? Te mostramos cómo lograrlo

¡Hola, entusiastas de la tecnología y administradores de sistemas! 👋 ¿Alguna vez te has encontrado con la necesidad de acceder a tu red de forma segura desde cualquier lugar o de proteger tu privacidad en línea? Si la respuesta es sí, entonces has llegado al lugar adecuado. Hoy nos sumergiremos en el fascinante mundo de las redes privadas virtuales (VPN) para mostrarte cómo establecer tu propio servidor OpenVPN en CentOS 7. Aunque la idea de configurar un sistema VPN pueda sonar intimidante al principio, te prometemos que, con esta guía detallada, el proceso será mucho más manejable de lo que imaginas.

OpenVPN es una solución de VPN de código abierto extremadamente potente y versátil, conocida por su fiabilidad y sus robustas características de seguridad. Al desplegarla en tu entorno CentOS 7, tendrás un control total sobre tu infraestructura de red privada, garantizando comunicaciones cifradas y un acceso seguro a tus recursos. ¿Listo para fortalecer la conectividad de tu red? ¡Comencemos!

🚀 ¿Por Qué OpenVPN en CentOS 7?

CentOS 7, con su estabilidad y su enfoque en la seguridad a largo plazo, es una plataforma excelente para alojar un servicio VPN. La combinación de la fortaleza de CentOS con la flexibilidad de OpenVPN te proporciona una base sólida para:

• Acceso Remoto Seguro: Permite que tus empleados o tú mismo os conectéis a la red de tu oficina o a tus recursos domésticos desde cualquier ubicación con total confianza.
• Privacidad Mejorada: Cifra tu tráfico de internet, protegiéndote de miradas indiscretas, especialmente en redes Wi-Fi públicas no seguras.
• Control Total: Al alojar tu propia VPN, tienes dominio absoluto sobre la configuración, las políticas de acceso y la gestión de certificados, algo invaluable en entornos sensibles.

📋 Requisitos Previos Indispensables

Antes de sumergirnos en la configuración, asegúrate de tener lo siguiente a mano:

• Un servidor CentOS 7 (se recomienda una instalación limpia para evitar conflictos).
• Acceso de usuario con privilegios root o sudo.
• Conocimientos básicos sobre cómo navegar por la línea de comandos de Linux.
• Una dirección IP pública dedicada para tu servidor (o una configuración de NAT si se encuentra detrás de un router).
• Acceso al firewall del servidor para abrir los puertos necesarios.

Paso 1: Preparación Fundamental del Sistema 🛠️

El primer paso es asegurar que tu servidor esté actualizado y cuente con los paquetes necesarios para la implementación de OpenVPN.

1.1 Actualizar el Servidor

Mantener el sistema al día es crucial para la seguridad y el rendimiento. Ejecuta el siguiente comando para actualizar los paquetes existentes:

sudo yum update -y

1.2 Instalar el Repositorio EPEL

El paquete de OpenVPN y sus dependencias suelen encontrarse en el repositorio Extra Packages for Enterprise Linux (EPEL). Si aún no lo tienes, instálalo:

sudo yum install epel-release -y

1.3 Instalar OpenVPN y Easy-RSA

Ahora, procedemos a instalar los componentes principales: el software OpenVPN y Easy-RSA, una utilidad para gestionar la infraestructura de clave pública (PKI) que usaremos para los certificados.

sudo yum install openvpn easy-rsa -y

1.4 Deshabilitar SELinux (Opcional, pero Recomendado para Simplicidad)

SELinux es una característica de seguridad importante, pero su configuración puede complicar la implementación inicial de OpenVPN. Para los fines de esta guía, lo deshabilitaremos temporalmente. Puedes configurarlo correctamente más adelante si lo deseas.

sudo setenforce 0

Para que este cambio sea persistente después de un reinicio, edita el archivo de configuración de SELinux:

sudo sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

Un reinicio del sistema es necesario para que este cambio surta efecto si deseas que sea permanente desde ahora, aunque para la mayoría de los pasos puedes continuar sin reiniciar inmediatamente.

1.5 Configuración del FirewallD

CentOS 7 utiliza FirewallD. Necesitamos abrir el puerto que OpenVPN utilizará (por defecto, 1194 UDP) y habilitar el enmascaramiento para permitir que los clientes accedan a Internet a través de la VPN.

sudo firewall-cmd --permanent --add-port=1194/udp
sudo firewall-cmd --permanent --add-service=openvpn # Esto también abre el puerto 1194/udp
sudo firewall-cmd --permanent --add-masquerade

Además, para permitir que el tráfico de la VPN salga a Internet, necesitamos una regla de enmascaramiento específica para la subred VPN (que por defecto será 10.8.0.0/24).

sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.8.0.0/24" masquerade'

Recarga FirewallD para aplicar los cambios:

sudo firewall-cmd --reload

Paso 2: Gestión de Certificados con Easy-RSA 🔐

La seguridad de OpenVPN se basa en certificados digitales. Usaremos Easy-RSA para crear nuestra propia Autoridad de Certificación (CA), así como certificados para el servidor y los clientes. Esto garantiza que solo los dispositivos de confianza puedan establecer una conexión.

2.1 Copiar Easy-RSA a un Directorio Seguro

Copia los scripts de Easy-RSA a un directorio dedicado para su gestión, por ejemplo, dentro de /etc/openvpn/:

sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa

Accede al directorio Easy-RSA. Es importante notar que la versión de Easy-RSA que se instala con EPEL en CentOS 7 suele ser la versión 3.

cd /etc/openvpn/easy-rsa/3/

Otorga permisos adecuados al script easyrsa:

sudo chmod 700 easyrsa

2.2 Inicializar la PKI

Prepara el entorno para tu PKI:

sudo ./easyrsa init-pki

2.3 Construir la Autoridad de Certificación (CA)

Esta CA firmará todos los demás certificados. Es la raíz de confianza de tu infraestructura VPN.

sudo ./easyrsa build-ca nopass

Se te pedirá un „Common Name”. Puedes usar algo descriptivo como „OpenVPN CA”. Presiona Enter para confirmar.

2.4 Generar el Certificado y la Clave del Servidor

Crea una solicitud de certificado para tu servidor VPN y luego fírmala con tu CA.

sudo ./easyrsa gen-req server nopass

Para el „Common Name”, usa „server”. Luego, firma la solicitud:

sudo ./easyrsa sign-req server server

Confirma con ‘yes’ y Enter.

2.5 Generar Parámetros Diffie-Hellman

Estos parámetros son esenciales para el intercambio seguro de claves. Este proceso puede tardar unos minutos, dependiendo de la potencia de tu servidor.

sudo ./easyrsa gen-dh

2.6 Generar la Clave TLS-Auth (HMAC)

Esta clave añade una capa extra de seguridad para proteger la conexión TLS de ataques de denegación de servicio (DoS) y port scanning.

sudo openvpn --genkey --secret /etc/openvpn/easy-rsa/3/ta.key

2.7 Generar Certificado y Clave para el Cliente

Necesitarás un par de certificado/clave para cada cliente que desees conectar. Aquí generamos uno llamado „client1” como ejemplo:

sudo ./easyrsa gen-req client1 nopass

Usa „client1” como „Common Name”. Luego firma la solicitud:

sudo ./easyrsa sign-req client client1

Confirma con ‘yes’ y Enter. Repite estos dos pasos para cada cliente adicional que necesites.

Paso 3: Disponer las Claves y Certificados 📂

Ahora, mueve todos los archivos de certificados y claves necesarios a la ubicación de configuración de OpenVPN.

sudo cp pki/ca.crt /etc/openvpn/
sudo cp pki/issued/server.crt /etc/openvpn/
sudo cp pki/private/server.key /etc/openvpn/
sudo cp pki/dh.pem /etc/openvpn/
sudo cp ta.key /etc/openvpn/

Paso 4: Configuración del Servidor OpenVPN 📝

Crea el archivo de configuración principal de tu servidor OpenVPN. Lo nombraremos server.conf y lo ubicaremos en /etc/openvpn/.

sudo vim /etc/openvpn/server.conf

Inserta el siguiente contenido. Cada directiva está comentada para tu comprensión:

# Puerto y protocolo de conexión (1194 UDP es el estándar)
port 1194
proto udp

# Dispositivo de red virtual TUN
dev tun

# Certificados y claves (asegúrate de que los nombres coincidan con los que creaste)
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0 # 0 para servidor, 1 para cliente

# Configuración de la red VPN
server 10.8.0.0 255.255.255.0 # Subred virtual de la VPN
ifconfig-pool-persist ipp.txt # Mantiene las IPs asignadas a los clientes

# Redireccionar todo el tráfico del cliente a través de la VPN
push "redirect-gateway def1 bypass-dhcp"

# Empujar servidores DNS a los clientes (ej. Google DNS)
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

# Permite que los clientes vean a otros clientes
client-to-client

# Intervalos de keepalive para detectar clientes inactivos
keepalive 10 120

# Cifrado (AES-256-CBC es un estándar robusto)
cipher AES-256-CBC

# Descomentar si deseas compresión de datos (puede ser obsoleto en versiones recientes)
;comp-lzo

# Evita que el servidor acceda a la clave privada o al túnel durante los reinicios
persist-key
persist-tun

# Detalles de registro
status openvpn-status.log
log openvpn.log
verb 3 # Nivel de verbosidad (3 es un buen nivel para depuración)
explicit-exit-notify 1 # Notifica a los clientes cuando el servidor se apaga

# Permisos
user nobody
group nobody

4.1 Habilitar el Reenvío IP (IP Forwarding)

Para que los clientes VPN puedan acceder a Internet a través de tu servidor, el reenvío IP debe estar habilitado. Temporalmente puedes hacerlo así:

sudo sysctl -w net.ipv4.ip_forward=1

Para hacerlo permanente después de los reinicios, edita el archivo /etc/sysctl.conf:

sudo sh -c 'echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf'
sudo sysctl -p # Aplica los cambios inmediatamente

Dato Importante: El reenvío IP es un pilar fundamental para que tu servidor OpenVPN actúe como una pasarela para los clientes. Sin esta configuración, el tráfico de tus clientes VPN no podrá salir a Internet a través de tu servidor, limitando la utilidad de la VPN a la red local.

Paso 5: Iniciar y Habilitar el Servicio OpenVPN 🚀

Con todas las configuraciones en su lugar, es hora de poner en marcha tu servidor VPN.

sudo systemctl start openvpn@server

Habilita el servicio para que se inicie automáticamente en cada arranque del sistema:

sudo systemctl enable openvpn@server

Verifica el estado del servicio para asegurarte de que se esté ejecutando correctamente:

sudo systemctl status openvpn@server

Si ves „Active: active (running)”, ¡felicidades! Tu servidor OpenVPN está funcionando.

Paso 6: Configuración del Cliente OpenVPN 📱

El cliente necesitará un archivo .ovpn que contenga toda la información de conexión y los certificados. Para cada cliente, debes recopilar:

• ca.crt (el certificado de la Autoridad de Certificación)
• client1.crt (el certificado específico del cliente)
• client1.key (la clave privada del cliente)
• ta.key (la clave TLS-Auth)

Todos estos archivos se encuentran en /etc/openvpn/easy-rsa/3/pki/ para los certificados del cliente y en /etc/openvpn/ para ca.crt y ta.key. Transfiere estos archivos a tu máquina local de forma segura (por ejemplo, usando scp).

6.1 Crear el Archivo de Configuración del Cliente (.ovpn)

Crea un archivo de texto con el nombre client1.ovpn (o el nombre que desees para el cliente) y copia el siguiente contenido. Reemplaza YOUR_SERVER_IP con la dirección IP pública de tu servidor CentOS 7.

client
dev tun
proto udp
remote YOUR_SERVER_IP 1194 # Reemplaza con la IP de tu servidor
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server

cipher AES-256-CBC
;comp-lzo

verb 3


# Pegar el contenido de ca.crt aquí


# Pegar el contenido de client1.crt aquí


# Pegar el contenido de client1.key aquí


# Pegar el contenido de ta.key aquí

key-direction 1 # 1 para cliente

6.2 Insertar los Contenidos de los Archivos de Clave/Certificado

Abre ca.crt, client1.crt, client1.key y ta.key con un editor de texto y copia su contenido completo (incluyendo las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----- o similar) en las secciones correspondientes de tu archivo client1.ovpn. Este método crea un único archivo .ovpn fácil de distribuir.

Paso 7: Conexión desde el Cliente 🌐

En tu dispositivo cliente (Windows, macOS, Linux, Android, iOS):

• Instala el software OpenVPN Connect o un cliente OpenVPN compatible.
• Importa el archivo client1.ovpn. La mayoría de los clientes tienen una opción „Importar archivo de configuración”.
• Conéctate. Si todo está configurado correctamente, deberías establecer una conexión exitosa con tu servidor VPN.

Una vez conectado, verifica tu dirección IP pública para asegurarte de que ahora aparezca la de tu servidor VPN. También puedes intentar acceder a recursos de tu red interna si los has configurado.

Consideraciones de Seguridad y Mantenimiento 🛡️

Configurar tu VPN es solo el principio. Aquí tienes algunos consejos para mantenerla segura y funcional:

• Revocación de Certificados: Si un dispositivo cliente se pierde o es comprometido, revoca su certificado usando Easy-RSA para impedir accesos no autorizados.
• Actualizaciones Constantes: Mantén tanto CentOS como OpenVPN actualizados para protegerte contra vulnerabilidades conocidas.
• Monitoreo de Logs: Revisa regularmente los archivos de registro de OpenVPN (/etc/openvpn/openvpn.log) para detectar actividades sospechosas o problemas.
• Contraseñas Robustas: Para una seguridad aún mayor, puedes generar claves privadas con contraseña, aunque esto añade un paso adicional al inicio de cada conexión cliente.

Opinión Basada en Datos Reales: La Relevancia Continua de OpenVPN 💡

En el panorama actual de las VPN, con la aparición de protocolos más nuevos y veloces como WireGuard, es natural preguntarse si OpenVPN sigue siendo una elección relevante. Mi opinión, respaldada por la trayectoria y la adopción industrial, es que OpenVPN conserva su lugar como una de las soluciones VPN más confiables y versátiles disponibles. Si bien WireGuard ofrece una implementación más sencilla y un rendimiento superior en ciertos escenarios, la madurez de OpenVPN, su extensivo soporte para una amplia gama de clientes y su flexibilidad criptográfica son inigualables. Ha sido sometido a un escrutinio exhaustivo durante años, demostrando una robustez que lo convierte en una opción predilecta para entornos empresariales y críticos. La capacidad de auditar su código base, junto con una gestión granular de certificados, sigue siendo un factor decisivo para organizaciones que priorizan la seguridad y la adaptabilidad por encima de la velocidad bruta, consolidando su estatus como un pilar fundamental en la protección de redes.

¡Tu Propia VPN en CentOS 7, Lista! 🎉

¡Lo lograste! Has recorrido el camino desde la preparación del servidor hasta la conexión del cliente, estableciendo con éxito tu propio servidor OpenVPN en CentOS 7. Ahora tienes una herramienta poderosa para proteger tu privacidad, asegurar tus comunicaciones y acceder a tus recursos desde cualquier lugar del mundo. Este conocimiento no solo te brinda seguridad, sino también un profundo entendimiento de cómo funcionan las redes privadas virtuales.

Esperamos que esta guía detallada te haya sido de gran utilidad. La seguridad en línea es más importante que nunca, y con tu nueva configuración de OpenVPN, estás un paso adelante. ¡Disfruta de la libertad y la tranquilidad que tu propia VPN te ofrece!