Generació del fitxer de configuració per al servidor OpenVPN

S'han creat les claus perquè el servidor i els clients es reconeguin entre ells, confirmades per la CA. 

Ara ens endinsem en la configuració del servidor VPN.

Obre el fitxer de configuració de OpenVPN:

sudo nano /etc/openvpn/openvpn.conf

Aquest fitxer buit s'ha de completar amb alguns comandaments que es mostren a continuació:

dev tun

proto udp

port 1194

En el següent pas es crea un certificat arrel SSL/TLS , un certificat digital  i una clau digital al directori easy-rsa. 

No oblidis introduir el xifrat de bits correcte (1024, 2048, etc).

ca /etc/openvpn/easy-rsa/keys/ca.crt

cert /etc/openvpn/easy-rsa/keys/server.crt

key /etc/openvpn/easy-rsa/keys/server.key

dh /etc/openvpn/easy-rsa/keys/dh2048.pem

Especifica ara que el Raspberry Pi s'utilitzi com a servidor VPN. 

Nomena per això la seva adreça IP, així com la màscara de xarxa que s'ha d'assignar al VPN:

server 10.8.0.0 255.255.255.0

Amb la comanda redirect-gateway def1 bypass-dhcp se'ls indica als clients que tot el tràfic es redirigeix a través del túnel de la VPN. 

Pots provar aquest ajust si la seguretat és molt important per a tu, però si sorgeixen dificultats o la navegació es redueix, cancel·la. 

Les instruccions que s'enumeren aquí s'han d'utilitzar en qualsevol cas, ja que amb elles nomenes els servidors DNS públics amb els quals treballarà el servidor VPN. 

En les línies següents s'utilitza com a exemple un servidor de IONOS (217.237.150.188) i un de Google (8.8.8.8), encara que es pot substituir per un altre servidor DNS indicant la seva adreça IPv4. 

Amb log-append /var/log/openvpn disposes que els esdeveniments del servidor s'escriuran al fitxer /var/log/openvpn.

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 217.237.150.188"

push "dhcp-option DNS 8.8.8.8"

log-append /var/log/openvpn

Un cop configurat el servidor, podem passar a la configuració dels clients VPN. Per això creem un fitxer de configuració en el qual s'ha d'introduir la següent informació:

persist-key

persist-tun

user nobody

group nogroup

status /var/log/openvpn-status.log

verb 3

client-to-client

comp-lzo

Finalment amb l'ordre client-to-client determinem que els clients VPN no només reconeguin el servidor, sinó també a altres clients VPN i amb comp-lzo s'habilita la compressió LZO (que també s'ha d'indicar en el fitxer de configuració del client).

Guardem els canvis amb Ctrl+0 i tanquem l'editor amb Ctrl+X.