{"id":1821,"date":"2016-11-07T12:44:50","date_gmt":"2016-11-07T18:44:50","guid":{"rendered":"https:\/\/www.lastdragon.net\/?p=1821"},"modified":"2016-11-08T14:48:45","modified_gmt":"2016-11-08T20:48:45","slug":"configurando-openvpn-para-cifrar-conexiones-con-autenticacion-de-usuarios","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=1821","title":{"rendered":"Censura en Mexico Conectado &#8211; Configurando OpenVPN para cifrar conexiones con autenticacion de usuarios"},"content":{"rendered":"<p>Este art\u00edculo es el complemento del siguiente v\u00eddeo en mi canal de YouTube.<\/p>\n<p><iframe loading=\"lazy\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/K1qULROVyV0\" frameborder=\"0\" allowfullscreen><\/iframe><\/p>\n<p>Articulo relacionado del 2006 ( <a href=\"https:\/\/www.lastdragon.net\/?p=72\">VPN CON OPENVPN<\/a> )<\/p>\n<p><strong>Requerimientos<\/strong><\/p>\n<p>Tener instalado OpenVPN, yo te recomiendo que si estas en un sistema operativo Unix o tipo Unix como GNU\/Linux compiles tu OpenVPN desde el c\u00f3digo fuente. Al momento de escribir esto la versi\u00f3n de openvpn es 2.3.13 y se puede descargar de <a href=\"https:\/\/swupdate.openvpn.org\/community\/releases\/openvpn-2.3.13.tar.gz\">https:\/\/swupdate.openvpn.org\/community\/releases\/openvpn-2.3.13.tar.gz<\/a><\/p>\n<p><strong>Configuraci\u00f3n del servidor con OpenVPN para permitir autenticaci\u00f3n de usuarios<\/strong><\/p>\n<p>Crear un certificado de autoridad y un Certificado para el servidor firmado por el certificado de  autoridad.<\/p>\n<p>La llave privada para el certificado de autoridad y solo para casos de este ejemplo igual la usare para firmar el certificado de servidor es recomendable que el servidor tenga su propia llave privada.<\/p>\n<p><code>openssl genrsa -out private.key 4096<\/code><\/p>\n<p>Generar Certificado de autoridad con valides de un a\u00f1o, El certficado de autoridad deber\u00e1 compartirse con los clientes, la llave privada obviamente NO pero lo escribo por si acaso alg\u00fan despistado decide que debe compartirla.<\/p>\n<p><code>openssl req -new -x509 -days 365 -key private.key -subj '\/C=MX\/ST=DF\/L=CDMX\/CN=Last Dragon CA' -out ca.crt<\/code><\/p>\n<p>Generar solicitud de certificado de servidor que luego ser\u00e1 firmado por el de autoridad<\/p>\n<p><code>openssl req -new -key private.key -subj '\/C=MX\/ST=DF\/L=CDMX\/CN=Last Dragon CA' -out certificado.csr<\/code><\/p>\n<p>Generar el certificado de servidor con la firma de el certificado de autoridad con una duraci\u00f3n de un a\u00f1o<\/p>\n<p><code>openssl x509 -req -CA ca.crt -CAkey private.key -days 365 -in certificado.csr -CAcreateserial -out certificado.crt<\/code><\/p>\n<p>Generar el intercambio de llaves Diffie\u2013Hellman con 512 bits, esto puede tomar un largo tiempo, mientras mas r\u00e1pida sea la computadora mejor. Podr\u00eda tomar entre 10 a 15 minutos, tal vez m\u00e1s si no  cuentas con suficiente poder de computo.<\/p>\n<p><code>openssl dhparam -out dh4096.pem 4096<\/code><\/p>\n<p><strong>Archivo de configuraci\u00f3n.<\/strong><\/p>\n<p># Puerto por el que se escucha.<br \/>\nport 1194<\/p>\n<p># Tipo de interface de red y el medio de transmisi\u00f3n tipo UDP o TCP<br \/>\nproto udp<br \/>\ndev tun<\/p>\n<p># Certificado de autoridad, Certificado de servidor y llave privada de servidor.<br \/>\nca ca.crt<br \/>\ncert certificado.crt<br \/>\nkey private.key <\/p>\n<p># Diffie hellman<br \/>\ndh dh4096.pem<\/p>\n<p># Impone datos de TCPIP como DHCP en la VPN.<br \/>\nserver 10.10.0.0 255.255.0.0<br \/>\nifconfig-pool-persist ipp.txt<br \/>\npush &#8220;route 10.10.0.1 255.255.0.0&#8221;<br \/>\npush &#8220;dhcp-option DNS 8.8.8.8&#8221;<br \/>\npush &#8220;redirect-gateway&#8221;<\/p>\n<p># Tiempo de reintento de conexi\u00f3n y solicitar compresi\u00f3n de datos<br \/>\nkeepalive 10 120<br \/>\ncomp-lzo<\/p>\n<p># Bajar privilegios al procesode OpenVPN, llave e interface<br \/>\nuser nobody<br \/>\ngroup nobody<\/p>\n<p>persist-key<br \/>\npersist-tun<\/p>\n<p># Aqu\u00ed se solicita que se autentique con usuarios del sistema, la ruta del plugin openvpn-plugin-auth-pam.so  depende de donde hayas solicitado la instalaci\u00f3n.<br \/>\nclient-cert-not-required<br \/>\nplugin \/usr\/openvpn2.3.13\/lib\/openvpn\/plugins\/openvpn-plugin-auth-pam.so login<\/p>\n<p># OpenVPN Logs y detalle de verbose<br \/>\nstatus openvpn-status.log<br \/>\nverb 3<\/p>\n<p><strong>Configuraci\u00f3n del cliente<\/strong><\/p>\n<p>En el lado del cliente solo se instala OpenVPN y con privilegios de administrador se ejecuta el siguiente comando. ( En Windows requiere ejecutar como Administrador ) El certificado de autoridad debe encontrarse en la misma carpeta donde se ejecute el comando<\/p>\n<p><code>openvpn --remote hackers.city --comp-lzo --dev tun --auth-user-pass --ca ca.crt \u2013client<\/code><\/p>\n<p>Si se desea especificar el puerto 80 por ejemplo, por omisi\u00f3n el protocolo es UDP<\/p>\n<p><code>openvpn --remote hackers.city 80 --comp-lzo --dev tun --auth-user-pass --ca ca.crt \u2013client<\/code><\/p>\n<p>Desde aqu\u00ed ya est\u00e1 establecida una VPN cifrada entre el cliente y el servidor, en el servidor podr\u00eda darse servicio de NAT o Proxy , incluso Proxy + TOR. Tambi\u00e9n cualquier otro tipo de servicios como transferencia de archivos o voz v\u00eda IP<\/p>\n<p><strong>Casos pr\u00e1cticos<\/strong><\/p>\n<p>Aunque originalmente el articulo es para incrementar tu privacidad, como segunda directiva puede ayudarte a quitar bloqueos en redes publicas y de gobierno.<\/p>\n<p>En las siguientes im\u00e1genes se puede ver como mi gobierno considera mi sitio como de hacking y por alg\u00fan motivo le tiene miedo, por lo que estoy bloqueado de las redes de gobierno. En este caso la red de gobierno es. <a href=\"http:\/\/mexicoconectado.gob.mx\/\">MEXICO CONECTADO.<\/a><br \/>\n<strong><\/p>\n<p>\u00bfQu\u00e9 es M\u00e9xico Conectado?<\/strong><\/p>\n<p>M\u00e9xico Conectado es un proyecto del Gobierno de la Rep\u00fablica que contribuye a garantizar el derecho constitucional de acceso al servicio de Internet de banda ancha (art\u00edculo 6to. constitucional).<\/p>\n<p>Para lograr dicho objetivo, M\u00e9xico Conectado despliega redes de telecomunicaciones que proveen conectividad en los sitios y espacios p\u00fablicos tales como escuelas, centros de salud, bibliotecas, centros comunitarios o parques, en los tres \u00e1mbitos de gobierno: federal, estatal y municipal.<\/p>\n<p>A trav\u00e9s del proyecto M\u00e9xico Conectado cada vez m\u00e1s estudiantes y maestros tienen acceso a la banda ancha en su escuela o universidad; cada vez m\u00e1s m\u00e9dicos y funcionarios de salud cuentan con conectividad en su cl\u00ednica o centro de salud, y cada vez m\u00e1s ciudadanos disfrutan de conexi\u00f3n gratuita a Internet en alg\u00fan sitio o espacio p\u00fablico, como bibliotecas o centros comunitarios.<\/p>\n<p><strong>Evitando la censura<\/strong><\/p>\n<p>Lograr la conexi\u00f3n a mi sitio aun estando en la red de M\u00e9xico conectado, que por alg\u00fan motivo decidi\u00f3 censurar la cueva del ultimo drag\u00f3n.  En este caso pr\u00e1ctico simplemente es un acto de inocente rebeld\u00eda, sin embargo, en otros pa\u00edses donde haya persecuci\u00f3n a periodistas o civiles por expresar sus ideas, este tipo de configuraci\u00f3n de VPN abre una oportunidad de escapar a los reg\u00edmenes de censura de la naci\u00f3n. Que dicho sea de paso, que pena que mi pa\u00eds decida censurar bajo el criterio de alg\u00fan mocho que decidi\u00f3 censurar mi blog.  <\/p>\n<p><strong>Im\u00e1genes de la censura y como esta fueron burladas.<\/strong><\/p>\n<p><a href=\"https:\/\/www.lastdragon.net\/misarchivos\/openvpnmexicoconectado\/macbook.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.lastdragon.net\/misarchivos\/openvpnmexicoconectado\/macbook.jpg\" alt=\"Censura en M\u00e9xico Conectado\" width=\"425\" height=\"350\" \/><\/a><\/p>\n<p><a href=\"https:\/\/www.lastdragon.net\/misarchivos\/openvpnmexicoconectado\/mexicoconectado.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.lastdragon.net\/misarchivos\/openvpnmexicoconectado\/mexicoconectado.jpg\" alt=\"Censura en M\u00e9xico Conectado\" width=\"425\" height=\"350\" \/><\/a><\/p>\n<p><a href=\"https:\/\/www.lastdragon.net\/misarchivos\/openvpnmexicoconectado\/cuevabloqueada.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.lastdragon.net\/misarchivos\/openvpnmexicoconectado\/cuevabloqueada.jpg\" alt=\"Censura en M\u00e9xico Conectado\" width=\"425\" height=\"350\" \/><\/a><\/p>\n<p><a href=\"https:\/\/www.lastdragon.net\/misarchivos\/openvpnmexicoconectado\/evitandocensura.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.lastdragon.net\/misarchivos\/openvpnmexicoconectado\/evitandocensura.jpg\" alt=\"Censura en M\u00e9xico Conectado\" width=\"425\" height=\"350\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Este art\u00edculo es el complemento del siguiente v\u00eddeo en mi canal de YouTube. Articulo relacionado del 2006 ( VPN CON OPENVPN ) Requerimientos Tener instalado OpenVPN, yo te recomiendo que si estas en un sistema operativo Unix o tipo Unix como GNU\/Linux compiles tu OpenVPN desde el c\u00f3digo fuente. Al momento de escribir esto la&#8230;<\/p>\n","protected":false},"author":1,"featured_media":1824,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-1821","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-consultoria-y-manuales"],"_links":{"self":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/1821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1821"}],"version-history":[{"count":3,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/1821\/revisions"}],"predecessor-version":[{"id":1825,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/1821\/revisions\/1825"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/media\/1824"}],"wp:attachment":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}