Guía paso a paso para configurar OpenVPN en Ubuntu 22.04
Una guía completa para configurar el servidor OpenVPN en Ubuntu 22.04 con prácticas de seguridad y optimización adecuadas.

Guía paso a paso para configurar OpenVPN en Ubuntu 22.04

  • 5 minuto de lectura
Este artículo le enseñará a instalar y configurar el servidor OpenVPN en Ubuntu 22.04. Esta guía abarca varios pasos, como la instalación de paquetes, la configuración de un firewall y consejos de seguridad.
Elahe
  • 16 de diciembre de 2025
0 acciones
0
0
0
0
0
acciones
0
0
0
0
  1. ¿Por qué deberíamos configurar OpenVPN en Ubuntu 22.04?
  2. Requisitos previos
  3. Primera parte: Instalación de OpenVPN y EasyRSA
  4. Parte 2: Creación de CA, claves y certificados
  5. Parte 3: Configuración del servidor OpenVPN
  6. Parte 4: Habilitación del enrutamiento y NAT
  7. Configuración de UFW (si está habilitada)
  8. Parte 5: Configuración del servicio OpenVPN
  9. Parte 6: Creación de un archivo de cliente (.ovpn) con un certificado en línea
  10. Sección 7 — Administración de usuarios, revocación de certificados y seguridad
  11. Sección 8 — Consejos técnicos y optimización para aplicaciones
    1. Para trading/forex y criptomonedas
    2. Para juegos
    3. Para inteligencia artificial y renderizado
  12. Sección 9 — Comparación de ubicaciones e infraestructura
  13. Sección 10 — Monitoreo y mantenimiento
  14. Solución rápida de problemas
  15. Resumen y recomendaciones de seguridad
  16. Beneficios de la infraestructura y ubicaciones brindadas
  17. Preguntas frecuentes

¿Por qué deberíamos configurar OpenVPN en Ubuntu 22.04?

Esta guía proporciona un tutorial práctico y completo para la instalación y configuración. OpenVPN En Ubuntu 22.04 Está diseñado para administradores de sistemas, DevOps, comerciantes y jugadores. Los pasos incluyen la instalación de paquetes, la creación de una PKI con EasyRSA, la configuración del servidor y el cliente, la configuración de un firewall (ufw/iptables), la habilitación del enrutamiento y soluciones de seguridad como tls-cryptAdministración y uso de la lista de revocación de certificados (CRL) falla2ban Así será.

Requisitos previos

Para seguir esta guía necesitarás lo siguiente:

  • Un servidor Ubuntu 22.04 Con un usuario con acceso sudo
  • Una dirección IP pública o un rango de IP dedicado (IPv4/IPv6 si es necesario)
  • Puerto franco (sugerido: UDP 1194 o puerto personalizado para reducir la posibilidad de escaneo)
  • Al menos 1 GB de RAM para carga base; aumentar los recursos para uso empresarial o cientos de conexiones

Primera parte: Instalación de OpenVPN y EasyRSA

Primero, actualice los paquetes y luego instale OpenVPN y EasyRSA.

sudo apt update && sudo apt upgrade -y
sudo apt install -y openvpn easy-rsa

Copie la plantilla EasyRSA y prepare PKI:

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki

Parte 2: Creación de CA, claves y certificados

Pasos para crear CA, claves y certificados con EasyRSA:

./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1
./easyrsa gen-dh
openvpn --genkey --secret /etc/openvpn/ta.key
./easyrsa gen-crl
cp pki/crl.pem /etc/openvpn/crl.pem
chmod 644 /etc/openvpn/crl.pem

Archivos necesarios para el servidor:

  • /etc/openvpn/server.crt
  • /etc/openvpn/server.key
  • /etc/openvpn/ca.crt
  • /etc/openvpn/dh.pem
  • /etc/openvpn/ta.key
  • /etc/openvpn/crl.pem

Parte 3: Configuración del servidor OpenVPN

Un archivo de configuración de muestra en /etc/openvpn/server/server.conf Crear. El siguiente ejemplo es una configuración básica y segura que utiliza AES-256-GCM y tls-crypt.

port 1194
proto udp
dev tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
tls-crypt /etc/openvpn/ta.key

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"

keepalive 10 120
cipher AES-256-GCM
auth SHA256
ncp-ciphers AES-256-GCM
persist-key
persist-tun

user nobody
group nogroup

status /var/log/openvpn/status.log
log /var/log/openvpn/openvpn.log
verb 3

crl-verify /etc/openvpn/crl.pem

Consejos:

  • Uso de AES-256-GCM y Autenticación SHA256 Recomendado.
  • Para una latencia mínima en redes sensibles como las de comercio o juegos, UDP Es más adecuado; es posible en redes limitadas. TCP Puede que sea necesario.
  • Puede tls-versión-mínima 1.2 O tls-versión-mínima 1.3 Y añadir una lista de cifrados más estrictos.

Parte 4: Habilitación del enrutamiento y NAT

Se debe habilitar el reenvío y configurar NAT para pasar el tráfico del cliente a Internet.

Habilitar el reenvío de IPv4 temporalmente:

sudo sysctl -w net.ipv4.ip_forward=1

Para hacerlo permanente:

echo "net.ipv4.ip_forward=1" | sudo tee /etc/sysctl.d/99-openvpn.conf
sudo sysctl --system

Agregar una regla NAT con iptables (asumiendo la interfaz de salida eth0):

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Para que las reglas sean persistentes, utilice iptables-persistent o netfilter-persistent:

sudo apt install -y iptables-persistent
sudo netfilter-persistent save

Si de nftables Utilice para definir el equivalente de NAT en nft.

Configuración de UFW (si está habilitada)

Si de ufw Antes de habilitar NAT, utilice el archivo /etc/ufw/before.rules Editar y agregar la sección NAT. Ejemplo breve:

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

Luego en /etc/predeterminado/ufw Cantidad REENVÍO IPV4 a "“”" o usa sysctl. Luego abre el puerto OpenVPN y habilita ufw:

sudo ufw allow 1194/udp
sudo ufw enable

Parte 5: Configuración del servicio OpenVPN

Ejecute y habilite el servicio (el nombre del servicio puede variar según la distribución):

sudo systemctl start [email protected]
sudo systemctl enable [email protected]

Para comprobar el estado y el registro:

sudo systemctl status openvpn-server@server
journalctl -u openvpn-server@server -f

Parte 6: Creación de un archivo de cliente (.ovpn) con un certificado en línea

Para facilitar la distribución, cree un archivo .ovpn que incluya todos certificado/clave Están en línea dentro de él. Reemplace el siguiente ejemplo según los valores generados:

client
dev tun
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
auth SHA256
verb 3

<ca>
-----BEGIN CERTIFICATE-----
(محتوای ca.crt)
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
(محتوای client1.crt)
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
(محتوای client1.key)
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
(محتوای ta.key)
-----END OpenVPN Static key V1-----
</tls-crypt>

Transfiera este archivo a sus clientes Windows, Mac o Linux. En Linux, puede usar NetworkManager o el comando openvpn --config cliente.ovpn Usar.

Sección 7 — Administración de usuarios, revocación de certificados y seguridad

La gestión y seguridad de usuarios incluye lo siguiente:

  • Añadir nuevo usuario: Generar clave y firmar como cliente1.
  • Revocación del certificado (revocar): ./easyrsa revoke client1 && ./easyrsa gen-crl Luego copie crl.pem a /etc/openvpn/crl.pem y recargue el servidor.
  • Uso combinado de certificados basados en autenticación y contraseña de usuario: Puede utilizar PAM o RADIUS y agregar OTP/2FA para mayor seguridad.
  • Fallo2ban: Instalación y configuración para monitorear registros y bloquear intentos de intrusión.
  • Gestión de registros: Reduzca los niveles de registro en producción y utilice logrotate para mantener los archivos de registro.
sudo apt install -y fail2ban
# create a custom jail for openvpn as needed

Sección 8 — Consejos técnicos y optimización para aplicaciones

Algunas sugerencias prácticas para diferentes escenarios:

Para trading/forex y criptomonedas

  • Elija una ubicación cercana a los intercambios o servidores comerciales para reducir el RTT (por ejemplo, Londres, Frankfurt, Nueva York, Tokio).
  • Utilice un VPS dedicado para operar con ping bajo, recursos dedicados y un servidor anti-DDoS.
  • Utilice UDP y configure la MTU adecuada (por ejemplo, tun-mtu 1500 o menos) para evitar la fragmentación.

Para juegos

  • Elija una ubicación con el ping más bajo y utilice VPS o servidores de alta velocidad con una red rápida.
  • Prueba A/B para ver si una VPN realmente mejora el enrutamiento y reduce el ping.

Para inteligencia artificial y renderizado

  • Para grandes transferencias de datos, es mejor utilizar redes privadas en la nube (VPC) o VPN a nivel de red con BGP.
  • Utilice servidores con red de 10 Gbps para conectarse al servidor GPU.

Sección 9 — Comparación de ubicaciones e infraestructura

Ejemplo de beneficios por región:

  • Europa (Frankfurt, Londres, Ámsterdam): Adecuado para comerciantes europeos y baja latencia para los intercambios.
  • Estados Unidos (NY, NJ, Miami): Adecuado para mercados de América del Norte y cargas sensibles al retraso.
  • Asia (Tokio, Singapur, Seúl): Adecuado para los mercados de APAC y servicios de juegos e inteligencia artificial en la región.

Nuestra empresa cuenta con más de 85 ubicaciones globalesOfrece redes BGP y CDN, que pueden ser efectivas para reducir la latencia, aumentar la estabilidad y prevenir ataques DDoS.

Sección 10 — Monitoreo y mantenimiento

Consejos de mantenimiento y escalabilidad:

  • Monitoreo de OpenVPN con Prometheus/Grafana o Zabbix (usando exportadores o análisis de registros).
  • Mantenimiento periódico de CRL y comprobación de registros de conexión.
  • Para una gran cantidad de clientes, utilice un balanceador de carga y varios servidores OpenVPN con alta disponibilidad y CA compartida.

Solución rápida de problemas

  • Revisar el registro: sudo journalctl -u openvpn-server@servidor -e
  • Inspección del túnel: ip un espectáculo tun0
  • Comprobación del puerto: sudo ss -ulpn | grep 1194
  • Prueba NAT: desde un cliente VPN, haga ping a 8.8.8.8 y a la IP pública del servidor.

Resumen y recomendaciones de seguridad

Recomendaciones clave:

  • Utilice siempre TLS (tls-crypt) y una CA fuerte.
  • Utilice cifrado fuerte (AES-256-GCM) y al menos TLS 1.2.
  • Implementar un procedimiento de revocación y CRL para eliminar el acceso en caso de una fuga de clave.
  • Utilice reglas de fail2ban y de límite de velocidad en su firewall.
  • No olvides monitorear y revisar periódicamente los registros.

Beneficios de la infraestructura y ubicaciones brindadas

El uso de una infraestructura preconfigurada con múltiples ubicaciones ofrece beneficios como un ping reducido, mayor estabilidad y protección contra DDoS. Se ofrecen opciones como VPS de intercambio, servidores de juegos, servidores GPU y servidores anti-DDoS para escenarios específicos.

Preguntas frecuentes

En este artículo:
,
Artículo escrito por:
Seguir
Artículo anterior
Artículo siguiente
También te puede gustar
Conceptos básicos de ciberseguridad que todo fundador debe conocer

Conceptos básicos de ciberseguridad que todo fundador debe conocer

  • Elahe
  • 29 de diciembre de 2025
  • 6 minuto de lectura
En el mundo digital actual, la ciberseguridad es fundamental para los fundadores de startups. Este artículo explora los aspectos básicos, como la protección de activos digitales, la autenticación, la protección contra amenazas y la creación de un plan de respuesta a incidentes. Al comprender estos conceptos básicos, los fundadores pueden proteger sus negocios de las amenazas.
0 acciones
0
0
0