Cómo Crear Una VPN Con OpenVPN en Windows. Parte 1 - Servidor - SmythSys IT Consulting

17/4/2020 Cómo crear una VPN con OpenVPN en Windows.
Parte 1: Servidor - SmythSys IT Consulting
 +34 91 714 17 35
 soporte@smythsys.es
 Menú
Privacy & Cookies Policy

https://www.smythsys.es/10824/como-crear-una-vpn-con-openvpn-windows-parte-1-servidor/ 1/25
17/4/2020 Cómo crear una VPN con OpenVPN en Windows. Parte 1: Servidor - SmythSys IT Consulting
Cómo crear una VPN con OpenVPN en Windows.

Parte 1: Servidor
29 enero, 2019 por David G. Smyth (SmythSys)
Hace unos días nos han encargado realizar una VPN en un Windows Server 2008 R2.
Como los usuarios podían no ser todos Windows (y también para probar), decidimos
no usar la VPN de Windows y crearla con OpenVPN.
Os dejamos los pasos.
Puedes seguir el proceso en inglés también aquí. Y este vídeo está muy bien para ver
los pasos (yo he hecho modi caciones al proceso, cuidado).
Con gurar el servidor.

Primero hay que con gurar el servidor al que se van a conectar los clientes
clientes, donde
están las carpetas que queremos ver. En nuestro caso el Windows Server 2008, pero
puede ser cualquier otro Windows (evidentemente mejor el servidor).
Instalar el programa OpenVPN en el servidor.
Vamos a descargarnos el programa de OpenVPN (es el mismo para servidor y para

cliente). Puedes hacerlo aquí (la versión community es la gratuita). El programa más
sencillo a descargar es el Windows Installer.
Descargamos el instalador, lo ejecutamos y damos a todas las opciones que si
marcando la casilla de EasyRSA 2
Certi cate…. (la necesitas para generar los certi cados).
Cuando te pida instalar el adaptador TAP di que si y marca la opción de con ar en el

fabricante.

Abre un terminal (cmd) y ve a la carpeta C:\Program Files\OpenVPN\easy-rsa

Pon init-con g y pulsa Enter.
Después hace copy vars.bat.sample a vars.bat
Edita el chero creado con notepad vars.bat

Ve a las líneas siguientes y modi ca la información con tus datos. Voy a poner unos
de ejemplo: Privacy & Cookies Policy
set KEY_COUNTRY=US
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@host.domain
Lo modi camos por
set KEY_COUNTRY=ES
set KEY_PROVINCE=MD
set KEY_CITY=Madrid
set KEY_ORG=TUEMPRESA (tb puedes dejarlo como OPenVPN)
set KEY_EMAIL=tucorreo@tucorreo.com
Guarda el chero y ejecuta (Enter después de cada comando):

vars.bat
clean-all
Generar las claves y certi cados del servidor.
Ahora vamos a generar las claves y certi cados que necesita el servidor. En la
misma carpeta de Easy-rsa ejecutamos el comando para crear la entidad
certi cadora:
build-ca

Va a preguntar unos valores pero son los anteriores que has puesto en el chero. Así
que con que des a Enter se quedan esos valores.
Salvo cuando pregunte: Common Name (eg, your name or your server’s hostname) [] que
yo suelo poner el nombre completo del servidor (aunque OpenVPN lo deja como
OpenVPN-CA).
Creemos las claves con:

build-key-server server
Vuelve a preguntar los mismos datos, das como antes a Enter salvo cuando pregunte
“Common Name” pones server. Responde y a las dos preguntas y ya está.
Ahora genera la encriptación con

build-dh
Con guración del servidor.
Ahora copia el chero server.ovpn de la carpeta C:\Program

Files\OpenVPN\sample-con g al directorio C:\Program Files\OpenVPN\con g
Edita el chero server.ovpn. Recomiendo Notepad++ o, en Windows Server,
Wordpad (“abrir con”, elegir programa, Wordpad). No uses notepad, te va a
descolocar las líneas.
Vamos a modi car las siguientes secciones:
Poner el túnel como dev tap. No hace falta hacer la parte de Bridge (puente) en
los interfaz de red que dice el vídeo mencionado arriba. Pero por lo que leo tap
admite más protocolos que tun (aunque tun requiere menos recursos).
Tu elijes, nosotros usamos tap pero sin modo bridge.
Donde pone:
ca ca.crt
cert server.crt
key server.key

Pon:
ca "C:\\Program Files\\OpenVPN\\con g\\ca.crt" cert "C:\\Program Files\\OpenVPN\\
Donde pone: dh dh1024.pem pon: dh "C:\\Program

Files\\OpenVPN\\config\\dh2048.pem"
Nota: en la generación de mis certi cados me creó el chero dh2048.pem en

C:\Program Files\OpenVPN\easy-rsa\ La cifra puede variar y podéis tener
dh4096.pem, verifícalo.
Donde pone server 10.8.0.0 255.255.255.0 elije la red de tu VPN. Puedes poner
cualquier red privada pero te recomiendo que no uses las de telefónica típicas
(192.168.1.X ni 192.168.0.X). Yo suelo usar las 10, como la que viene en el
chero por ejemplo, o 192.168.2.X, 192.168.3.X etc). También, por lo tanto,
puedes dejar la red que viene por defecto. Esto quiere decir que tu servidor
VPN tendrá IP de VPN 10.8.0.1 y tus clientes tendrán la 10.8.0.X (según la
máscara que elijas).
Veri ca que la línea tls-auth ta.key 0 pone 0 en el servidor. Quita lo de # This le
is kept secret de detrás. En los clientes tiene que ser: tls-auth ta.key 1.
Salva el chero.
Copia los cheros de clave. Ve a C:\Program Files\OpenVPN\easy-rsa\keys\ y
copia los cheros siguientes a C:\Program Files\OpenVPN\con g\
ca.crt
dh1024.pem
server.crt
server.key
server.ovpn
En la misma carpeta easy-rsa pon openvpn --genkey --secret ta.key y copia

ese chero también a la carpeta C:\Program Files\OpenVPN\con g\

El servidor ya está. Sólo tendrías que abrir el puerto 1194 UDP en el router
apuntando a la IP ( ja) de tu servidor. Recomiendo también abrir el rewall de
Windows, si está activado, para ese puerto.
Si tienes IP dinámica tendrás que activar un servicio de DNS dinámicon tipo DYNDNS.
Puedes probar a ejecutar el icono de OpenVPN que te ha creado en el escritorio y

darle botón derecho>Connect para que se empieze a ejecutar el servidor VPN.
Si todo va bien está preparado para recibir llamadas. Queda con gurar a los clientes
(en otro artículo).
Nota: si quieres que los clientes remotos vean los clientes de la o cina tienes que
activar la opción client-to-client en el chero de con guración del servidor.
Nota2: si quieres dirigir todo el trá co del cliente por la VPN activa la opción push
“redirect-gateway def1 bypass-dhcp” en el chero de con guración del servidor.
Nosotros encontramos un error en Windows Server 2008 R2, que al arrancar la

primera vez funcionaba, pero si reiniciábamos la GUI el TAP no cogía IP en Windows
(OpenVPN decía que si). Y no sabía enrutar. Lo arreglamos instalando OpenVPN como
servicio (otro artículo) y, si ocurre (que no debería al ser un servicio) con desactivar el
TAP un momento y volver a activarlo cogía IP de nuevo.
Comparte esto:
Compartir 0 Share Twittear  WhatsApp
 Seguridad, Servidores, Sistemas

 Comprueba si te han hackeado la cuenta. Más de 772 millones de correos.
 Nueva web Diligens.es
27 comentarios en “Cómo crear una VPN con OpenVPN en Windows.

Parte 1: Servidor”

Jordi
2 mayo, 2019 a las 1:28
Hola muchas gracias por la información me podríais ayudar con este

problema:
he con gurado el servidor y el cliente y conectan, pero no se ven cuando
lanzo ping ni un terminal
el servidor tiene la ip 192.168.10.1 gate 192.168.10.100
servidor VPN server 10.8.0.0 255.255.255.0
la opción client-to-client esta sin el ;
gracias por todo
Responder
Jordi
2 mayo, 2019 a las 16:35
Hola he deshabilitado la tarjeta en el servidor tab y la he vuelto a habilitar y

he conectado el servidor ya funciona el ping, me gustaría poder hacer un ping
desde el cliente que tiene la ip 10.8.0.x al servidor 192.168.10.1
tengo habilitado esta opcion el la con guracion del servidor vpn
push “route 192.168.10.0 255.255.255.0”
Responder
David G. Smyth (SmythSys)

3 mayo, 2019 a las 9:59

Push route hace que el servidor “anuncie” esa red al cliente. Pero no tiene
por qué hacer ping. Tienes que ver primero a) si se está de verdad
publicando las rutas. Puedes ver las rutas en el cliente con un comando de
Windows.
Después tienes que ver si, una vez sabe llegar, el ping está habilitado o
deshabilitado. Y si hace ping a otras máquinas.
Responder

3 mayo, 2019 a las 10:04
Por cierto, si la LAN del cliente (no la IP de VPN) es también 192.168.10.X te

va a dar problemas.
Responder
Duntari
26 mayo, 2019 a las 16:50
Using this settings on Windows 10 :

Start -> Right-click My Computer -> Manage
Services
Right-click Routing and Remote Access -> Properties -> Automatic Right-click
Routing and Remote Access -> Start
Next:
Control Panel
Network and Sharing Center
Local Area Connection
Properties
Sharing
Tick the box “Allow other network users to connect through this computer’s
Internet connection” From the drop-down list select “Local Area Connection
2”, or whatever is the connection name of your TAP server connection.
regedit
Key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameter
s Value: IPEnableRouter
Type: REG_DWORD
Data: 0x00000001 (1)
Buenas, indicar que si quieres que todo el trá co vaya por la vpn edites el
archivo del servidor indicando las DNS que tiene que usar. Sintu windows no
tiene servidor dns usa las de google por ejemplo.
Para que funcione en windows 10, hay que modi car unas cosas para que
permita el enrutamiento de los datos del cliente:
Si no haceis esto en el servidor no sereis capaces de hacer que funcione el

“redirect-gateway”
Saludos
Responder

28 mayo, 2019 a las 11:45
Gracias por tu aporte!
Responder
Eric
17 septiembre, 2019 a las 1:33
Hola,
Tengo una duda. Yo tengo el servidor en una red remota (192.168.1.0/24) el
servidor tiene la IP 210 de esa red. Cuando levanto el VPN, segun el archivo
de con guración se puede poner qué subred usar para la VP, por defecto
viene la 10.8.0.0/24, con esta red si que me conecta cliente-servidor, pero
claro no puedo ver nada de los recursos de mi red remota original la
192.168.1.0/24.
He probado con el puente de inter cies en el servidor y nada, con los dos
parámetros del chero que decís al nal y tampoco.
¿Qué debería hacer?
Gracias
Responder

Conectar la red de la VPN en la típica de los operadores no es buena idea. Se

puede arreglar, nosotros lo hemos hecho en algún cliente, con rutas. Pero
luego nos ha costado hacerlo.
Lo mejor es que la red del servidor sea diferente (porque la de los clientes
puede variar).
Responder
Eric
Y qué debo hacer para que cuando se conecte el cliente VPN le dé una
dirección de la red que tengo yo que es la 192.168.1.0/24?? no puedo cambiar
todas las direcciones todos… Privacy & Cookies Policy
Responder

A ver aquí hay 3 redes.

1) Red de la o cina donde esté la VPN. No debería estar en las que dan las
operadoras 192.168.1.X o 192.168.0.X. Si no se puede cambiar ver abajo.
2) Red del usuario. No puedes controlarla.
3) Red de la VPN. Suele ponerla el sistema en una red totalmente diferente,
sólo sirve de puente.
El problema surge cuando el 1 y el 3 coinciden. Porque el ordenador en 3, si
recibe orden de mandar a la (pongamos que es la del servidor remoto)
192.168.1.200 (suponemos que la de la 3 es 192.168.1.X), al ser de su red la
mantiene en su LAN. Si fueran diferentes redes la 1 y la 3 no tiene duda
sobre por dónde mandar la petición.
Si no puedes cambiarlo (repito que te va a ahorrar mucha guerra), lo que
tienes que hacer es poner rutas estáticas en la con guración de la VPN para
que las IPs en 1 vayan por la interfaz de la VPN. Anunciar que tiene que
meterlas por ahí. Cómo hacerlo depende de cada versión de OpenVPN. No
puedo decírtelo pero ya te digo que lo hemos conseguido….peleando
mucho cada vez que nos toca hacerlo.
Responder
federico
25 octubre, 2019 a las 19:10
Hola
Si creo una partida local tanto de cs o battle eld 2, el que esta conectado por
vpn, las puede visualizar?
Me viene pasando que con la vpn de windows esto no sucede y solo puede
ingresar al servidor si ingresa la ip manualmente (caso cs 1.6)
Responder

28 octubre, 2019 a las 10:50
Que ponga la IP en el archivo hosts durante la partida. Luego lo puede

quitar. El problema que dices es de red, te va a pasar igual.
Responder
Jose Antonio
16 noviembre, 2019 a las 8:21
En primer lugar, gracias por el tutorial, es de lo más claro que he encontrado.

A mí me ha aparecido un problema que seguro es una tontería, pero no logro
pasar de ahí. Al intentar generar las claves me dice “openssl” no se reconoce
como un comando interno o externo. No sé cómo pasar de ahí, porque intuyo
que no logra llegar al openssl de la carpeta bin, pero no sé cómo hacer que lo
haga. Si me puedes contestar te lo agradecería. Un saludo.
Responder

18 noviembre, 2019 a las 10:14

Eso es que no se ha instalado bien y no ha añadido la ruta al path. Dos

soluciones, ejecuta los comandos desde donde está el ejecutable de openssl
y luego mueve los cheros (un poco lioso), o añade la ruta del openssl al
path de linux.
Responder
RSGK
20 febrero, 2020 a las 15:46
Hey corrige la linea de comando para la generacion del archivo “ta.key”, es

openvpn –genkey –secret ta.key. Con doble guion.
Cordial saludo desde Colombia!!!
Responder

20 febrero, 2020 a las 17:25
Así estaba desde un principio…no veo que haya que corregir nada.
Responder
Bernardo Mellibosky
17 marzo, 2020 a las 21:06

En efecto, el texto dice
openvpn –genkey –secret ta.key
y es
openvpn –genkey –secret ta.key (doble guion)
Saludos
Responder

19 marzo, 2020 a las 14:14
Estaba con doble guión desde un principio (obviamente si no no me

hubiera generado los keys a mi). Pero WordPress los estaba juntando.
Los he puesto como código y ya lo muestra, gracias por hacérnoslo saber.
Responder
Fernadno
16 marzo, 2020 a las 14:53
Buenas tardes.
Tengo una duda
Donde pone En la misma carpeta easy-rsa pon openvpn –genkey –secret

ta.key y copia ese chero también a la carpeta C:\Program
Files\OpenVPN\con g\
No encuentro ningún chero que se llame así, podéis ayudarme?
Gracias!
Responder

17 marzo, 2020 a las 9:41
Mira porque el comando genkey genera esos cheros (a lo mejor te ha

cambiado la ruta).
Responder
Bernardo Mellibosky
16 marzo, 2020 a las 21:58
Hola, Buenas Tardes.
Muchas gracoias por este tutorial paso a paso.
Lo he seguido, en una maquina con windows server 2012 R2 y todo ha sido

textual a la guia, salvo que no me ha creado los archivos server.crt ni
server.key.
Gracias de antemano
Bernardo

Responder
cristian
20 marzo, 2020 a las 3:01
hola!! por alguna razon no se me generar el archivo “ta.key” voy a la ubicacion

en cmd con permisos de administrador pero no me funciona ¿que podria ser?
openvpn –genkey –secret ta.key (doble guion)
Responder

21 marzo, 2020 a las 23:08
En remoto es difícil saberlo… lo siento.
Responder
Luccas
15 abril, 2020 a las 21:30
Hola, David no se si te paso o les paso que cuando se instala el openvpn en

win7 el TAP no se instala correctamente, sino que gura como que la rma
digital no pudo ser chequeada y despues de probar lo basico para que no las
chequee como deshabiltar dicho chequeo en ejecutar y bcdedit /set
nointegritychecks ON >reiniciar ordenador y luego proceder a instalar sigue
de la misma manera, algun iluminado que haya podido dar con el solucion
exacta?????
Responder

16 abril, 2020 a las 15:47
No nos ha pasado. Pero si tienes Windows 7 recomiendo que actualices a

Windows 10. Todavía es gratis (aunque diga Microsoft que no).
Responder
Luccas
17 abril, 2020 a las 17:41
Respondo la solucion por si alguno le paso, para win7 con la version de

openvpn 2.6 el tap se instala perfecto y no tira el error de la rma digital.
David te habia consultado anteriormente si sabes en que parte del

server.conf ver el tema de alcanzar las pc de la LAN detras del openvpn
server, ya que a la pc donde esta instalado el openvpn puedo ingresar
poniendo en el “push” la red y la mascara de la LAN y descomenrando el
client-to-client, pero sigo buscando y leyendo que mas puedo agregar para
poder ver las otras pc en la red privada de esa LAN donde esta el openvpn
server.
Responder


17 abril, 2020 a las 19:10
Lucas…si puedes acceder a un equipo puedes acceder a todos.Si tienes la

misma red en ambos sitios, el problema es que SIEMPRE va a intentar
mandarlo por la LAN primero a menos que hagas un push manual de cada
uno manualmente. Las redes funcionan así, y es por lo que no es buena idea
tener 2 LANs con la mis IP.
Responder
Deja un comentario
Nombre *
Correo electrónico *
Web
Guardar mi nombre, correo electrónico y sitio web en este navegador para la

próxima vez que haga un comentario.
Resumen de nuestra Política de Privacidad

Responsable: SmythSys IT Consulting SLNE.

Finalidad: Gestionar y moderar los comentarios.
Legitimación: Necesitas dar tu consentimiento para publicar un comentario.
Destinatarios: Tus datos se alojan en los servidores de OVH.
Derechos: Tienes derecho a acceder, rectificar, limitar y suprimir los datos en la dirección del responsable (en nuestra
política de privacidad).
He leído y acepto la Política de privacidad *
Time limit is exhausted. Please reload CAPTCHA.
7 + cuatro = 
Recibir un correo electrónico con los siguientes comentarios a esta entrada.
Recibir un correo electrónico con cada nueva entrada.
Publicar comentario
Buscar:
Buscar …
Categorías
Elegir la categoría
SOPORTE AL CLIENTE
E-mail: soporte@smythsys.es
Teléfono: 917141735 | 607701973
Últimas entradas del Blog:
No funcionan las teclas de brillo en el portátil. Posible solución. 17 abril, 2020
AsistenciaCOVID-19: la app del Gobierno para autodiagnóstico y consejos para el

coronavirus. Geolocalización opcional. 16 abril, 2020
WooCommerce Redsys Gateway Light. Plugin o cial gratis para Redsys. 15 abril,
2020
Idiomasaunclic.es. Videoclases de idiomas y cursos online. Tu clase cuando quieras

sin compromiso. 14 abril, 2020
Gmail: error enviando mensajes. TLS Negotiation failed, the certi cate doesn’t
match the host. 13 abril, 2020
Prueba G. Suite recomendado por SmythSys

AVISO LEGAL
Política de cookies
Política de Privacidad
Contacto
Síguenos
© 2020 SmythSys IT Consulting • Funciona con GeneratePress


Cómo Crear Una VPN Con OpenVPN en Windows. Parte 1 - Servidor - SmythSys IT Consulting

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Cómo Crear Una VPN Con OpenVPN en Windows. Parte 1 - Servidor - SmythSys IT Consulting

Caricato da

Copyright:

Formati disponibili

17/4/2020 Cómo crear una VPN con OpenVPN en Windows.

Parte 1: Servidor - SmythSys IT Consulting

Privacy & Cookies Policy