Cómo configurar el servidor Pritunl VPN en Rocky Linux 8

Pantalla de configuración de la base de datos Pritunl

Pritunl es un servidor VPN e IPsec de c√≥digo abierto con administraci√≥n de usuarios y escalado horizontal para organizaciones peque√Īas y grandes. Le da al usuario la opci√≥n de usar los protocolos OpenVPN y Wireguard. Viene con una interfaz GUI f√°cil de usar y admite clientes en la mayor√≠a de los dispositivos y plataformas. Todo el tr√°fico entre los clientes y el servidor est√° encriptado. Pritunl se basa en MongoDB, una base de datos confiable y escalable que se puede implementar r√°pidamente y con soporte integrado para la replicaci√≥n, lo que facilita la implementaci√≥n del cl√ļster de Pritunl.

Este tutorial le ense√Īar√° c√≥mo instalar el servidor Pritunl VPN en Rocky Linux 8. Tambi√©n exploraremos c√≥mo conectarse a la VPN usando un cliente Linux.

requisitos previos

  1. Un sistema que ejecuta Rocky Linux 8 para alojar el servidor Pritunl.
  2. Un usuario no root con privilegios sudo.
  3. Un nombre de dominio apuntaba al servidor.
  4. Un sistema que ejecuta Rocky Linux 8 como cliente.
  5. Aseg√ļrate de que todo est√© actualizado.
    $ sudo dnf update
    
  6. Instale cualquier requisito previo.
    $ sudo dnf install nano
    

Paso 1: configurar el cortafuegos

Rocky Linux usa Firewalld Firewall. Compruebe el estado del cortafuegos.

$ sudo firewall-cmd --state
running

Esto indica que est√° funcionando correctamente.

El cortafuegos funciona con diferentes zonas y la zona p√ļblica es la predeterminada, que usaremos. Enumere todos los servicios y puertos activos en el firewall.

$ sudo firewall-cmd --permanent --list-services

Debería mostrar el siguiente resultado.

dhcpv6-client mdns ssh

Permitir puertos HTTP y HTTPS.

$ sudo firewall-cmd --permanent --add-service=http
$ sudo firewall-cmd --permanent --add-service=https

Vuelva a comprobar el estado del cortafuegos.

$ sudo firewall-cmd --permanent --list-all

Deberías ver una salida similar.

public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: cockpit dhcpv6-client http https ssh
  ports: 
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Vuelva a cargar el firewall para habilitar los cambios.

$ sudo firewall-cmd --reload

Paso 2 – Instalar MongoDB

Pritunl se basa en la base de datos MongoDB, por lo que primero debemos instalarlo. Rocky Linux no incluye MongoDB, por lo que debemos usar el repositorio oficial de MongoDB.

Nota: MongoDB 5.0 solo funciona en procesadores más nuevos. Si su servidor se ejecuta en un hardware antiguo, debe optar por una versión anterior de MongoDB o cambiar a un servidor más nuevo.

Cree y abra el archivo /etc/yum.repos.d/mongodb-org-5.0.repo para editarlo.

$ sudo nano /etc/yum.repos.d/mongodb-org-5.0.repo

Pegue el siguiente código en él.

[mongodb-org-5.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/5.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-5.0.asc

Guarde el archivo presionando Control + X y entrando Y cuando se le solicite una vez terminado.

Instale MongoDB.

$ sudo dnf install mongodb-org

Habilite e inicie el servicio MongoDB.

$ sudo systemctl enable mongod --now

Paso 3: instale el servidor Pritunl

El primer paso es crear el repositorio oficial de Pritunl. Cree y abra el archivo /etc/yum.repos.d/pritunl.repo para editarlo.

$ sudo nano /etc/yum.repos.d/pritunl.repo

Pegue el siguiente código en él.

[pritunl]
name=Pritunl Repository
baseurl=https://repo.pritunl.com/stable/yum/centos/8/
gpgcheck=1
enabled=1

Guarde el archivo presionando Control + X y entrando Y cuando se le solicite una vez terminado.

Instale primero el repositorio de Epel, que es requerido por Pritunl.

$ sudo dnf install epel-release

Agregue e importe las claves GPG necesarias para Pritunl.

$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 7568D9BB55FF9E5287D586017AE645C0CF8E292A
$ gpg --armor --export 7568D9BB55FF9E5287D586017AE645C0CF8E292A > key.tmp; sudo rpm --import key.tmp; rm -f key.tmp

Instale Pritunl.

$ sudo dnf install pritunl

Compruebe la versión de Pritunl.

$ pritunl version
pritunl v1.30.2960.4

Habilite e inicie el servicio Pritunl.

$ sudo systemctl enable pritunl --now

Aumentar el límite de archivos abiertos

Ejecute los siguientes comandos para aumentar el límite de archivos abiertos en el servidor. Esto evitará cualquier problema de conexión en caso de alta carga. Si ha instalado MongoDB en un servidor separado, debe ejecutar estos comandos en ese servidor.

$ sudo sh -c 'echo "* hard nofile 64000" >> /etc/security/limits.conf'
$ sudo sh -c 'echo "* soft nofile 64000" >> /etc/security/limits.conf'
$ sudo sh -c 'echo "root hard nofile 64000" >> /etc/security/limits.conf'
$ sudo sh -c 'echo "root soft nofile 64000" >> /etc/security/limits.conf'

Paso 4: acceda y configure Pritunl

Puede iniciar Pritunl ingresando http:/// en su navegador. Los navegadores modernos intentan acceder a la versión HTTPS de cada sitio, por lo que deberá omitir el error de privacidad que arroja el navegador.

Obtendr√° la siguiente pantalla cuando inicie la URL por primera vez.

Pantalla de configuración de la base de datos Pritunl

Toma el URI de MongoDB automáticamente. Para la clave de configuración, ejecute el siguiente comando.

$ sudo pritunl setup-key
eacbd641982048fd9a60cdf09f7ebaa3

Introduzca la clave generada en el sitio web y haga clic en el Ahorrar botón. Actualizará la base de datos y abrirá la pantalla de inicio de sesión.

Pantalla de inicio de sesión de Pritunl

Ejecute el siguiente comando para generar información de inicio de sesión predeterminada.

$ sudo pritunl default-password
[undefined][2021-11-08 22:34:55,255][INFO] Getting default administrator password
Administrator default password:
  username: "pritunl"
  password: "krZQLlH9U7P1"

Ingrese la información de inicio de sesión e inicie sesión. Aparecerá la siguiente pantalla de configuración.

Pantalla de configuración inicial de Pritunl

Ingrese una contrase√Īa segura para reemplazar la predeterminada. Introduzca un dominio bajo el Permite Cifrar Dominio campo. Pritunl generar√° y configurar√° un certificado SSL autom√°ticamente para el dominio.

Ahora puede iniciar el servidor utilizando el nombre de dominio escribiendo https://pritunl.example.com en su navegador.

Paso 5: agregue una organización, un servidor y usuarios

El siguiente paso es agregar una Organizaci√≥n para su VPN. Haga clic en el Usuarios pesta√Īa y haga clic en el Agregar organizaci√≥n bot√≥n.

PESTA√ĎA Usuarios Pritunl

Pritunl Agregar organización

Haga clic en el Agregar botón para proceder.

El siguiente paso es agregar un usuario. Hay dos opciones. Puede agregar usuarios uno por uno o agregarlos de forma masiva. Vamos a agregar un solo usuario por ahora. Haga clic en el Agregar usuario botón.

Pritunl Agregar usuario

El campo PIN es opcional y se utiliza si va a utilizar la autenticaci√≥n de dos factores. El PIN se compone √ļnicamente de n√ļmeros.

Una vez configurada la organizaci√≥n y los usuarios, vaya a la Servidores pesta√Īa y haga clic en el Agregar servidor bot√≥n.

Pritunl Agregar servidor

Puerto: Puede agregar cualquier puerto que usar√° el servidor. Aseg√ļrese de que el puerto que especific√≥ est√© abierto a todo el tr√°fico entrante en el grupo de seguridad.

DNS: Puede agregar Google DNS u OpenDNS.

Red virtual: Puede agregar una IP privada en este campo, pero aseg√ļrese de que ning√ļn otro recurso la use. A los clientes se les asignar√°n direcciones IP de este rango.

Red de GT Virtual: WireGuard Network Direcciones para la red privada que se asignar√° a los clientes de WireGuard. Debe tener el mismo bloque CIDR que la red virtual.

Habilitar WireGuard: Si está marcado, utilizará WireGuard en lugar de OpenVPN. Sin embargo, usaremos OpenVPN para nuestro tutorial, así que déjelo sin marcar.

Puerto GT: Este puerto se utilizará para las conexiones WireGuard. Es de uso exclusivo cuando hemos habilitado la opción WireGuard.

Habilitar el Autenticador de Google: Para usar la verificación en dos pasos, habilite esta opción. Si esta opción está habilitada en el servidor, todos los clientes de ese servidor deben verificar la OTP antes de conectarse a la VPN cada vez.

Habilitar IPv6: Habilita servidores DNS IPv6. Los clientes reciben direcciones IPv6 privadas.

Haga clic en el Agregar botón para terminar.

Haga clic en el Agregar organización botón para vincular la organización con el servidor recién creado.

Adjuntar organización

Haga clic en el Servidor de inicio botón para iniciar la VPN.

Servidor de inicio pritunl

Habilitar puerto en firewall

Para aceptar las conexiones del cliente a través del puerto VPN, debemos habilitarlo a través de nuestro firewall.

$ sudo firewall-cmd --permanent --add-port=18412/udp
$ sudo firewall-cmd --reload

Paso 6: instale el cliente Pritunl

Ahora que nuestro servidor está funcionando, es hora de instalar un cliente y conectarse a la VPN. Pritunl ofrece dos tipos de clientes: una línea de comandos y un cliente GUI.

Para nuestro tutorial, usaremos el cliente de línea de comandos. Solo puede instalar un tipo de cliente en un sistema.

Instale el repositorio EPEL que necesita el cliente Pritunl.

$ sudo dnf install epel-release

Agregue el repositorio oficial de Pritunl a su sistema Rocky Linux.

$ sudo tee -a /etc/yum.repos.d/pritunl.repo << EOF
[pritunl]
name=Pritunl Stable Repository
baseurl=https://repo.pritunl.com/stable/yum/centos/8/
gpgcheck=1
enabled=1
EOF

Agregue e importe las claves GPG.

$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 7568D9BB55FF9E5287D586017AE645C0CF8E292A
$ gpg --armor --export 7568D9BB55FF9E5287D586017AE645C0CF8E292A > key.tmp; sudo rpm --import key.tmp; rm -f key.tmp

Instale el cliente de línea de comandos.

$ sudo dnf install pritunl-client

Paso 7: Conéctese del Cliente al Servidor

Desde la pesta√Īa de usuarios del sitio del servidor Pritunl, obtenga el enlace del perfil temporal para conectarse al cliente.

Pritunl Obtener botón de enlace de perfil

Copie el enlace URI temporal de la √ļltima entrada.

Copia de enlace de perfil temporal Pritunl

Ingrese el siguiente comando en la terminal del cliente para agregar el perfil.

$ pritunl-client add pritunl://example.com/ku/2hd6S6Ug

Aseg√ļrese de agregar el enlace del perfil copiado anteriormente despu√©s de agregar el comando.

Consulta la lista de los perfiles a√Īadidos.

$ pritunl-client list
+----------------------------------+-------------------------+--------------+----------------+----------------+
|                ID                |          NAME           |  ONLINE FOR  | SERVER ADDRESS | CLIENT ADDRESS |
+----------------------------------+-------------------------+--------------+----------------+----------------+
| wkinhnnjyz3ybektjbavy8qpecafqp1e | hforgeuser (howtoforge) | Disconnected | -              | -              |
+----------------------------------+-------------------------+--------------+----------------+----------------+

Ejecute el siguiente comando para conectarse al perfil. No es necesario utilizar el ID de perfil completo en el comando. Solo use las primeras 3 letras del ID del perfil para referirse a él.

$ pritunl-client start wki --mode=ovpn --password=PINOTP
  • Para especificar el modo OPVN, agregue la marca –mode=ovpn en el comando.
  • Si ha habilitado la opci√≥n Google Authenticator, debe configurarla con un cliente Google Authenticator o Authy.
  • Para especificar el PIN y el c√≥digo de autenticaci√≥n de dos factores, use la marca –password=PINOTP en el comando. Por ejemplo, si el pin es 54321 y el c√≥digo OTP es 456789, entonces use la marca –password=54321456789 en el comando anterior. Si solo usa PIN, use la marca –password=PIN.

Ejecute el comando de lista nuevamente para verificar si la conexión funciona.

$ pritunl-client list
+----------------------------------+-------------------------+------------+----------------+----------------+
|                ID                |          NAME           | ONLINE FOR | SERVER ADDRESS | CLIENT ADDRESS |
+----------------------------------+-------------------------+------------+----------------+----------------+
| wkinhnnjyz3ybektjbavy8qpecafqp1e | hforgeuser (howtoforge) | 6 secs     | 178.62.233.196 | 192.168.238.2  |
+----------------------------------+-------------------------+------------+----------------+----------------+

Ha realizado una conexión exitosa a Pritunl VPN.

Línea de comando Pritunl

El servidor Pritunl viene con una herramienta de línea de comandos que puede usar para realizar algunas operaciones básicas.

Reparar base de datos

Puede usar Pritunl para reparar la base de datos y permitir la recuperación de una base de datos corrupta o inconsistente.

Primero, detenga el servidor Pritunl.

$ sudo systemctl stop pritunl

Reparar la base de datos.

$ sudo pritunl repair-database

Reinicie el servicio Pritunl.

$ sudo systemctl start pritunl

El comando repair-database borrar√° todos los registros, restablecer√° todas las direcciones IP virtuales est√°ticas de los usuarios y pondr√° todos los servidores en estado detenido.

Restablecer credenciales

El siguiente comando restablecer√° el nombre de usuario y la contrase√Īa del administrador a pritunl. Tambi√©n eliminar√° cualquier configuraci√≥n de inicio de sesi√≥n √ļnico y autenticaci√≥n en dos pasos para el usuario administrador si est√° habilitada.

$ sudo pritunl reset-password

Cambiar el puerto de la consola web

De forma predeterminada, Pritunl se ejecuta en el puerto 443. Si desea cambiarlo, use el siguiente comando.

$ sudo pritunl set app.server_port 8443

Pritunl ejecuta un servidor web en el puerto 80 para la verificaci√≥n de Let’s Encrypt y redirige las solicitudes HTTP a HTTPS. Puede desactivar la redirecci√≥n con el siguiente comando. Esto tambi√©n evitar√° el uso de certificados Let’s Encrypt.

$ sudo pritunl set app.redirect_server false

Conclusión

Esto concluye nuestro tutorial sobre cómo configurar y usar el servidor Pritunl VPN en un servidor Rocky Linux 8. Si quieres saber más sobre Pritunl, puedes seguir su documentación oficial. Si tiene alguna pregunta, publíquela en los comentarios a continuación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *