OpenVPN: configuración del servidor Ubuntu y del cliente Keenetic
Publicado el 11.09.2025
En esta instrucción veremos cómo levantar un servidor OpenVPN en Ubuntu y conectar a él un router Keenetic. Este escenario es útil si necesitas dar acceso a la red doméstica o reenviar servicios (por ejemplo, PBX o servidor web) a través de VPN.
1. Preparación del servidor Ubuntu
1.1 Instalación de paquetes
sudo apt update
sudo apt install -y openvpn easy-rsa iptables-persistent
1.2 Creación de la PKI (Easy-RSA v3)
make-cadir ~/easy-rsa
cd ~/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass
Claves del servidor
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
Claves de cliente (para Keenetic)
./easyrsa gen-req keenetic nopass
./easyrsa sign-req client keenetic
Clave TLS (justo tls-auth, no tls-crypt)
openvpn --genkey secret ta.key
1.3 Colocar las claves
En
/etc/openvpn/server/:server.crt,server.key,dh.pem,ca.crt,ta.key
En
/etc/openvpn/ccd/keenetic(crearemos más tarde) — rutas LAN.
2. Configuración del servidor OpenVPN
Archivo /etc/openvpn/server/server.conf:
port 1194
proto udp
dev tun
user nobody
group nogroup
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
ca ca.crt
cert server.crt
key server.key
dh dh.pem
# Protección TLS
tls-auth ta.key 0
auth SHA256
data-ciphers AES-256-CBC
data-ciphers-fallback AES-256-CBC
keepalive 10 120
persist-key
persist-tun
explicit-exit-notify 1
# Empujar solo las rutas necesarias
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.45.0 255.255.255.0"
# Configuraciones individuales de clientes
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
log-append /var/log/openvpn/openvpn.log
verb 3
3. Especificar la red detrás del Keenetic (CCD)
Archivo /etc/openvpn/ccd/keenetic:
iroute 192.168.45.0 255.255.255.0
4. Habilitar el reenvío de IP
echo 'net.ipv4.ip_forward=1' | sudo tee /etc/sysctl.d/99-openvpn.conf
sudo sysctl --system
5. Configuración de iptables (DNAT + SNAT)
Ejemplo para:
- Servidor web:
192.168.45.230:443 - PBX:
192.168.45.235:5060–5065 TCP, 10000–20000 UDP
EXT_IF=enp3s0 # interfaz externa
# DNAT
iptables -t nat -A PREROUTING -i $EXT_IF -p tcp --dport 443 -j DNAT --to-destination 192.168.45.230
iptables -t nat -A PREROUTING -i $EXT_IF -p tcp --dport 5060:5065 -j DNAT --to-destination 192.168.45.235
iptables -t nat -A PREROUTING -i $EXT_IF -p udp --dport 10000:20000 -j DNAT --to-destination 192.168.45.235
# FORWARD (ida y vuelta)
iptables -A FORWARD -i $EXT_IF -o tun0 -d 192.168.45.230 -p tcp --dport 443 \
-m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $EXT_IF -o tun0 -d 192.168.45.235 -p tcp --dport 5060:5065 \
-m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $EXT_IF -o tun0 -d 192.168.45.235 -p udp --dport 10000:20000 \
-m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -o $EXT_IF \
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# SNAT (para que las respuestas vayan a través del servidor VPN)
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d 192.168.45.0/24 -o tun0 -j MASQUERADE
Guardar reglas:
netfilter-persistent save
6. Configuración del cliente Keenetic
Archivo keenetic.ovpn:
client
dev tun
proto udp
remote <PUBLIC_IP_UBUNTU> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
tls-auth ta.key 1
key-direction 1
auth SHA256
cipher AES-256-CBC
verb 3
<ca>
-----BEGIN CERTIFICATE-----
... ca.crt ...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
... keenetic.crt ...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
... keenetic.key ...
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
... ta.key ...
-----END OpenVPN Static key V1-----
</tls-auth>
Cargar en la interfaz de Keenetic: Internet → Clientes VPN → OpenVPN → Cargar perfil.
- Desmarcar la casilla: «Usar para salida a Internet» (de lo contrario, todo el tráfico saldrá por la VPN).
✅ Resultado
Ahora el servidor Ubuntu actúa como puerta de enlace VPN, y el Keenetic proporciona acceso a su red local (192.168.45.0/24). Además, se ha implementado el reenvío de puertos para los servicios detrás del router.