En mi caso en la instalacion limpia con el script de instalacion de freepbx 17 ya tengo el servicio pero vamos a configurarlo en modo servidor

1.- Crear infraestructura de certificados

entramos a EasyRSA: cd /etc/openvpn/easyrsa3 e inicializamos el PKI: ./easyrsa init-pki

Creamos la autoridad certificadora: ./easyrsa build-ca nopass

2.- Creamos certificado del servidor

./easyrsa build-server-full server nopass

3.- Crear Diffie-Hellman

./easyrsa gen-dh

4.- Crear clave TLS (recomendado)

openvpn –genkey secret ta.key

5.- Copiar archivos al servidor OpenVPN

cp pki/ca.crt /etc/openvpn/server/
cp pki/private/server.key /etc/openvpn/server/
cp pki/issued/server.crt /etc/openvpn/server/
cp pki/dh.pem /etc/openvpn/server/
cp ta.key /etc/openvpn/server/

6.- Crear configuración del servidor

nano /etc/openvpn/server/server.conf

contenido basico:

port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"

keepalive 10 120
persist-key
persist-tun

cipher AES-256-CBC
user nobody
group nogroup

verb 3

• Blog
• Contacto

Buscar:Alternar la barra lateral y la navegación

Montando un Servidor OpenVPN en FreePBX 17 (Debian 6)

por adminen Uncategorizeden Publicado elmarzo 18, 2026

En mi caso en la instalacion limpia con el script de instalacion de freepbx 17 ya tengo el servicio pero vamos a configurarlo en modo servidor

1.- Crear infraestructura de certificados

entramos a EasyRSA: cd /etc/openvpn/easyrsa3 e inicializamos el PKI: ./easyrsa init-pki

Creamos la autoridad certificadora: ./easyrsa build-ca nopass

2.- Creamos certificado del servidor

./easyrsa build-server-full server nopass

3.- Crear Diffie-Hellman

./easyrsa gen-dh

4.- Crear clave TLS (recomendado)

openvpn –genkey secret ta.key

5.- Copiar archivos al servidor OpenVPN

cp pki/ca.crt /etc/openvpn/server/
cp pki/private/server.key /etc/openvpn/server/
cp pki/issued/server.crt /etc/openvpn/server/
cp pki/dh.pem /etc/openvpn/server/
cp ta.key /etc/openvpn/server/

6.- Crear configuración del servidor

nano /etc/openvpn/server/server.conf

contenido basico:

port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"

keepalive 10 120
persist-key
persist-tun

cipher AES-256-CBC
user nobody
group nogroup

verb 3

7.- Crear certificado del cliente

./easyrsa build-client-full cliente1 nopass

8.- Archivos que se generan

pki/issued/cliente1.crt
pki/private/cliente1.key
pki/ca.crt

y tambien se usa: /etc/openvpn/server/ta.key

8.- Crear archivo .ovpn (cliente)

client
dev tun
proto udp

remote TU_IP_PUBLICA 1194

resolv-retry infinite
nobind
persist-key
persist-tun

remote-cert-tls server

cipher AES-256-CBC
verb 3

key-direction 1

<ca>
-----BEGIN CERTIFICATE-----
(PEGA AQUI el contenido de ca.crt)
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
(PEGA AQUI cliente1.crt)
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
(PEGA AQUI cliente1.key)
-----END PRIVATE KEY-----
</key>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
(PEGA AQUI ta.key)
-----END OpenVPN Static key V1-----
</tls-auth>

Cómo sacar cada contenido

Ejemplo:

cat pki/ca.crt
cat pki/issued/cliente1.crt
cat pki/private/cliente1.key
cat /etc/openvpn/server/ta.key

copiamos y pegamos dentro del .ovpn