to en linux
TRANSCRIPT
Enrutamiento en Linux
En nuestro Centro Educativo hemos venido detectando problemas de saturación de la línea de conexión a Internet sin motivo justificado. Hemos detectado que en algún ordenador de la sala de profesorado y de algún departamento hay instalados programas de P2P (descarga masiva) y somos conscientes de que estos programas saturan el canal de salida a Internet del centro, además sospechamos que el alumnado también utiliza este tipo de programas.
El router ADSL está conectado a un switch y por lo tanto a través de múltiples utilidades es fácil conocer su dirección IP y configurar nuestro equipo como puerta de enlace, con el consiguiente acceso libre a Internet y a la descarga masiva. Nos encontramos con un esquema del tipo:
Este esquema no permite controlar el tráfico de red puesto que los PCs tienen acceso directo al router.
Situando el servidor entre la red y el router, todo el tráfico hacia Internet pasa por el servidor lo que nos permitirá analizarlo, generar estadísticas, filtrar accesos, instalar un proxy-caché, etc., de forma sencilla y centralizada.
Activación del enrutamiento en Linux
Las funciones de enrutamiento mediante NAT son realizadas por el cortafuegos que analizará los paquetes provenientes de la red local interna cuyo destino sea Internet y los modificará convenientemente para que salgan hacia Internet como si fueran emitidos por el servidor. A partir del núcleo 2.4 de Linux, el cortafuegos empleado es iptables.
Para posibilitar que nuestro servidor Linux sea capaz de comportarse como un router y hacer de puerta de enlace para los PCs de nuestra red local, será necesario crear un script que configure el cortafuegos iptables para que realice NAT desde dentro de la red local hacia Internet.
Creación del script para activar enrutamiento
Para activar el enrutamiento en un sistema Linux, tan solo basta con poner a '1' la variable ip_forward del sistema, es decir, basta con ejecutar desde una consola de root:
// Activar el enrutamiento en un sistema Linux# echo "1" > /proc/sys/net/ipv4/ip_forward
Posteriormente tendríamos que configurar el filtrado para que acepte el redireccionamiento de paquetes desde dentro hacia fuera de nuestra red y mediante NAT permita que los PCs de la red interna naveguen con la dirección IP 'publica' del servidor. Supongamos que el router Linux tiene una tarjeta (eth0) configurada con la IP 192.168.1.2/24 y conectada al router, cuya IP es 192.168.1.1/24, y por otro lado, tenemos otra tarjeta (eth1) configurada con la ip 10.0.0.1/8 y conectada al switch para dar servicio a nuestra red interna que utiliza el rango 10.0.0.0/8. Nuestro esquema sería como el que vemos en la siguiente figura:
Router Linux
Tendríamos que indicar que se acepten todos los paquetes que son para reenviar, es decir, aquellos que llegan a nuestra máquina pero que no es ella la destinataria. Para ello, tendríamos que aceptar los paquetes de tipo FORWARD, como veremos en la siguiente sección. Por otro lado, tendríamos que indicar que los paquetes que llegan desde nuestra red interna (-s 10.0.0.0/8) y que salgan por la interfaz eth0 hacia el router (-o eth0), después de enrutarlos en nuestra máquina (POSTROUTING), debemos enmascararlos (MASQUERADE), es decir, hacer NAT. Los comandos a ejecutar serían:
// Haciendo NAT en el servidor# iptables -A FORWARD -j ACCEPT# iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
Podríamos realizar un script que activara el enrutamiento y el NAT y otro para desactivarlo:
// activar-enrutamiento.shecho "1" > /proc/sys/net/ipv4/ip_forwardiptables -A FORWARD -j ACCEPTiptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
// desactivar-enrutamiento.shecho "0" > /proc/sys/net/ipv4/ip_forward
Así, nuestro servidor se convertiría en un router. Si todas las comunicaciones de la red pasan por nuestro servidor, podremos tenerlas controladas, como veremos en las siguientes secciones.
Crear y eliminar rutas fijas
Cuando activamos el enrutamiento en Linux, nuestra máquina se convierte en un router automático, de forma que todo lo que entre por la interfaz eth0 con destino a una red diferente de la definida en eth0, lo reenviará por la interfaz eth1 y de igual forma, todo lo que entre por la interfaz eth1 con destino a una red diferente de la definida en eth1, lo reenviará por la interfaz eth0. Es el funcionamiento normal de un router, enrutar todo.
En algunos casos, puede que nos interese que ciertos paquetes salgan por una interfaz concreta. Por ejemplo, supongamos que en nuestra red disponemos de dos conexiones ADSL independientes, una para dar servicio de conexión a Internet al servidor (interfaz de producción) y otra, para conectarnos
desde nuestra casa al servidor, para realizar tareas de administración (interfaz de administración).Supongamos que la interfaz eth0 está conectada al router ADSL de producción y la interfaz eth1 está conectada al router ADSL para realizar tareas de administración.
Rutas fijas
Lo normal es que la interfaz eth0 tenga configurada como puerta de enlace la IP del router de conexión a Internet, pero la interfaz eth1 no debería tener configurada la puerta de enlace, para que no exista tráfico hacia Internet por dicha interfaz. Si en el ADSL de nuestra casa tenemos IP fija, podemos crear una ruta para que cuando la IP destino sea la IP fija de nuestra casa, los paquetes se enruten por eth1 en lugar de hacerlo por eth0. Ejemplo, si nuestra IP de casa es 80.58.12.27, el comando a ejecutar será:
//Crear una ruta para una IP concreta# route add 80.58.12.27 eth1
En lugar de una IP concreta, quizás nos interese crear una ruta para toda una red. Supongamos que queremos que cuando la IP destino sea una IP del CNICE, salga por la interfaz eth1. Teniendo en cuenta que el rango de IPs públicas del CNICE es 192.144.238.0/24, el comando a ejecutar sería:
//Crear una ruta para una red concreta# route add -net 193.144.238.0/24 eth1
Si queremos eliminar una ruta, utilizaremos el parámetro 'del' seguido de la IP o la red destinataria. Ejecutaríamos el siguiente comando:
//Eliminar una ruta# route del -net 193.144.238.0/24
Si queremos ver la configuración de la tabla de rutas, debemos ejecutar el comando route sin parámetros:
//Ver rutas# route
Establecer rutas puede ser muy interesante cuando queremos dividir nuestra red en diferentes subredes y disponemos de un servidor con varias tarjetas de red.
VPN en servidor Linux y clientes Windows/Linux con OpenVPN + Shorewall [Parte 1]Autor: William López JiménezCorreo electrónico: william [punto] koalasoft [arroba] gmail [punto] comSitio de Red: http://www.koalasoftmx.netJabber ID: [email protected]
Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1
© 2006-2007 William López Jiménez. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades con fines de lucro) . c) Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos.
INTRODUCCIÓN
OpenVPNes una solución de conectividad basada en software: SSL(Secure Sockets Layer) VPNVirtual Private Network [red virtual privada], OpenVPN ofrece conectividad punto-a-punto con validación, jerárquica de usuarios y host conectados remotamente, resulta una muy buena opción en tecnologías Wi-Fi(redes inalámbricas EEI 802.11) y soporta una amplia configuración, entre ellas balanceo de cargasentre otras.
Está publicado bajo licencia de código-libre (Open Source).
Tipo de configuración.
En esta ocasión se realizará una configuración tipo VPN Intranet.
Este tipo de redes es creado entre una oficina central [servidor] y una o varias oficinas remotas [clientes]. El acceso viene del exterior. Se utiliza este tipo de VPN cuando se necesita enlazar a los sitios que son parte de una compañía, en nuestro caso será compuesto por un servidor Central que conectará a muchos clientes VPN entre si.
La información y aplicaciones a las que tendrán acceso los directivos móviles en el VPN, no serán las mismas que aquellas en donde pueden acceder los usuarios que efectúan actividades de mantenimiento y soporte, esto como un ejemplo de lo que se podrá realizar con esta configuración.
Ademas de que podrá conectarse vía Terminal Server [en el caso de clientes Linux] a terminales Windows de la red VPN así como de Clientes Windows a computadoras con el mismo sistema operativo [mediante RDP].
Nota Importante: Enfocado a esta configuración .. Una vez que los clientes [Win/Linux] se conecten a la red VPN quedarán automáticamente sin conexión a Internet, lo cual NO podrán acceder a la red mundial. Esto puede ser modificable en el servidor VPN.
Servidor de Pasarela OpenVpn con clientes [Win/Linux] remotos
El servidor VPN hace de pasarelapara que todos los clientes [Windows/Linux] puedan estar comunicados a través del túnel OpenVpn, estos al conectarse por medio de Internet al túnel automáticamente quedan sin lineaa la red mundial quedando como una red local, esto claro esta a través del VPN.
Cada cliente se encuentra en lugares diferentes [ciudad/estado/país] con diferentes tipos de segmento de red, al estar conectados mediante el túnel VPN se crea un red virtual y se asigna un nuevo segmento de red proporcionada por el servidor principal en este caso con segmento [10.10.0.0/255.255.255.255].
INSTALACIÓN VPN CON OPENVPN
Actualización del Sistema
Antes que nada debemos actualizar todo nuestro sistema, si cuenta con acceso a Internet así como también correctamente configurado sus depósitos yum se hará de la siguiente forma:
yum -y update
Lo anterior bajará lo paquetes actualizados de Internet así como sus dependencias en caso de ser necesario.
Paquetes Requeridos
Instalación a partir de RPM
Se necesita los paquetes OpenVPN y lzo, se podrá hacer de la siguiente forma, si cuenta en sus depósitos con la paquetería AL Desktop:
yum -y install openvpn lzo
Instalación a partir de paquete TAR.
En caso de no contar con paquetes RPMpuede hacerlo de forma manual.
Se requiere utilizar la compresión sobre el enlace VPN, para esto instale la biblioteca LZO [http://www.oberhumer.com/opensource/lzo/].
Si utiliza un Linux 2.2 o anterior descargue el controlador TUN/TAP [http://vtun.sourceforge.net/tun/].
Los usuarios de Linux 2.4.7 o superior deberían tener el controlador TUN/TAP ya incluido en su kernel.
Usuarios de Linux 2.4.0 -> 2.4.6 deberían leer la advertencia al final del fichero INSTALL.
Descargue ahora la última release de OpenVPN:
[http://prdownloads.sourceforge.net/openvpn/]
Instalar desde paquete .tar, descomprima el paquete donde x.x-x es la versión del Openvpn:
tar zxvf openvpn-x.x-x.tar.gz
Compilar OpenVPN:
cd openvpn-x.x../configuremakemake install
Si no se descargó la biblioteca LZO, añada --disable-lzoal comando configure. Se pueden habilitar otras opciones como el soporte para pthread(./configure --enable-pthread) para mejorar la latencia durante los intercambios dinámicos de clave SSL/TLS.
Si desea mas información acerca de todas las opciones de configuración para OpenVPN puede usar el comando.
./configure –help
Preparación de guiones (script) RSA.
Para la administración de la PKI (Infraestructura de Llave Publica - Public Key Infrastructure) usaremos los guiones que vienen junto con OpenVPN (easy-rsa) la versión reciente trae consigo muchas mejoras, es esta easy-rsa 2.0.
cp -Rp /usr/share/doc/openvpn-x.x-x/easy-rsa/ /etc/openvpncp /etc/openvpn/easy-rsa/openssl.cnf /etc/openvpn
A continuación será modificar la Autoridad Certificadora ( CA) para generar las llaves, para esto se edita el fichero /etc/openvpn/easy-rsa/vars de la siguiente forma, por ejemplo:
export KEY_COUNTRY=MXexport KEY_PROVINCE=MiEstado/Provinciaexport KEY_CITY=MiCiudadexport KEY_ORG="midominio.com"export KEY_EMAIL="[email protected]"
De lo anterior, cada elemento significa lo siguiente:
• KEY_COUNTRY: Especifica el país donde se encuentra el servidor vpn
• KEY_PROVINCE: Provincia o estado donde se encuentra este.
• KEY_CITY: Ciudad ubicado el servidor vpn.
• KEY_ORG: Dominio o departamento de la organización/Empresa.
• KEY_MAIL: Correo electrónico de la organización/empresa.
Importante: Se deben de llenar todos los parámetros ya que son indispensables para los certificados que serán creados.
Seguidamente se ejecutarán los guiones (scripts) para general las llaves correspondientes de la siguiente forma:
Inicializando Autoridad Certificadora el CA
Para generar el CA deberá realizar los siguientes pasos:
cd /etc/openvpn/source easy-rsa/2.0/./varssh easy-rsa/2.0/clean-allsh easy-rsa/2.0/build-cacd /etc/openvp
Generando Parametros Diffie Hellman.
Los parámetros Diffie Hellmandeben de ser generados en el Servidor OpenVPN, para realizar esto deberá ejecutar el guión de la siguiente forma:
sh easy-rsa/2.0/build-dh
Generación de llaves.
Para generar el certificado y llave privada para el servidor será de la siguiente forma:
sh easy-rsa/2.0/build-key-server miservidor
En donde [miservidor] es una variable para identificar la llave privada del servidor.
Para generar el certificado y llave para los clientes se hará de la siguiente forma:
Recomendación: Cada cliente deberá tener su propia llave.
sh easy-rsa/2.0/build-key clientesh easy-rsa/2.0/build-key cliente1sh easy-rsa/2.0/build-key cliente2
Una ves que se han generado las llaves correspondientes a los clientes y servidor, se podrá rescatar estas en el directorio /etc/openvpn/easy-rsa/2.0/keys
CONFIGURACIÓN.
Configuración del Servidor Linux VPN
Para la creación del servidor OpenVPN se deberá crear un archivo de configuración udppara el este en el directorio /etc/openvpn/ con el nombre servidorvpn-udp-1194.conf
port 1194proto udpdev tun#---- Seccion de llaves -----ca keys/ca.crtcert keys/server.crtkey keys/server.keydh keys/dh1024.pem#----------------------------server 10.11.0.0 255.255.255.0ifconfig-pool-persist ipp.txtkeepalive 10 120comp-lzopersist-keypersist-tunstatus openvpn-status-servidorvpn-udp-1194.logverb 3
Descripción:
Port: Especifica el puerto que será utilizado para que los clientes vpn puedan conectarse al servidor.
Proto: tipo de protocolo que se empleará en a conexión a través de VPN
dev: Tipo de interfaz de conexión virtual que se utilizará el servidor openvpn.
ca: Especifica la ubicación exacta del fichero de Autoridad Certificadora [.ca].
cert: Especifica la ubicación del fichero [.crt] creado para el servidor.
key: Especifica la ubicación de la llave [.key] creada para el servidor openvpn.
dh: Ruta exacta del fichero [.pem] el cual contiene el formato de Diffie Hellman (requirerido para --tls-serversolamente).
server: Se asigna el rango IP virtual que se utilizará en la red del túnel VPN.
Ifconfig-pool-persist: Fichero en donde quedarán registrado las direcciones IP de los clientes que se encuentran conectados al servidor OpenVPN.
Keepalive 10 120 : Envía los paquetes que se manejan por la red una vez cada 10 segundos; y asuma que el acoplamiento es abajo si ninguna respuesta ocurre por 120 segundos.
comp-lzo: Especifica los datos que recorren el túnel vpn será compactados durante la trasferencia de estos paquetes.
persist-key: Esta opción soluciona el problema por llaves que persisten a través de los reajustes SIGUSR1, así que no necesitan ser releídos.
Persist-tun: Permite que no se cierre y re-abre los dispositivos TAP/TUN al correr los guiones up/down
status: fichero donde se almacenará los eventos y datos sobre la conexión del servidor [.log]
verb: Nivel de información (default=1). Cada nivel demuestra todo el Info de los niveles anteriores. Se recomienda el nivel 3 si usted desea un buen resumen de qué está sucediendo.
0 --No muestra una salida excepto errores fatales. 1 to 4 –Rango de uso normal. 5 --Salida Ry Wcaracteres en la consola par los paquetes de lectura y escritura, mayúsculas es usada por paquetes TCP/UDP minúsculas es usada para paquetes TUN/TAP.
Para la configuración del Servidor VPN necesitamos insertar el módulo (tun) para controlar los interfaces /dev/net/tunXque se necesiten en le sistema, así pues creamos el directorio /var/emptypara hacer chroot y seguidamente reiniciamos el servicio OpenVPN:
Cargamos el módulo:
modprobe tun
Y habilitamos el IP forwarding:
echo 1 > /proc/sys/net/ipv4/ip_forward
Comprobamos que tenemos /dev/net/tun, si no existelo lo creamos con:
mknod /dev/net/tun c 10 200
A continuación se creará un directorio para hacer chroot [jaula], en el cual solamente seráusado para configuración de clientes Linux (no-Windows), de la siguienteforma:
mkdir /var/empty
Ahora signamos el tipo de usuarios y grupo como [nobody]..
chown nobody.nogroup /var/empty
Para la ejecución del servidor OpenVPN puede utilizar el siguiente guión y guardarlo con el nombre de [iniciovpnserver], tendrá el siguiente contenido:
#!/bin/bash##-- Variables --RUTACONFIG=”/etc/openvpn/”NOMCONFIG=”servidorvpn-udp-1198.conf”##-- Ejecuciónde la configuraciónpara el servicioOpenVPN#$RUTACONFIG./$NOMCONFIG #exit 0
Y damos los permiso de ejecución correspondientes:
chmod +x iniciovpnserver
Para ejecutar nuestro guión al inicio del sistema (arranque), puede colocar lo siguiente dentro del fichero /etc/rc.local
#inicia la configuración OpenVPN /donde/este/tu/fichero/iniciovpnserver
Configuración del cortafuego [Shorewall]
Acerca de shorewall
Shorewall(Shoreline Firewall) es una robusta y extensible herramienta de alto nivel para la configuración de muros cortafuego. Shorewall solo necesita se le proporcionen algunos datos en algunos ficheros de texto simple y éste creará las reglas de cortafuegos correspondientes a través de iptables. Shorewallpuede permitir utilizar un sistema como muro cortafuegos dedicado, sistema de múltiples funciones como puerta de enlace, dispositivo de encaminamiento y servidor.
URL: http://www.shorewall.net/
En esta ocasión se supone que el servidor VPN se encuentra en el mismo Firewall.
Procedimiento
Fichero de configuración /etc/shorewall/zones
En este fichero se definirá las zonas que se administrarán con Shorewall. La zona fwestá presente en el fichero /etc/shorewall.conf como configuración predefinida. En el siguiente ejemplo se registrarán las zonas de Internet (net), Red Local (loc) y el túnel virtual tunpara el vpn (rem):
#ZONE DISPLAY OPTIONSfw firewallnet ipv4loc ipv4# OpenVPN ----rem ipv4#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Fichero de configuración /etc/shorewall/interfaces
En éste se establecen cuales serán las interfaces para las tres diferentes zonas. Se establecen las interfaces que corresponden a la Internet, virtual tuny Red Local.
A continuación se cuenta con una interfaz ppp0 para acceder hacia Internet, una interfaz eth0 para acceder hacia la LANy una interfaz rem para acceder hacia la red virtual tun, y en todas se solicita se calcule automáticamente la dirección de transmisión (Broadcast):
#ZONE INTERFACE BROADCAST OPTIONS GATEWAYnet ppp0 detectloc eth0 detect# OpenVPN ----rem tun0 detect#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Fichero de configuración /etc/shorewall/policy
En este fichero se establece como se accederá desde una zona hacia otra y hacia la zona de Internet.
#SOURCE DEST POLICY LOG LIMIT:BURSTloc net ACCEPTfw net ACCEPT# OpenVpn ----rem fw ACCEPTfw rem ACCEPTnet rem ACCEPTrem net ACCEPT# ------------net all DROP infoall all REJECT info#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Lo anterior hace lo siguiente:
1. La zona de la red local puede acceder hacia la zona de Internet.
2. La zona virtual tun (rem) puede acceder hacia el cortafuegos, viceversa y también hacia la zona de Internet.
3. El cortafuegos mismo puede acceder hacia la zona de Internet.
4. Se impiden conexiones desde Internet hacia el resto de las zonas.
5. Se establece una política de rechazar conexiones para todo lo que se haya omitido.
Fichero de configuración /etc/shorewall/tunnels
En éste se establecen el tipo de conexión vpn. Puesto que es un servidor VPN se le indicará a al cortafuego que en el servidor vpn se utilizará el puerto que nosotros le indiquemos así como también la IP donde se encuentra este, en nuestro caso siguiendo el tipo de configuración será en la red 192.168.2.0/24:
#TYPE ZONE GATEWAY GATEWAY# ZONEopenvpnserver:1194 rem 192.168.2.0/24#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Fichero de configuración /etc/shorewall/rules
Todos los puertos están cerrados de modo predefinido, así que se deberá habilitar el puerto configurado para el túnel vpn en el cual fue especificado en la configuración del servidor OpenVpn. Esto debe ser especificado con la acción [ACCEPT] en [rules].
ACCEPT
La acción ACCEPT se especificará que se permiten conexiones para el puerto OpenVpn desde o hacia una(s) zona (s) un protocolo(s) y puerto(s) en particular. A continuación se permiten conexiones desde Internet hacia el firewall y viceversa por el puerto UDP [1194]. Los nombres de los servicios se asignan de acuerdo a como estén listados en el fichero /etc/services.
#ACTION SOURCE DEST PROTO DEST# PORT# OpenVPn ---ACCEPT net fw udp 1194ACCEPT fw net udp 1194#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Configuración de SELinux.
A fin de permitir que OpenVPN funcione en un sistema con SELinux activo, es necesario activar la política setsebool openvpn_disable_trans de la siguiente manera.
setsebool openvpn_disable_trans 1
Configuración de Clientes VPN con OpenVPN.
Clientes Windows
Para la configuración de clientes OpenVPN utilizaremos el programa OpenVPN GUI para Windows.
OpenVPN GUI para Windowscorre normalmente en una ventana de consola, al ser conectado al servidor remoto/local VPN le da un aviso en el área de notificación (el área de abajo a la derecha por el reloj en la barra ), desde allí puede tener el control de iniciar/parar el Cliente OpenVPN, consultar los avisos (log), incluso cambiar su contraseña.
Puede ser descargado en el sitio OpenVPN GUI for Windows [http://openvpn.se].
Preparativos y configuración
A continuación deberá copiar los siguientes ficheros:
• ca.crt.
• cliente1.crt.
• cliente1.csr.
• cliente1.key
Estos fueron creados en el directorio /etc/openvpn/easy-rsa/2.0/keys y deberán ser colocados en la máquina cliente dentro de C:Program FilesOpenVPNconfig o a su vez en C:|Archivos de Programa|OpenVPN|config
Se creará un fichero de configuración cliente para el OpenVPN dentro del directorio C:|Archivos de ProgramaOpenVPNconfigcon el nombre de cliente1-udp-1194.ovpn.
Tendrá la siguiente configuración:
clientdev tunproto udpremote dominio-o-ip.del.servidor.vpn 1194floatresolv-retry infinitenobindpersist-keypersist-tun#------ SECCION DE LLAVES --------ca ca.crtcert cliente.crtkey cliente.keyns-cert-type server#---------------------------------comp-lzoverb 3
Descripción:
client: Especifica el tipo de configuración, en este caso tipo cliente OpenVPN.
Port: Especifica el puerto que será utilizado para que los clientes VPN puedan conectarse al servidor.
Proto: tipo de protocolo que se empleará en a conexión a través de VPN
dev: Tipo de interfaz de conexión virtual que se utilizará el servidor openvpn.
remote: Host remoto o dirección IP en el cliente, el cual especifica al servidor OpenVPN.
El cliente OpenVPN puede tratar de conectar al servidor con host:porten el orden especificado de las opciones de la opción --remote.
float: Este le dice a OpenVPN aceptar los paquetes autenticados de cualquier dirección, no solamente la dirección cuál fue especificado en la opción --remote.
resolv-retry: Si la resolución del hostname falla para -- remote, la resolución antes de fallar hace una re-comprobación de n segundos.
nobind: No agrega bind a la dirección local y al puerto.
ca: Especifica la ubicación exacta del fichero de Autoridad Certificadora [.ca].
cert: Especifica la ubicación del fichero [.crt] creado para el servidor.
key: Especifica la ubicación de la llave [.key] creada para el servidor OpenVPN.
remote: Especifica el dominio o IP del servidor así como el puerto que escuchara las peticiones para servicio VPN.
comp-lzo: Especifica los datos que recorren el túnel VPN será compactados durante la trasferencia de estos paquetes.
persist-key: Esta opción soluciona el problema por llaves que persisten a través de los reajustes SIGUSR1, así que no necesitan ser releídos.
Persist-tun: Permite que no se cierre y re-abre los dispositivos TAP/TUN al correr los guiones up/down
verb: Nivel de información (default=1). Cada nivel demuestra toda la Información de los niveles anteriores. Se recomienda el nivel 3 si usted desea un buen resumen de qué está sucediendo.
0 --No muestra una salida excepto errores fatales. 1 to 4 –Rango de uso normal. 5 --Salida Ry Wcaracteres en la consola par los paquetes de lectura y escritura, mayúsculas es usada por paquetes TCP/UDP minúsculas es usada para paquetes TUN/TAP.
Una ves configurado el cliente VPN con Windows, deberá ir al área de notificación (el área de abajo a la derecha por el reloj en la barra de Windows) y dar un click derecho al icono del cliente OpenVPN, allí aparecerá un menú en el cual podrá elegir la opción conectar [connect].
Nota: Para una mejor comprensión se recomienda haber leído la [Parte 1] de este manual.
Continuación ...
Menú del cliente OpenVPN para efectuar la conexión al servidor VPN
Cuando intente conectarse al servidor VPN una vez que haya elegido la opción [connect]
aparecerá una ventana de notificación en el cual vera los procesos de verificación e intento de
conexión al servidor VPN, si todo sale bien, en el icono de notificación del cliente OpenVPN le
indicará la correcta conexión y le mostrará el número de IP virtual [tun] que se le fue asignado.
Mensaje de notificación al conectarse al servidor VPN
Pruebas de Conexión
Una ves efectuada la conexión al servidor, para asegurarse que estamos dentro del túnel VPN y
tenemos conexión al servidor, podemos realizar una búsqueda de dirección IP [Ping], así como
también verificar el número IP asignado por el servidor VPN al estar conectarnos en el túnel.
Para esto utilizaremos el comando [cmd] para hacer llamado al MS-Dos de Windows a través de la
aplicación [ejecutar].
Una ves estando en la consola en modo texto, utilice el comando [ipconfig] para ver que dirección
IP se le fue asignado.
Verificación de asignación de dirección IP virtual [tun]
Verificación de conexión de red a través del túnel VPN
Importante: Deberá desactivar el cortafuego que trae como predeterminado Windows o cual quier
otro que este utilizando.
Clientes Linux
Para la configuración de clientes Linux con OpenVPN utilizaremos el modo texto [terminal] y el
arranque a través de un bash.Preparativos y configuraciónA continuación deberá copiar los siguientes ficheros:
ca.crt
cliente1.crt
cliente1.csr
cliente1.key
Estos fueron creados en el directorio /etc/openvpn/easy-rsa/2.0/keys y deberán ser colocados en la
máquina cliente dentro del directorio OpenVPN.
Supongamos que las llaves la tenemos en el directorio /tmp/llaves, debemos copiar estas en el
siguiente directorio/etc/openvpn/keys, para esto hay que crearlo antes.
mkdir /etc/openvpn/keyscp -R /tmp/llaves/* /etc/openvpn/keys/cd /etc/openvpn/
A continuación se creará un fichero de configuración cliente para el OpenVPN dentro del
directorio /etc/openvpn/ con el nombre de cliente1-udp-1194.ovpn.
Tendrá la siguiente configuración:
clientdev tunproto udpremote dominio-o-ip.del.servidor.vpn 1194floatresolv-retry infinitenobindpersist-keypersist-tun#------ SECCION DE LLAVES --------ca ca.crtcert cliente.crtkey cliente.keyns-cert-type server#---------------------------------comp-lzoverb 3
Descripción:client : Especifica el tipo de configuración, en este caso tipo cliente OpenVPN.Port : Especifica el puerto que será utilizado para que los clientes VPN puedan conectarse al servidor.Proto: tipo de protocolo que se empleará en a conexión a través de VPNdev : Tipo de interfaz de conexión virtual que se utilizará el servidor openvpn.remote : Host remoto o dirección IP en el cliente, el cual especifica al servidor OpenVPN.El cliente OpenVPN puede tratar de conectar al servidor con host:port en el orden especificado de las opciones de la opción --remote.float : Este le dice a OpenVPN aceptar los paquetes autenticados de cualquier dirección, no solamente la dirección cuál fue especificado en la opción --remote.resolv-retry : Si la resolución del hostname falla para -- remote, la resolución antes de fallar hace una re-comprobación de n segundos.
nobind : No agrega bind a la dirección local y al puerto.ca : Especifica la ubicación exacta del fichero de Autoridad Certificadora [.ca].cert : Especifica la ubicación del fichero [.crt] creado para el servidor.key : Especifica la ubicación de la llave [.key] creada para el servidor OpenVPN.remote : Especifica el dominio o IP del servidor así como el puerto que escuchara las peticiones para servicio VPN.comp-lzo : Especifica los datos que recorren el túnel VPN será compactados durante la trasferencia de estos paquetes.persist-key : Esta opción soluciona el problema por llaves que persisten a través de los reajustes SIGUSR1, así que no necesitan ser releídos.Persist-tun : Permite que no se cierre y re-abre los dispositivos TAP/TUN al correr los guiones up/downverb : Nivel de información (default=1). Cada nivel demuestra toda la Información de los niveles anteriores. Se recomienda el nivel 3 si usted desea un buen resumen de qué está sucediendo.0 -- No muestra una salida excepto errores fatales. 1 to 4 – Rango de uso normal. 5 -- Salida R y W caracteres en la consola par los paquetes de lectura y escritura, mayúsculas es usada por paquetes TCP/UDP minúsculas es usada para paquetes TUN/TAP
Ahora necesitamos insertar el módulo [tun] para controlar los interfaces /dev/net/tunX que se
necesiten en le sistema para el servicio OpenVPN:
Cargamos el módulo:modprobe tun
y habilitamos el IP forwarding:echo 1 > /proc/sys/net/ipv4/ip_forward
Comprobamos que tenemos /dev/net/tun, si no existe lo creamos con:mknod /dev/net/tun c 10 200
Para la ejecución del cliente OpenVPN puede utilizar el siguiente guión y guardarlo con el nombre
de [iniciovpncliente], tendrá el siguiente contenido:
#!/bin/bash##-- Variables --RUTACONFIG=”/etc/openvpn/”NOMCONFIG=”cliente1-udp-1194.conf”##-- Ejecución de la configuración para el servicio OpenVPN#/usr/bin/openvpn $RUTACONFIG./$NOMCONFIG#exit 0
Y damos los permiso de ejecución correspondientes:chmod +x iniciovpncliente
Si desea ejecutar el servicio VPN al inicio del sistema (arranque), puede colocar lo siguiente dentro
del fichero /etc/rc.local#inicia la configuración OpenVPN/donde/este/tu/fichero/iniciovpncliente
Pruebas de Conexión
Una ves efectuada la conexión al servidor VPN, para asegurarse que estamos dentro del túnel
VPN y tenemos conexión al servidor, podemos realizar una búsqueda de dirección IP [Ping], así
como también verificar el número IP asignado por el servidor VPN al estar conectarnos en el túnel.
Para esto utilizaremos el necesitamos entrar a la terminal de comando, una ves estando en la
consola en modo texto, utilice el comando [ifconfig] para ver que dirección IP se le fue asignado.
Verificación de asignación de dirección IP [tun] con ifconfig
Prueba de conexión con el comando [ping] hacia el servidor VPN
Comprobación de conexión hacia el servidor VPN en interfaz gráfica
Si SELinux está activo en el sistema y se va a utilizar el componente de OpenVPN
para NetworkManager(NetworkManager-openvpn), y se van a utilizar certificados almacenados
en el directorio del usuario, se debe activar la política openvpn_enable_homedirs.setsebool -P openvpn_enable_homedirs 1
Última Edición 05/03/2009, 17:47|28,790 Accesos
Hace unos días explicaba como configurar el Cliente de Terminal Server que viene instalado por defecto en Ubuntu.
El programa hacia lo que se le pedía pero no me acababa de gustar y navegando he encontrado este otroRemmina.
Remmina es un cliente escritorio remoto escrito en GTK, que pretender ser útil para los administradores de sistemas y los viajeros, que necesiten trabajar mucho con otros equipos remotos. Remmina soporta protocolos de red múltiples en un interfaz integrado. Actualmente soporta RDP, VNC, XDMCP y SSH. Remmina consta de tres paquetes separados:
remmina: la aplicación principal de GTK+ remmina-gnome: el applet de escritorio GNOME remmina-xfce: el panel de Xfce.
La instalación es sencilla y se hace mediante repositorios:
$ sudo add-apt-repository ppa:llyzs/ppa$ sudo apt-get update$ sudo aptitude install remmina remmina-gnomeUna vez terminada la instalación lo encontraremos en Aplicaciones --> Internet --> Cliente de escritorio remoto Remmina
La configuración es muy sencilla, en la pantalla principal se muestra una lista con las distintas conexiones guardadas, estas conexiones las puedes clasificar mediante grupos.
Para agregar una nueva sólo hay que pulsar el boton de crear un nuevo escritorio remoto y configurar la pantalla que se muestra.
Enviar por correo electrónico Compartir con Twitter Compartir con Facebook Compartir con Google Buzz
Etiquetas: Aplicaciones, Terminal Server, Ubuntu
Configurar el Cliente de Terminal Servermartes 23 de marzo de 2010comentarios (2)
En un post anterior explique como crear una vpn para conectarme a la oficina (Esta un dominio de Windows Server), y deje pendiente la parte de configuración del cliente de Terminal Server. Pues bien, hoy lo comentaré.
Lo primero será abrir el cliente que ya viene instalado en Ubuntu 9.10, para ello accederemos a Aplicaciones --> Internet --> Cliente de Terminal Server.
Se mostrará una pantalla bastante sencilla de configurar, en "Equipo" pondremos la dirección IP de la máquina a la que queremos acceder, el protocolo será RDP (el que aparace por defecto), luego informaremos el usuario y la contraseña y por último en mi caso el dominio. Con eso ya sería suficiente para conectarnos. Pero hay algunos parámetros del programa a destacar.
En la pestaña "Pantalla", podemos escoger el tamaño de la ventana y los colores.En "Recursos locales", esta la opción de reproducción de sonido, esta opción la suelo dejar en "No reproducir". Y también esta una de las opciones más interensantes a mi parecer, la de añadir mi unidad al equipo remoto, es muy útil para transferir archivos de forma sencilla si no se dispone de un ftp.La pestaña "Programas" sólo sirve si quieres que el usuario que se conecte acceda a un programa predeterminado automáticamente.Y en la última "Rendimiento", puedes activar alguna marca para ver si mejora la velocidad de conexión.
Enviar por correo electrónico Compartir con Twitter Compartir con Facebook Compartir con Google Buzz
Etiquetas: Terminal Server, Ubuntu
Configurar VPN en Ubuntu 9.10domingo 21 de marzo de 2010comentarios (1)
A veces, dejo el PC del trabajo en marcha con algún proceso y luego desde casa me conecto para verificar que ha terminado y apagar la máquina. Para conectarme a la red del trabajo desde mi casa primero debo crear una VPN.
Una VPN es una red privada virtual que sirve para mantener una comunicación entre dos puntos de forma privada y de forma cifrada. Es decir que los datos van a ser privados y no van a poder ser vistos por terceros.
Si vas a Sistema --> Preferencias --> Conexiones de red en la pestaña de VPN todo esta deshabilitado, ya que por defecto en Ubuntu no se instalan los paquetes para la configuración de VPN's. La solución es bien sencilla como siempre desde de la consola instalaremos el o los paquetes que necesitemos en función del tipo de cliente.
cliente vpnc:
sudo apt-get install network-manager-vpnc
cliente openvnc:
sudo apt-get install network-manager-openvp
cliente pptp:
sudo apt-get install network-manager-pptp
Ahora ya podrás añadir una VPN. Deberás ir a Sistema --> Preferencias --> Conexiones de red y en la pestaña de VPN verás que ya esta habilitada la opción de añadir.
Una vez pulses el botón añadir aparecerá una pantalla donde deberás escoger el tipo de conexión VPN, en mi caso es un túnel punto a punto (pptp).
Ahora sólo queda configurar:
Os indicaré como lo he configurado para conectarme a la red de mi trabajo que es Windows Server. Lo primero será indicar un nombre a la conexión; la pasarela que será la dirección IP del servidor VPN; el usuario y la contraseña dentro del dominio de Windows Server. En Dominio de red no pondremos nada.
En avanzado lo configuré con se muestra en la imagen. De la ventana sólo marque los métodos de autentificación que se muestran.
Y para terminar en la pestaña de "Ajustes de IPV4", cambié el método e informe la IP del servidor de DNS.
Con todo esto por fin termine de configurar la VPN. Ya sólo me queda configurar el cliente de Terminal Server. Pero eso lo contaré en otro post.