Configuracin de una conexin Vpn en Linux

1 Introduccin
Hay, bsicamente1, dos formas de crear una conexin vpn a nuestra red. La primera se aplica a distribuciones antiguas y utiliza el cliente pptp-client, la segunda se aplica a distribuciones modernas y se basa en el uso de network manager. Puede consultar en el siguiente cuadro que forma debe utilizar en funcin de su distribucin.

Pptp-client pag 1
Hasta edora !ore " Hasta #use 1$.$ Hasta %buntu &.1$ Haste 'ebian ( Hasta )andra*e 1$.1 Hasta +noppix (

Network manager pag 5

'esde edora !ore & en adelante 'esde #use 1$.$ en adelante 'esde %buntu , en adelante 'esde 'ebian - en adelante 'esde )andra*e 1$.. en adelante 'esde +noppix - en adelante

2 Configuracin mediante pptp-client

'ado que no podemos explicar cmo se /ace la conexin en todas las distribuciones, vamos a explicar paso a paso la conexin en una distribucin concreta, como e0emplo, y remitimos al usuario a la pgina 1eb del desarrollador para unas instrucciones ms adaptadas a su distribucin en concreto. 2 continuacin se describe la forma de instalar el programa pptp3client, en la distribucin edora !ore .. #i tiene una distribucin distinta acceda a la pgina4 http://pptpclient.sourceforge.net y siga las instrucciones para su distribucin y pase al apartado tres de este documento. Este documento es una traduccin adaptada a las circunstancias de la UCM, del documento ue se puede encontrar en la url http://pptpclient.sourceforge.net/ho!to-fedora-core-2.phtml

Hay ms clientes, guis grficos y m5todos desde los que es posibles efectuar la conexin como *vnc, openvpn, desde l6nea de comando con pptp y sus correspondientes script etc7. Pero no podemos tratarlos todos. Hemos seleccionado estos dos m5todos por ser los ms sencillos de configurar

..1 8nstalacin del programa pptpclient

2.2 "nstalacin del mdulo mppe:
M##E es el protocolo de encriptacin de Microsoft utili$ado por la %pn, definido en la &'C()*+. descargar el pa uete d,ms rpm -mirror lin,. e instalarlo: # rpm --install dkms-1.12-2.noarch.rpm descargar el pa uete ,ernel/ppp/mppe d,ms rpm e instalarlo: # rpm --install kernel_ppp_mppe-0.0.4-2dkms.noarch.rpm #ara probar ue el mdulo se carga correctamente. # modprobe ppp-compress-18 && echo success

2.( "nstalacin del programa pptpclient

0escargar el pa uete ppp rpm -mirror lin,. and upgrade to it li,e this: # rpm --install pptp-linux-1.5.0-1.i38 .rpm descargar el pa uete del programa de configuracin php-pcntl rpm -mirror lin,. e instalarlo: # rpm --up!rade ppp-2.4.3-0.c"s_2004052#.4.$c2.i38 .rpm 0escargar el pa uete del programa ##1# client pptp rpm -mirror lin,. e instalarlo: # rpm --install php-pcntl-4.3.8-1.i38 .rpm

0escargar el pa uete del programa de configuracin 2134 php-gt,-pcntl rpm

-mirror lin,. e instalarlo: # rpm --install php-!tk-pcntl-1.0.0-2.i38 .rpm 0escargar el pa uete del programa de configuracin pptpconfig rpm -mirror lin,. e instalarlo: # rpm --install pptpcon$i!-20040#22-0.noarch.rpm 2.4 Configuracin del programa pptpclient 5os datos ue necesita para establecer la cone6in son los siguientes: a.nombre del servidor de vpn: tunel.ucm.es. b.su login u7 estara formado por la parte ue est8 a la i$ uierda de la arroba de su direccin de correo seguido de pdi.ucm.es si es personal docente o pas.ucm.es si es personal laboral. #or e9emplo si su direccin de e-mail es 9pere$: uim.ucm.es y es personal docente su login ser8 9pere$:pdi.ucm.es ;i si direccin de e-mail es mgarcia:filol.ucm.es y es presonal laboral su login ser8 mgarcia:pas.ucm.es c.su contrasea -la habitual ue usa para e-mail9

1 E9ecute pptpconfig como root, y aparecer8 una %entana como esta:

2- En la pesta<a ser%idor poner el nombre del ser%idor su login y su contrase<a. (- En la pesta<a de encriptacin seleccionar 9usto lo ue aparece seleccionado en el gr8fico de aba9o. =-Cli uear a<adir el la cone6in aparecer8 en la %entana de la parte superior.

--Cli uear sobre el nombre del tunel, y despu7s el botn Start. >parecer8 una %entana con informacin acerca del estado de la cone6in. ;i hemos finali$ado la cone6in con 76ito nos aparecer8 en la %entana
pptpconfig pppd process exit status o (started)

y habremos obtenido una direccin ip din8mica en la red ?=*.@A.A+.B ;i tecleamos el comando ifconfig -a nos aparecer8 una interface de red

llamada ppp1 o ppp0 con la direccin ip din8mica obtenida. ;i da error de cache pro6y arp, ir a la pesta<a de miscellaneus y en options poner noarppro6y.

.5 !olucionar pro"lema#
Problemas con el firewall Es caso de haber instalado el programa y no haber podido establecer la cone6in. Cerificar ue no hay ningDn fire!all ue est7 blo ueando la cone6in. 5a cone6in por Cpn utili$a el puerto tcp ?*2(. #ara abrirlo podemos utili$ar el siguiente comando: Iptables A OUTPUT p tcp dport 17 ! " A##$PT E podemos instertar en nuestro script de inicio de iptables A OUTPUT p tcp dport 17 ! " A##$PT

Problemas con las rutas En el caso de ue nuestra distribucin no gestione bien las rutas y a pesar de haber establecido bien la cone6in no accedamos a los ser%idores de la UCM e9ecutaremos el siguiente comando: route add Fhost Gip de t%nel&uc'&esH g! Gip del (ate)a* de la conexi+n utili,ada para direccionar el tunelH de% Gdispositi-o desde el .ue nos conecta'os al t%nelH por e9emplo para un e uipo ue se conecta a la %pn a tra%7s de la red inhal8mbrica ucm de la Uni%ersidad Complutense elcomando serIa. route add -/ost 107&12&23& g) 107&12&11 &1 de- et/

$ Configuracin de una conexin %pn mediante Network &anager en 'edora Core 1(

Partimos de un sistema edora !ore 1$ con +': como escritorio.

;.1 8nstalacin de los paquetes necesarios

:n primer lugar instalamos los paquetes pptp y <et1or*)anager3pptp para ello e0ecutamos como superusuarios los comandos4 yum pptp install yum <et1or*)anager3pptp

;.. !onfiguracin de la cuenta vpn

!liqueamos sobre el icono de net1or*manager con el botn derec/o4 <os aparece una ventana en la que se listan las redes disponibles y donde pone4 conexiones VPN4

!liqueamos sobre conexiones VPN y al desplegarse el men= contextual cliqueamos sobre

configurar VPN4 <os sale la siguiente ventana4

!liqueamos sobre el botn aadir4 <os aparece un cuadro de dilogo que nos de0a elegir el tipo de conexin >P<. :legimos Protocolo de tnel punto a punto (PPTP).

!liqueamos sobre crear4 <os aparece una ventana en la que ponemos los siguientes parmetros4 :n nom"re de conexin lo que queramos, es un nombre para que podamos identificar esta configuracin, en el caso de que tuvi5ramos varias4 podemos poner Conexin VPN 1 o UCM :n general pa#arela pondremos tunel.ucm.es en u#uario pondremos nuestra cuenta %!) ? la parte que est delante de la arroba de nuestra direccin de correo9 @ y pas.ucm.es o pdi.ucm.es en funcin de si somos pas o pdi e0. pas login@pas.ucm.es pdi Login@pas.ucm.es :n contra#e)a pondremos la contraseAa de uso /abitual para el e3mail. :n dominio de red no pondremos nada.

2 continuacin cliqueamos sobre el botn avanzada. :n *utenticacin deseleccionamos eap. #eleccionamos +#ar cifrado punto a punto y en #eguridad ponemos Bodas las disponibles. 'eseleccionamos permitir cifrado en e#tado completo. C seleccionamos el resto es decir4 Permitir Compre#in de dato# ,!Permitir Compre#in de dato# -eflate +#ar compre#in de ca"ecera# .CP &andar pa/uete# de eco ppp

%na vez /ec/o esto cliqueamos sobre aceptar. !liqueamos sobre el botn aceptar de la pantalla anterior.

;.; establecimiento de la conexin >P<

%na vez realizada la configuracin cliqueamos sobre el icono de <et1or* )anager. a continuacin conexiones >P< y cliqueamos sobre el c6rculo que aparece antes del nombre de la configuracin que /emos /ec/o antes

%na vez establecida la conexin nos aparecer un candado en el icono de net1or* manager. #i no /emos puesto antes nuestra contraseAa nos la pedir a/ora.

y ya /emos establecido la conexin >P<.

;.( !onfiguracin predeterminada

<et1or* manager nos permite importar la configuracin de >P< desde un fic/ero con extensin cpf. Para proceder de esta forma basta copiar el texto que viene aba0o y pegarlo en un fic/ero nuevo llamado ucm.cpf
[main] Description=ucm Connection-Type=pptp PPTP-Server=tunel.ucm.es Use-Peer-DNS=yes Encrypt-MPPE=no Encrypt-MPPE-12 =yes Encrypt-MPPE-State!ul=yes Compress-MPPC=no Compress-De!late=no Compress-"SD=no PPP-#oc$=yes %ut&-Peer=no 'e!use-E%P=yes 'e!use-C(%P=no 'e!use-MSC(%P=no MTU=1)1* M'U=1)1* #CP-Ec&o-+ailure=1, #CP-Ec&o--nterval=1, PPP-Custom-.ptions= Peer-DNS-.ver-Tunnel=yes /-NM-'outes= Use-'outes=no

%na vez /ec/o esto iremos a la siguiente pantalla ?ver arriba9? y sencillamente importaremos el fic/ero con la configuracin , ucm.pcf, cliqueando el botn importar.

;.- Problemas y diagnstico

Problemas con el firewall Es caso de haber instalado el programa y no haber podido establecer

la cone6in. Cerificar ue no hay ningDn fire!all ue est7 blo ueando la cone6in. 5a cone6in por C#J utili$a el puerto tcp ?*2(. #ara abrirlo podemos utili$ar el siguiente comando: Iptables A OUTPUT p tcp dport 17 ! " A##$PT E podemos instertar en nuestro script de inicio de iptables A OUTPUT p tcp dport 17 ! " A##$PT Problemas con las rutas En el caso de ue nuestra distribucin no gestione bien las rutas y a pesar de haber establecido bien la cone6in no accedamos a los ser%idores de la UCM e9ecutaremos el siguiente comando: route add Fhost Gip de t%nel&uc'&esH g! Gip del (ate)a* de la conexi+n utili,ada para direccionar el tunelH de% Gdispositi-o desde el .ue nos conecta'os al t%nelH por e9emplo para un e uipo ue se conecta a la C#J a tra%7s de la red inal8mbrica UCM de la Uni%ersidad Complutense el comando serIa. route add -/ost 107&12&23& g) 107&12&11 &1 de- et/

4 C o nfi g u ra ci n de u n a c o nexi n vp n m e d i a nte N e two r k M a n a g e r en U b u n t u 8

4. 1 I n s t a l a c i n d e l o s p a q u e t e s n e c e s a r i o s
:n primer lugar para instalar net1or* manager e0ecutaremos como su apt3get install pppd apt3get install pptp apt3get install pptp3linux apt3get install <et1or*3)anager3pptp

si se prefiere tambi5n se puede /acer desde synaptic

4.2 C o n f i g u r a c i n d e l a c o n e x i n
ponemos el puntero del ratn sobre el icono de net1or* manager y cuando se despliege el men= con las redes in/alambricas veremos un men= que pone conexiones vpn lo cliqueamos con el ratn en cionfigurar vpn

<os aparece la siguiente pantalla en la que eleguimos aAadir

<os aparece una ventana con el t6tulo de crear una nueva conexin vpn . !liqueamos sobre el botn siguiente. 2 continuacin nos pregunta el tipo de vpn. :legimos PPBP tunel y cliqueamos sobre 2delante

a continuacin pondremos en nombre de la conexin ucm tunel en tipo Dindo1s >P< ?PPBP9

en pasarela tunel.ucm.es

!liqueamos en la pantalla 2utenticacin deseleccionamos 2utenticar compaAero y de0amos seleccinado el c/ec* box que pone rec/azar :2P. !liqueamos en la pantalla de compresin y de0amops solamente los c/ec* box de requerir encriptacin )PP: y 2ctivar )PP: de estados inalmente cliqueamos en el botn de 2delante. <os sale una ventana con el resumen de la configuracin . !liqueamos sobre aplicar.Ca /emos creado la configuracin vpn a/ora opara realizar la conexin vpn volvemos al net1or* manager y al desplegar el men= de conexiones vpn nos aparecer una conexin con el nombre tunel ucm cliqueamos sobre ella y nos saldr una ventana en la que nos pide nuestras credenciales.

:n usuario ponemos nuestro login seguido de @pas.ucm.es si somos pas o @pdi.ucm.es si somos personal docente. e0 si su login es magarcia magarcia@pdi.ucm.es magarcia@pas.ucm.es !liqueamos en aceptar y una vez que el icono de net1or* manager aparezca con un condado significa que ya /emos establecido la conexin vpn.