qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx Comunicaciones I cvbnmqwertyuiopasdfghjklzxcvbnmq How-to: Direccionamiento wertyuiopasdfghjklzxcvbnmqwertyui opasdfghjklzxcvbnmqwertyuiopasdfg hjklzxcvbnmqwertyuiopasdfghjklzxc vbnmqwertyuiopasdfghjklzxcvbnmq wertyuiopasdfghjklzxcvbnmqwertyui opasdfghjklzxcvbnmqwertyuiopasdfg hjklzxcvbnmqwertyuiopasdfghjklzxc vbnmqwertyuiopasdfghjklzxcvbnmq

wertyuiopasdfghjklzxcvbnmqwertyui opasdfghjklzxcvbnmqwertyuiopasdfg hjklzxcvbnmrtyuiopasdfghjklzxcvbn mqwertyuiopasdfghjklzxcvbnmqwert yuiopasdfghjklzxcvbnmqwertyuiopas

Docente: Ing. Juan Carlos Pea Integrantes: Guerrero Landaverde, Byron Ernesto Sandoval Moreno, David Absaln Orellana, Hugo Rosembel How-To Direccionamiento

Planteamiento del Problema

Debido a la llegada de una nueva cadena de supermercados al pas, una empresa productora de alimentos se ha visto en la necesidad de expandirse para satisfacer la creciente demanda de mercado. Esto ha llevado a que su infraestructura de red crezca a la misma velocidad que sus operaciones comerciales, saturando las redes locales y creando nuevas redes en las nuevas oficinas que se han aperturado en todo el pas. Este crecimiento se ha realizado AD-HOC y los administradores de IT se han dado cuenta que la red se ha vuelto difcil de administrar, por lo que se embarcan en un proyecto de reestructuracin completa de la red, pero buscando centralizar la gestin de la misma en la medida de lo posible. Uno de los factores claves para el xito es el plan de direcciones y su correcta aplicacin, por lo que estn prestando especial inters al tema, por lo que le contratan como asesor para que disee un esquema que permita tener un solo servidor DHCP en la oficina central que se encargue de asignar las direcciones IP a los clientes de todas las oficinas del pas, de acuerdo a la red de origen de la peticin (Por ejemplo, si es de contabilidad de Santa Ana, empaque de San Miguel, etc.)

How-To Direccionamiento

Diagrama de solucin

Aclaracin: El segmento entre el cliente VPN y el servidor VPN representara un segmento publico de red.

Procedimiento
1. Configuracin Servidor VPN IPV4 a. Configuracin Cliente Especifico 2. Configuracin Cliente VPN IPV4 3. Configuracin DHCP SERVER Cisco 4. Configuracin Relay-Agent 5. Configuracion Vlans (Switch D-Link)

How-To Direccionamiento

1. CONFIGURACIN GENERAL Y DE SERVIDOR VPN IPV4

1. Descargar e instalar OpenVpn desde el siguiente enlace: http://openvpn.net/index.php/download.html descargas versiones estables. Tambin tiene la opcin de descargarlo desde los repositorios mediante de la siguiente forma: apt-getinstallopenvpn 2. Es necesario editar el archivo vars en la carpeta de instalacin /etc/openvpn/2.0 algunos campos de la CA (Autoridad Certificadora) como por ejemplo: export KEY_COUNTRY=MX export KEY_PROVINCE=MiEstado/Provincia export KEY_CITY=MiCiudad export KEY_ORG="midominio.com" exportKEY_EMAIL=fulanito@modominio.com 3. Se deben inicializar la Autoridad Certificadora que firmara nuestros certificados para ser utilizados en la VPN cd /etc/openvpn/2.0/ ./vars ./clean-all ./build-ca 4. Los parmetros DiffieHellman(contribuyen al intercambio de llaves) deben de ser generados en el Servidor OpenVPN, para realizar esto deber ejecutar el guin de la siguiente forma: ./build-dh 5. Generacin de llaves y certificados para clientes y servidor Para generar el certificado y llave privada para el servidor ser de la siguiente forma: ./build-key-server [servidor] En donde [servidor] es el nombre del servidor. Para generar el certificado y llave para los clientes se har de la siguiente forma:

./build-key [cliente] En donde [cliente] es el nombre del cliente; en nuestro caso cliente1.

How-To Direccionamiento

6. Una vez realizada con xito la los pasos anteriores se procede a modificar en la siguientes carpetas del archivo de configuracin del servidor: /etc/openvpn/server.conf El archivo de configuracin utilizado para nuestro Servidor - VPN se muestra a continuacin:

#server.conf dev tun ca /etc/openvpn/2.0/keys/ca.crt cert /etc/openvpn/2.0/keys/servidor.crt key /etc/openvpn/2.0/keys/servidor.key dh /etc/openvpn/2.0/keys/dh1024.pem server 172.16.101.0 255.255.255.0 push "route 10.66.0.0 255.255.255.0" route 192.168.1.0 255.255.255.0 route 192.168.2.0 255.255.255.0 route 192.168.3.0 255.255.255.0 client-config-dir /etc/openvpn/subnet1 ##interfaz a utilizar tun/tap ##certificado de la autoridad ##certificado del servidor ##llave del servidor ##diffie-hellman ##rango dentro del tunel ##ruta hacia LAN del servidor ##rutas hacia LAN del cliente ## ## ##directorio donde se ubica ##archivo de configuracin para ##cliente ##en especifico ##hacer ping cada 10 segundos ##compresion dentro del tunel ##se preservan datos

keepalive 10 120 comp-lzo persist-key persist-tun verb 6

##nivel de debug

Nota: Se puede utilizar una interfaz tun o tap, trabajando una a nivel de capa 3 y otra a nivel de capa 2. Tambin se deben indicar las direcciones exactas de los diferentes certificados y llaves incluido el archivo diffie-hellman. Por defecto la VPN trabajara con el puerto 1194 y el protocolo UDP al menos que se indique lo contrario en el archivo de configuracin tanto del cliente como del servidor. How-To Direccionamiento

1. a) CONFIGURACIN DE UN CLIENTE EN ESPECFICO

1. Crear un directorio que guarda los archivos de configuracin para cada cliente /etc/openvpn/subnet1 2. Crear un archivo que lleve el nombre del cliente (el mismo usado para el certificado y la llave). En nuestro caso: cliente1 3. Editar archivo /etc/openvpn/cliente1 #cliente1 iroute 192.168.1.0 255.255.255.0 iroute 192.168.2.0 255.255.255.0 iroute 192.168.3.0 255.255.255.0 ##rutas hacia LAN del cliente ## ##

2. CONFIGURACIN DE CLIENTE VPN EN IPV4

1. Instalacin de cliente openvpn: apt-get install openvpn 2. Editamos archivo de configuracin de servidor en /etc/openvpn/cliente1.conf

El archivo de configuracin utilizado para nuestro Cliente - VPN se muestra a continuacin:

#cliente1.conf dev tun protoudp ##interfaz utilizada por la VPN ##protocolo a utilizar

remote20.0.0.1##ip del servidor VPN resolv-retryinfinite nobind ##intentar reconectar a servidor indefinidamente

##no se vincula al cliente How-To Direccionamiento

persist-key persist-tun

##reserva de datos ##

ca /etc/openvpn/ca.crt cert /etc/openvpn/cliente1.crt key /etc/openvpn/cliente1.key comp-lzo verb 6

NOTA: los archivos ca.crt, cliente1.crt y cliente1.key deben de ser generados nicamente por el servidor.

3. Inicio del cliente Para iniciar el serbio de la VPN en del lado del cliente se deber ejecutarse en sper usuario de la siguiente manera: openvpn config /etc/openvpn/cliente1.conf

3. CONFIGURACIN DE DHCP IPv4 PARA CISCO

Configuracin del servidor: Habilitamos la configuracin en el router e ingresamos al modo de configuracin global: Router>enable Router#configure terminal

Los hosts tienen que estar configurados para el servicio DHCP y la interfaz del router que funciona como puerta de enlace tenemos que configurarla nosotros a mano: RDHCP(config)#interface fastEthernet 0/0 RDHCP(config-if)#ip address 192.168.0.1 255.255.255.0 RDHCP(config-if)#no shutdown RDHCP(config-if)#exit

How-To Direccionamiento

Indicamos el nombre que daremos a nuestro pool de direcciones.

RDHCP(config)#ipdhcp pool DHCP Debemos configurar el Id de la red y la mscara a partir de la cual se toman las direcciones que pueden asignarse:

RDHCP(dhcp-config)#network 192.168.2.0 255.255.255.0 La siguiente direccin es la direccin en la interfaz del relay:

RDHCP(dhcp-config)#default-router 192.168.2.1 RDHCP(dhcp-config)#exit Se tienen que excluir del pool de direcciones asignables, las direcciones que ya han sido asignadas a los router:

RDHCP(config)#ipdhcp excluded-adress 192.168.2.1

4. CONFIGURACIN DE DHCP RELAY

Router>enable Router#configterm Router(config)#interface fastethernet 0/1.1

Se indica la Vlan que se escuchara en la interfaz 0/1.1:

Router(config)#encapsulation dot1Q 2
La siguiente direccin IP corresponde a la interfaz del router conectada al switch:

Router(config)#ipaddress 192.168.2.1
Se indica la direccin a la cual se redirigiran las peticiones dhcp:

Router(config)#ip helper-address 192.168.0.1 Router(config)#exit

How-To Direccionamiento

5. CONFIGURATION DE VLANS SWITCH D-LINK (VPN IPV4)

Para nuestro esquema presentado anteriormente incluye un switch la configuracin para ese switch D-LINKes el siguiente: Por defecto se accede al switch sin indicar usuario ni contrasea, lo haremos via interfaz web. Para acceder via web debemos de ponernos una IP del mismo rango (como ejemplo:10.90.90.91) en la interfaz conectada al switch. Una vez establecida la IP abrimos en navegador y colocamos la IP para poder conectarnos va web al switch. Para nuestro implementacin el switch D-LINK no tiene un usuario ni contrasea por lo que solo daremos click en aceptar.

Nuestra interfaz una vez accedido al switch D-LINK

Ahora para la configuracin de nuestras vlans vamos ala siguiente etiqueta configuration vlans Static vlan entry

How-To Direccionamiento

En esta nueva interfaz procederemos a configurar las diferentes vlans, para nuestra implementacin de VPN se procede a configurar dos vlans: vlan 1, vlan 2. Recuerde que para este modelo de switch para no tener problemas al crear las vlans hay que deshabilitar en la vlan default (vlan 1) cada uno de los puertos utilizados o asignados en otras vlans. Al mismo tiempo recuerde que la lconexin con el DCHP-Relay debe de ir conectado en un puerto troncal.

How-To Direccionamiento

Extra IPv6

Procedimiento
1. Configuracin Servidor VPN IPV6 a. Configuracin Cliente Especifico 2. Configuracin Cliente VPN IPV4 3. Configuracin DHCP v6 4. Configuracin Relay-Agent(Dibbler) y trafico de Vlans 5. Configuration Vlans (Switch Cisco) 6. Configuration del Host

How-To Direccionamiento

1. CONFIGURACIN DE SERVIDOR VPN EN IPV6

Para IPv6, se necesita una versin de OpenVPN 2.3+ si se quiere trabajar con interfaces TUN; la cual no est disponible en los repositorios oficiales. 1. Instalacin de servidor openVpn: para esta instalacin de esta versin del openVpn se debe realizar descargando lo fuentes y compilan cada uno de ellos, tambin se deben de tomar en cuenta las dependencias al momento de instalarlo para que esta funcione de manera correcta 2. Editamos archivo de configuracin de servidor en /etc/openvpn/server.conf(habiendo generado las llaves y certificados con anterioridad como se explica en la configuracin del servidor VPN en IPv4). proto udp6 dev tun ##protocolo a utilizar ##interfaz para el tunel

ca /etc/openvpn/2.0/keys/ca.crt ##certificado de la autoridad cert /etc/openvpn/2.0/keys/servidor.crt ##certificado del servidor key /etc/openvpn/2.0/keys/servidor.key ##llave del servidor dh /etc/openvpn/2.0/keys/dh2048.pem server-ipv6abcd::/64 server 172.16.101.0 255.255.255.0 ##Diffie-Helman

##segmento ipv6 dentro del tunel ##segmento ipv4 dentro del tunel

push "route-ipv6 2001:db8::/64"

##ruta para que el cliente acceda al segmento ##privado del servidor

client-to-client ##permite que diferentes clientes dentro del tunel sean visibles keepalive 10 120 ##ping cada 10 segundos comp-lzo ##tipo de compresion persist-key ##mantienen recursos ante un reinicio persist-tun ## verb 6 ##nivel de debug de 1 a 10 ##rutas para llegar al segmento privado del ##cliente ##1000:db8::1 ip del servidor VPN

route-ipv6 2001:db8:0:1::/64 1000:db8::1 route-ipv6 2001:db8:0:2::/64 1000:db8::1

How-To Direccionamiento

client-config-dir /etc/openvpn/subnet1

##directorio con los archivos ##correspondientes a cada cliente

Nota: para poder levantar el tnel OpenVPN requiere un segmento ipv4 para utilizar las interfaces TUN. 3. Iniciamos servidor openVpn con la siguiente sintaxis: openvpn config /etc/openvpn/server.conf

1. a) CONFIGURACIN DE UN CLIENTE EN ESPECFICO 1. Crear un directorio que guardar los archivos de configuracin para cada cliente /etc/openvpn/subnet1 2. Crear un archivo que lleve el nombre del cliente (el mismo usado para el certificado y la llave). En nuestro caso: cliente1 3. Editar archivo /etc/openvpn/cliente1 #cliente1 iroute2001:db8:0:1::/64 iroute2001:db8:0:2::/64 ##rutas hacia LAN del cliente ##

2. CONFIGURACIN DE CLIENTE VPN EN IPV6

1. Instalacin de cliente openvpn: apt-getopenvpnopenssl 2. Editamos archivo de configuracin de servidor en /etc/openvpn/cliente1.conf dev tun proto udp6 ##interfaz utilizada por la VPN ##protocolo a utilizar ##ip del servidor VPN ##intentar reconectar a servidor indefinidamente

remote 1000:db8::2 1194 resolv-retryinfinite nobind persist-key persist-tun

##no se vincula al cliente

How-To Direccionamiento

ca /etc/openvpn/ca.crt cert /etc/openvpn/cliente1.crt key /etc/openvpn/cliente1.key comp-lzo verb 6 3. Inicio del cliente openvpn config /etc/openvpn/cliente1.conf

3. CONFIGURACIN SERVIDOR DHCPV6

1. Instalar dibbler-server: apt-get install dibbler-server 2. Editar archive de configuracion/etc/dibbler/server.conf

El cdigo anterior se explica a continuacin: iface relay1: interfaz virtual. relay eth0: se direcciona lo recibido a interfaz fsica eth0 interface-id: identificador de interfaz en comn de servidor con relay-agent. unicast 2001:db8::1: ipv6 del servidor aceptada para recibir peticiones. class: opciones generales. pool: pool de direcciones que se asignaran a los clientes. clientduid: identificador nico del cliente para una configuracin especifica. address: ipv6 a asignar al cliente en especifico.

3. Iniciar el servicio de dibbler-server: dibbler-server run

How-To Direccionamiento

4. CONFIGURACION DIBBLER-RELAY Y TRFICO DE VLANS (VPN IPV6)

Para la utilizacin del dibbler-relay procederemos inicialmente a instalar desde los repositorios mediante la siguiente sintaxis: apt-get install dibbler-relay

Una vez instalado, hay que verificar si la instalacin de realizo de forma exitosa buscando su carpeta de instalacin /etc/dibbler en esta carpeta se deber de crear un archivo con el nombre de relay.conf el cual tendr la siguiente configuracin:

Las primeras dos lneas corresponden al debug es decir mensajes, que tan especficos deben de ser cada uno de los mensajes en el momento que ocurra un error durante la ejecucin del dibbler-relay. Lo que se encuentra en las llaves de iface eth2 corresponde a la configuracin de dicha interfaz, para nuestro caso le estamos diciendo que en esa interfaz no reenviara multicast(server multicas no) y que todo el unicast que sern las peticiones de dhcp por parte de los host las reenva a la direccin declarada (server unicast 2001:db8::1) que es la direccin del servidor dhcp. En la parte iface eth0.2 es una interfaz creada para una vlan(que se explicara con mas detalle ms adelante), esta corresponde en cierta manera a una interfaz virtual creada, en la cual dicha interfaz ser utilizada para escuchar peticiones de una vlan en especial. Cabe mencionar que el numero que acompaa eth0.2 corresponde al ID de la vlan que anteriormente se ha creado en el switch. A dentro de esta se aade la configuracin a dicha interfaz virtual, establecindole que escuchara multicast por parte de los clientes (client multicast yes), y que esta se conectara con una interfaz del servidor establecida (interface -id 5020) que tambin est definida en el servidor.

How-To Direccionamiento

Dado que en nuestra implementacin dhcp-relay est conectado a un switch este tambin debe saber de que vlan proviene la peticin DHCP, para que nuestra maquina linux funcione con las vlans del switch haremos uso del siguiente paquete: apt-get install vlan Realizada la instalacin procederemos a levantar el modulo 8021q el cual transporta el trafico de varias vlans: modprobe 8021q Ana vez instalado el paquete y levantado el modulo nuestra maquina linux puede funcionar con las vlans de switch cisco, cabe recordad que en nuestro caso se uso un switch cisco y una maquina con sistema operativo linux mint. El siguiente paso es agregar las vlans para que estas se han reconocidas por nuestro maquina mediante la siguiente sintaxis y ejecutndola en modo usuario: vconfig add eth0 2 Con lo anterior crea una interfaz virtual por medio del cual escuchara las peticiones de la vlan 2, recuerde que dependiendo del ID de la vlan ese deber especificarse al momento de agregarse con la sintaxis anterior.

5. CONFIGURACION DE VLANS SWITCH CISCO 3500(VPN IPV6)

La configuracin de las VLans es similar para IPv6 que para IPv4 pero de igual manera se explicara de forma breve a continuacin:

Inicialmente para poder configurar un switch cisco se hace uso de la herramienta Gtkterm(que es una pequea shell grafica), que es utilizado como una terminal para poder acceder a configurar el switch.

Esta herramienta se puede descargar de los repositorios mediante la siguiente sintaxis: apt-get install gtkterm Una vez instalado ejecutamos desde terminal como superusuario: gtkterm Inicializado el comando anterior se abrir una nueva ventana en la cual se deber de configurar, la velocidad de transmisin, la forma en como se va conectar (para nuestro caso va USB). Esta configuracin se deber de llevar a cabo en la opcin: configuration port . Finalizado con xito la configuracin anterior procederemos a la configuracin de las How-To Direccionamiento

vlans en el switch. Para la creacin de las vlans se deber de tener todos los privilegios para poder crearlas. La configuracin del switch cisco presentado anteriormente se realizo con el modelo catalyst 3500.

6. CONFIGURACIN DEL HOST

1. Instalacin del cliente dibbler: apt-get install dibbler-client

2. Inicio del servicio como sper usuario: dibbler-client run

How-To Direccionamiento

Referencias:

http://openvpn.net/index.php/open-source/documentation/howto.html http://klub.com.pl/dhcpv6/doc/dibbler-user.pdf http://www.cisco.com/en/US/docs/ios/12_2/ip/configuration/guide/1cfdhcp.html http://www.ietf.org/rfc/rfc3315.txt

How-To Direccionamiento