Documentos de Académico
Documentos de Profesional
Documentos de Cultura
How-To Direccionamiento
Diagrama de solucin
Aclaracin: El segmento entre el cliente VPN y el servidor VPN representara un segmento publico de red.
Procedimiento
1. Configuracin Servidor VPN IPV4 a. Configuracin Cliente Especifico 2. Configuracin Cliente VPN IPV4 3. Configuracin DHCP SERVER Cisco 4. Configuracin Relay-Agent 5. Configuracion Vlans (Switch D-Link)
How-To Direccionamiento
./build-key [cliente] En donde [cliente] es el nombre del cliente; en nuestro caso cliente1.
How-To Direccionamiento
6. Una vez realizada con xito la los pasos anteriores se procede a modificar en la siguientes carpetas del archivo de configuracin del servidor: /etc/openvpn/server.conf El archivo de configuracin utilizado para nuestro Servidor - VPN se muestra a continuacin:
#server.conf dev tun ca /etc/openvpn/2.0/keys/ca.crt cert /etc/openvpn/2.0/keys/servidor.crt key /etc/openvpn/2.0/keys/servidor.key dh /etc/openvpn/2.0/keys/dh1024.pem server 172.16.101.0 255.255.255.0 push "route 10.66.0.0 255.255.255.0" route 192.168.1.0 255.255.255.0 route 192.168.2.0 255.255.255.0 route 192.168.3.0 255.255.255.0 client-config-dir /etc/openvpn/subnet1 ##interfaz a utilizar tun/tap ##certificado de la autoridad ##certificado del servidor ##llave del servidor ##diffie-hellman ##rango dentro del tunel ##ruta hacia LAN del servidor ##rutas hacia LAN del cliente ## ## ##directorio donde se ubica ##archivo de configuracin para ##cliente ##en especifico ##hacer ping cada 10 segundos ##compresion dentro del tunel ##se preservan datos
##nivel de debug
Nota: Se puede utilizar una interfaz tun o tap, trabajando una a nivel de capa 3 y otra a nivel de capa 2. Tambin se deben indicar las direcciones exactas de los diferentes certificados y llaves incluido el archivo diffie-hellman. Por defecto la VPN trabajara con el puerto 1194 y el protocolo UDP al menos que se indique lo contrario en el archivo de configuracin tanto del cliente como del servidor. How-To Direccionamiento
1. Crear un directorio que guarda los archivos de configuracin para cada cliente /etc/openvpn/subnet1 2. Crear un archivo que lleve el nombre del cliente (el mismo usado para el certificado y la llave). En nuestro caso: cliente1 3. Editar archivo /etc/openvpn/cliente1 #cliente1 iroute 192.168.1.0 255.255.255.0 iroute 192.168.2.0 255.255.255.0 iroute 192.168.3.0 255.255.255.0 ##rutas hacia LAN del cliente ## ##
1. Instalacin de cliente openvpn: apt-get install openvpn 2. Editamos archivo de configuracin de servidor en /etc/openvpn/cliente1.conf
#cliente1.conf dev tun protoudp ##interfaz utilizada por la VPN ##protocolo a utilizar
remote20.0.0.1##ip del servidor VPN resolv-retryinfinite nobind ##intentar reconectar a servidor indefinidamente
persist-key persist-tun
##reserva de datos ##
NOTA: los archivos ca.crt, cliente1.crt y cliente1.key deben de ser generados nicamente por el servidor.
3. Inicio del cliente Para iniciar el serbio de la VPN en del lado del cliente se deber ejecutarse en sper usuario de la siguiente manera: openvpn config /etc/openvpn/cliente1.conf
Configuracin del servidor: Habilitamos la configuracin en el router e ingresamos al modo de configuracin global: Router>enable Router#configure terminal
Los hosts tienen que estar configurados para el servicio DHCP y la interfaz del router que funciona como puerta de enlace tenemos que configurarla nosotros a mano: RDHCP(config)#interface fastEthernet 0/0 RDHCP(config-if)#ip address 192.168.0.1 255.255.255.0 RDHCP(config-if)#no shutdown RDHCP(config-if)#exit
How-To Direccionamiento
RDHCP(config)#ipdhcp pool DHCP Debemos configurar el Id de la red y la mscara a partir de la cual se toman las direcciones que pueden asignarse:
RDHCP(dhcp-config)#default-router 192.168.2.1 RDHCP(dhcp-config)#exit Se tienen que excluir del pool de direcciones asignables, las direcciones que ya han sido asignadas a los router:
Router(config)#encapsulation dot1Q 2
La siguiente direccin IP corresponde a la interfaz del router conectada al switch:
Router(config)#ipaddress 192.168.2.1
Se indica la direccin a la cual se redirigiran las peticiones dhcp:
How-To Direccionamiento
Para nuestro esquema presentado anteriormente incluye un switch la configuracin para ese switch D-LINKes el siguiente: Por defecto se accede al switch sin indicar usuario ni contrasea, lo haremos via interfaz web. Para acceder via web debemos de ponernos una IP del mismo rango (como ejemplo:10.90.90.91) en la interfaz conectada al switch. Una vez establecida la IP abrimos en navegador y colocamos la IP para poder conectarnos va web al switch. Para nuestro implementacin el switch D-LINK no tiene un usuario ni contrasea por lo que solo daremos click en aceptar.
Ahora para la configuracin de nuestras vlans vamos ala siguiente etiqueta configuration vlans Static vlan entry
How-To Direccionamiento
En esta nueva interfaz procederemos a configurar las diferentes vlans, para nuestra implementacin de VPN se procede a configurar dos vlans: vlan 1, vlan 2. Recuerde que para este modelo de switch para no tener problemas al crear las vlans hay que deshabilitar en la vlan default (vlan 1) cada uno de los puertos utilizados o asignados en otras vlans. Al mismo tiempo recuerde que la lconexin con el DCHP-Relay debe de ir conectado en un puerto troncal.
How-To Direccionamiento
Extra IPv6
Procedimiento
1. Configuracin Servidor VPN IPV6 a. Configuracin Cliente Especifico 2. Configuracin Cliente VPN IPV4 3. Configuracin DHCP v6 4. Configuracin Relay-Agent(Dibbler) y trafico de Vlans 5. Configuration Vlans (Switch Cisco) 6. Configuration del Host
How-To Direccionamiento
ca /etc/openvpn/2.0/keys/ca.crt ##certificado de la autoridad cert /etc/openvpn/2.0/keys/servidor.crt ##certificado del servidor key /etc/openvpn/2.0/keys/servidor.key ##llave del servidor dh /etc/openvpn/2.0/keys/dh2048.pem server-ipv6abcd::/64 server 172.16.101.0 255.255.255.0 ##Diffie-Helman
##segmento ipv6 dentro del tunel ##segmento ipv4 dentro del tunel
client-to-client ##permite que diferentes clientes dentro del tunel sean visibles keepalive 10 120 ##ping cada 10 segundos comp-lzo ##tipo de compresion persist-key ##mantienen recursos ante un reinicio persist-tun ## verb 6 ##nivel de debug de 1 a 10 ##rutas para llegar al segmento privado del ##cliente ##1000:db8::1 ip del servidor VPN
How-To Direccionamiento
client-config-dir /etc/openvpn/subnet1
Nota: para poder levantar el tnel OpenVPN requiere un segmento ipv4 para utilizar las interfaces TUN. 3. Iniciamos servidor openVpn con la siguiente sintaxis: openvpn config /etc/openvpn/server.conf
1. a) CONFIGURACIN DE UN CLIENTE EN ESPECFICO 1. Crear un directorio que guardar los archivos de configuracin para cada cliente /etc/openvpn/subnet1 2. Crear un archivo que lleve el nombre del cliente (el mismo usado para el certificado y la llave). En nuestro caso: cliente1 3. Editar archivo /etc/openvpn/cliente1 #cliente1 iroute2001:db8:0:1::/64 iroute2001:db8:0:2::/64 ##rutas hacia LAN del cliente ##
How-To Direccionamiento
ca /etc/openvpn/ca.crt cert /etc/openvpn/cliente1.crt key /etc/openvpn/cliente1.key comp-lzo verb 6 3. Inicio del cliente openvpn config /etc/openvpn/cliente1.conf
El cdigo anterior se explica a continuacin: iface relay1: interfaz virtual. relay eth0: se direcciona lo recibido a interfaz fsica eth0 interface-id: identificador de interfaz en comn de servidor con relay-agent. unicast 2001:db8::1: ipv6 del servidor aceptada para recibir peticiones. class: opciones generales. pool: pool de direcciones que se asignaran a los clientes. clientduid: identificador nico del cliente para una configuracin especifica. address: ipv6 a asignar al cliente en especifico.
How-To Direccionamiento
Para la utilizacin del dibbler-relay procederemos inicialmente a instalar desde los repositorios mediante la siguiente sintaxis: apt-get install dibbler-relay
Una vez instalado, hay que verificar si la instalacin de realizo de forma exitosa buscando su carpeta de instalacin /etc/dibbler en esta carpeta se deber de crear un archivo con el nombre de relay.conf el cual tendr la siguiente configuracin:
Las primeras dos lneas corresponden al debug es decir mensajes, que tan especficos deben de ser cada uno de los mensajes en el momento que ocurra un error durante la ejecucin del dibbler-relay. Lo que se encuentra en las llaves de iface eth2 corresponde a la configuracin de dicha interfaz, para nuestro caso le estamos diciendo que en esa interfaz no reenviara multicast(server multicas no) y que todo el unicast que sern las peticiones de dhcp por parte de los host las reenva a la direccin declarada (server unicast 2001:db8::1) que es la direccin del servidor dhcp. En la parte iface eth0.2 es una interfaz creada para una vlan(que se explicara con mas detalle ms adelante), esta corresponde en cierta manera a una interfaz virtual creada, en la cual dicha interfaz ser utilizada para escuchar peticiones de una vlan en especial. Cabe mencionar que el numero que acompaa eth0.2 corresponde al ID de la vlan que anteriormente se ha creado en el switch. A dentro de esta se aade la configuracin a dicha interfaz virtual, establecindole que escuchara multicast por parte de los clientes (client multicast yes), y que esta se conectara con una interfaz del servidor establecida (interface -id 5020) que tambin est definida en el servidor.
How-To Direccionamiento
Dado que en nuestra implementacin dhcp-relay est conectado a un switch este tambin debe saber de que vlan proviene la peticin DHCP, para que nuestra maquina linux funcione con las vlans del switch haremos uso del siguiente paquete: apt-get install vlan Realizada la instalacin procederemos a levantar el modulo 8021q el cual transporta el trafico de varias vlans: modprobe 8021q Ana vez instalado el paquete y levantado el modulo nuestra maquina linux puede funcionar con las vlans de switch cisco, cabe recordad que en nuestro caso se uso un switch cisco y una maquina con sistema operativo linux mint. El siguiente paso es agregar las vlans para que estas se han reconocidas por nuestro maquina mediante la siguiente sintaxis y ejecutndola en modo usuario: vconfig add eth0 2 Con lo anterior crea una interfaz virtual por medio del cual escuchara las peticiones de la vlan 2, recuerde que dependiendo del ID de la vlan ese deber especificarse al momento de agregarse con la sintaxis anterior.
Inicialmente para poder configurar un switch cisco se hace uso de la herramienta Gtkterm(que es una pequea shell grafica), que es utilizado como una terminal para poder acceder a configurar el switch.
Esta herramienta se puede descargar de los repositorios mediante la siguiente sintaxis: apt-get install gtkterm Una vez instalado ejecutamos desde terminal como superusuario: gtkterm Inicializado el comando anterior se abrir una nueva ventana en la cual se deber de configurar, la velocidad de transmisin, la forma en como se va conectar (para nuestro caso va USB). Esta configuracin se deber de llevar a cabo en la opcin: configuration port . Finalizado con xito la configuracin anterior procederemos a la configuracin de las How-To Direccionamiento
vlans en el switch. Para la creacin de las vlans se deber de tener todos los privilegios para poder crearlas. La configuracin del switch cisco presentado anteriormente se realizo con el modelo catalyst 3500.
How-To Direccionamiento
Referencias:
How-To Direccionamiento