Está en la página 1de 127

Zeroshell HOWTO

The multifunctional OS created by

Fulvio.Ricciardi@zeroshell.net www.zeroshell.net

How to secure my private network

( Author: cristiancolombini@libero.it )
Cómo proteger mi red privada:
Esta breve guía nos permitirá configurar un firewall de red para nuestra red en menos de una hora.
Zeroshell garantizará ourprivate red de ataques externos. Nuestra red privada está conectada a Internet a
través de un router.Here xDSL los pasos a seguir:
Primera puesta en marcha e inicio de sesión preparar un disco partición donde almacenar nuestras
configuraciones de almacenamiento de nuestra configuración de los adaptadores de red de configuración
de navegación en Internet Portal Cautivo de activación de servicio DNS del servicio DHCP rutas estáticas
a redes remotas a servidores virtuales de Seguridad: control de las políticas por defecto

En Zeroshell podemos encontrar muchas otras características importantes para las redes más complejas,
lo cual es una solución escalable para nuestra red.
Primera puesta en marcha e inicio de sesión:
Después de arrancar desde el CD, el sistema es accesible con un navegador en el http seguro:
https: / / 192.168.0.75
La aceptación de la conexión segura se nos pide usuario y contraseña para Entrar:

Utilice los siguientes:


Usuario: admin
Contraseña: zeroshell
Ahora podemos usar la interfaz web para configurar nuestro servidor de seguridad.

 
Preparación de una partición en el disco para almacenar nuestras configuraciones:
Es tan importante para salvar a nuestros Zeroshell cambios que nos permite guardar en un archivo de
configuración. Se puede almacenar en un
partición de un disco duro. No es necesario farmat las particiones existentes, podemos guardar nuestros
archivos de configuración en
particiones existentes, tales como: ext3, ReiserFS, ext2 o FAT32. Para mi preferencia, prefiero crear una
nueva partición ext3. Así que
optar por borrar cualquier partición existente en mi disco (todos los datos de este disco se perderá).
Usando el menú SETUP (en el marco de la izquierda) elegir almacenamiento etiqueta (en el marco
superior):

Se nos muestra los discos existentes. Seleccionamos las particiones existentes y eliminarlos:
 

 
Se nos pide confirmación para su eliminación. SÍ
Ahora tenemos un disco en blanco sin particiones. Estoy dispuesto a crear una sola partición.
 

 
Almacenamiento de nuestra configuración:
Una vez que el disco está listo para ser usado, podemos crear nuestro archivo de configuración primero.
Eligiendo la partición, haga clic derecho sobre la
CREAR PP:
 

 
Introduzca una descripción corta para el archivo de configuración; nombre completo de nuestro sistema,
Kerberos y LDAP;
elegir una contraseña nueva para el usuario "admin"; dirección IP de la interfaz que se utiliza para
configurar el sistema, puerta de enlace predeterminada para
las redes de acceso externo (para acceso a Internet).
Esta configuración se utiliza cada vez el sistema se inicia. Podemos optar por crear configuración
diferente de varios
los archivos que se active (Activar) para el inicio por defecto del sistema. Con BACKUP botón podemos
crear una copia de
el archivo de configuración, seleccione en el PC que estamos utilizando para navegar por la página
principal Zeroshell administrativa.

 
 

 
Los adaptadores de red de configuración:
Una vez preparado el disco y crea el primer archivo de configuración podemos configurar la dirección IP
del adaptador de red, por el
haciendo clic en CONFIGURACIÓN DE RED etiqueta nad:

 
Normalmente ETH00 es el adaptador de red interno (interfaz segura del servidor de seguridad) y ETH01
es el externo que
comunicarse con router.Using xDSL Añadir botones de IP que puede configurar las direcciones IP
estáticas para estas interfaces.
He elegido para la interfaz interna 192.168.0.75 (ETH00) y 192.168.1.1 para el externo (ETH01), ahora
me puse
gatewayusing defecto botón DEFAULT GW. Mi puerta de enlace es 192.168.1.254, ahora puedo
comprobar las rutas de la estática en
Menú del router:
 
Internet
Es es entender que este thopology red es muy escalable por Zeroshell, ahora podemos empezar a crear
políticas para
nuestra red interna (192.168.0.0/24), o podemos usuario de portal cautivo para crear usuario y contraseña
para los usuarios internos que
quiere usar el navegador de Internet, podemos crear el servidor virtual para compartir nuestros servicios
con las redes externas, etc
Navegación por Internet:
Para que los clientes internos el uso de conexión a Internet, debemos activar Network Address
Translation (NAT) para protegerlos.
Usando el menú router, haga clic en la etiqueta de NAT y ETH00 conjunto que se traduce por ETH01:

Ahora podemos usar la conexión a Internet en nuestros clientes.


La activación del portal cautivo:
Características Thi útil pongamos los usuarios de Internet y una contraseña para la conexión a Internet de
filtro externo (). De esta manera, un usuario en
de la red interna debe autenticarse contra Zeroshell antes de abrir las conexiones a Internet (para la
navegación web, correo
dowload, etc ...)
Antes de activar Portal Cautivo debemos crear los usuarios en los usuarios, etiqueta añadir, llenar los
campos como a continuación:

Nombre de usuario contiene el nombre del usuario para la autenticación.


Una vez creados los usuarios, el cautivo, haga clic en el menú PORTAL; establecer un marcador en GW,
elija Modo ruteado e internos
adaptador de Ethernet en proceso de autenticación que va a suceder (en nuestro ETH00 la IP del cliente es
la puerta de entrada Def ault).

.
Activar autenticación:

 
Ahora podemos cerrar nuestro navegador y vuelva a abrirlo, nos pedirá autenticarse. A continuación he
personalizado mi
página de autenticación:
Uso de correst de usuario y contraseña:

podemos ver esta ventana emergente: podemos utilizar los recursos de Internet hasta que esta página está
abierta.
Usted puede personalizar esta página con la etiqueta autenticación con un script HTML:
En tag GATEWAY puedes ver conectados usuarios y usted puede drop 'dobladillo si necesario utilizando
botón DISCONNECT:
Servicio DNS:
Líneas Inicio xDSL uso externo DNS servidores para resolver nombres Internet. A veces, estos servidores
DNS externos se han reducido
o no funciona por alguna razón; Zeroshell puede ser también un servidor DNS! Es muy fácil de usar: haga
clic en DNS a la izquierda
.. voz y ACTIVAR bandera:

¡Hecho! ... Ahora puede configurar su cliente en esta forma (192.168.0.75 es Zeroshell ..):

El servicio DHCP:
Zeroshell puede ser también un servidor DHCP, de esta manera los clientes de nuestra red interna no
necesita direccionamiento de IP estático
Elija DHCP:

crear nuevas y elegir el interfaz de red donde Zeroshell distribuirá las direcciones IP:

y así:
Ahora debemos elegir el rango de direcciones IP disponibles para ser distribuidos:
y guardar.
Zeroshell es también nuestra puerta de enlace predeterminada y servidor DNS!
Nuestra configuración de red del cliente:

 
unos segundos y se puede comprobar que:
C: \ Documents and Settings \ Administrador> ipconfig / all
Configurazione di IP de Windows
Nombre de acogida. . . . . . . . . . . . . . : PIZZA
Sufijo DNS primario. . . . . . . :
Tipo de nodo. . . . . . . . . : Sconosciuto
Abilitato de enrutamiento IP. . . . . . . . . : No
Proxy WINS abilitato. . . . . . . . : No
Scheda Ethernet rete connessione alla local (LAN):
Sufijo DNS specifico per connessione:
Descrizione. . . . . . . . . . . . . : 3Com 3C920B-EMB rápido
integrado
Ethernet
Indirizzo fisico. . . . . . . . . . . : 00-26-54-0B-31-CA
Abilitato DHCP. . . . . . . . . . . . : Sì
Configurazione automatica abilitata: Sì
Indirizzo IP. . . . . . . . . . . . . : 192.168.0.25
Máscara de subred. . . . . . . . . . . . . : 255.255.255.0
Predefinito Gateway. . . . . . . . . : 192.168.0.75
Servidor DHCP. . . . . . . . . . . . . : 192.168.0.75
Servidor DNS. . . . . . . . . . . . . : 192.168.0.75
Ottenuto Lease. . . . . . . . . . . . : Venerdì 20 ottobre 2006
10.41.59
Arrendamiento Scadenza. . . . . . . . . . . : Venerdì 20 ottobre
2006 18.41.59
Las rutas estáticas a las redes remotas:
Si tenemos alguna redes remotas conectadas a través de un router, podemos establecer rutas estáticas.
Por ejemplo, si tenemos que llegar a la red remota: 192.168.50.0/24 a través del router 192.168.0.254,
podemos hacer esto usando
ROUTER y ADD:
"Metric" es el costo, la prioridad que debe seguir si hay muchas rutas diferentes para la red de un mismo
destino.

Podemos activar también RIP v2 protocolo. Se utiliza para que los routers más dinámica existente
infromations compartir acerca de
redes remotas conocidas.
Servidores Virtuales:
Es posible compartir los servicios de red interna con la red externa (Internet). Podemos, por ejemplo,
optar por publicar
un sitio web.
Router mediante, elija SERVIDOR VIRTUAL:

Tenemos que escoger la interfaz, el protocolo y el puerto de escucha para este servicio en el sistema de
Zeroshell. Entonces, debemos establecer
¿Dónde está el servicio en nuestra red segura: 192.168.0.100. Es el servidor web de publicación de
nuestra página web en el puerto 80 TCP.
Debemos estar seguros de que no ha router xDSL NAT activado. Si NAT está habilitado tenemos que
estar seguros de que las solicitudes en el puerto 80 TCP
llegar Zeroshell ETH01. Por ejemplo, en mi router 3com he puesto que cada tipo de solicitud de Internet
debe llegar a
mi Zeroshell interfaz externa:
Seguridad: control de las políticas por defecto
Utilizas el cortafuegos podemos comprobar las políticas de red por defecto en nuestro servidor de
seguridad.
Elija cadena de salida y haga clic en
Ver:

Estas son las políticas de salida:

Elige ahora cadena INPUT, y haga clic en Ver, estas son las políticas por defecto de entrada:
Web Proxy transparente con antivirus y chequeo de lista
negra de Urls

NOTA: la versión 1.0.beta9 de Zeroshell tiene algunos errores en el módulo de Proxy,


por lo cual se necesita instalar el parche A500.

El propósito de este documento es describir la creación de un Proxy Web con un chequeo


de antivirus de páginas Web y las listas negras y blancas. El documento se divide en las
siguientes secciones:

• ¿Por qué usar un Proxy Web con un chequeo de antivirus?

• Modo de Proxy transparente

• Configuración y activación del servicio de Proxy

o Registro de acceso y privacy

o Antivirus de verificación de las imágenes

o La actualización automática de las firmas ClamAV

• Página Web de listas negras y listas blancas

• Pruebas de Proxy y función antivirus

¿Por qué usar un Proxy Web con un chequeo de antivirus?


Las páginas Web son cada vez más los medios mas frecuentes por los que los gusanos y
los virus se propagan en la Internet. Ya sea intencionalmente o porque son vulnerables y
por lo tanto modificables sin el conocimiento de los autores legítimos, las paginas Web a
veces tienen referencias de código ejecutable que puede infectar las computadoras de los
usuarios. Además, la situación ha empeorado desde que una serie de vulnerabilidades en
el sistema de visualización de las imágenes ha permitido a los virus portarse dentro de
archivos JPEG. Últimamente, el creciente uso de los applets de Java está aumentando el
número de virus multiplataforma que se propagan a través de HTTP y su funcionamiento
es independiente de la plataforma (PC, ordenador de bolsillo, teléfono móvil) o del
sistema operativo en que trabajan.
La mejor solución para este tipo de problema es proporcionar a todos los dispositivos
cliente que se conectan a Internet con un buen programa antivirus con protección en
tiempo real, comprobando todos los archivos de entrada. Sin embargo, esto puede no ser
suficiente por dos razones:

- ningún programa antivirus, incluso los que sí tienen firma de mecanismos de


actualización, puede proporcionar una garantía del 100% contra todos los virus;

- la verificación en tiempo real del contenido entrante es bastante pesada en


términos de cálculo y en particular en los dispositivos cuyo funcionamiento no es
demasiado bueno, puede ralentizar el sistema hasta el punto de hacer que los
usuarios deshabiliten la protección en tiempo real del antivirus.

Por estas razones, el chequeo de virus se realiza cada vez mas en capas superiores, antes
que virus potenciales puedan llegar los usuarios. En otras palabras, los sistemas
centralizados de antivirus se utilizan en los servidores que ofrecen un servicio en
particular. El ejemplo más extendido es el de los servidores de correo electrónico, que
tienen un sistema que analiza los mensajes entrantes y salientes a través de SMTP y
analizan los archivos adjuntos en busca de virus. En este caso, la aplicación de
verificación de antivirus en una puerta de enlace SMTP es muy natural, ya que los
correos electrónicos están obligados a pasar por ella, antes de llegar al buzón del usuario.
Para el servicio HTTP, esto no es tan insignificante, ya que un cliente potencial de
Internet se puede conectar directamente a cualquiera de los servidores Web disponibles
en Internet. La solución a este problema consiste en la introducción de un nivel de
aplicación de puerta de enlace a la red local para recoger las peticiones HTTP de clientes
y los remitirá a los servidores Web pertinentes. Este aplicación de puerta de enlace se
denomina Proxy Web y ya que es capaz de interpretar el protocolo HTTP, no sólo filtra
sobre la base de las URL sino que también puede controlar el contenido transportado
(HTML, JavaScript, Java Applet, imágenes,...) y los explora en busca de virus. Una de las
funciones más comunes de los Proxy hasta el momento han sido las cachés Web, es decir,
archivos almacenados de las páginas Web que ya han sido visitadas, con el fin de acelerar
la visualización de las mismas URL para las solicitudes posteriores. El objetivo de esto es
también reducir el consumo de ancho de banda en Internet y uno de los más conocidos
Proxy, capaz de realizar funciones de Web Cache es Squid, distribuido con licencia Open
Source.
Zeroshell no se integra con Squid, ya que no recoge las páginas Web. La tarea de un
programa de antivirus centrada en la red y el filtrado de contenidos, utilizando las listas
negras de URL, es manejado por HAVP como sistema de representación y ClamAV
como antivirus. Ambos se distribuyen bajo licencia GPL.

Modo de Proxy transparente


Uno de los mayores problemas cuando se utiliza un servidor Proxy es la de la
configuración de todos los navegadores Web para usarlo. Por tanto, es necesario
especificar su dirección IP o nombre de Host y el puerto TCP en el que responde (por lo
general el puerto 8080). Esto podría ser una carga en el caso de redes de área local con
numerosos usuarios, pero peor aún, no se podría garantizar que los usuarios no eliminen
esta configuración para obtener acceso directo a la Web, evitando así la verificación de
antivirus, el registro de acceso y listas negras.

Para resolver este problema, Zeroshell utiliza el modo de Proxy transparente que implica
automáticamente la captura de las solicitudes de cliente en el puerto TCP 80.
Obviamente, para Zeroshell poder captar estas peticiones Web, debe ser configurado
como un Gateway de la red, de modo que el tráfico de Internet de los cliente pase a través
de ella. Zeroshell automáticamente captura las peticiones HTTP si se trata de un nivel 2
de puerta de enlace (puente entre Ethernet, WiFi o la interfaz VPN) o de la capa 3 de
puerta de enlace (enrutador). Sin embargo, es importante especificar las interfaces de red
IP o subredes a las que las solicitudes deben ser redirigidas. Esto se hace mediante la
adición de las llamadas HTTP Capturing Rules (Reglas de Capturas de HTTP), como se
muestra en la siguiente figura:
Figure 1 Configuración de las reglas de capturas Http.

En el ejemplo de la figura, se recogen las peticiones HTTP de ETH00 y las interfaces de


red ETH03. Quedan excluidas de estas peticiones las dirigidas a los servidores Web que
pertenecen a la subred 172.16.0.0/16 IP y los de los clientes con la dirección IP
192.168.0.1. Puede haber varias razones por las que es necesario excluir la intervención
del Proxy transparente en algunos clientes y otros servidores Web. Por ejemplo, un
servidor Web puede restringir el acceso sólo a los clientes con una dirección IP
determinada en su ACL. En este caso, si las solicitudes de Proxy capturado en el servidor
anterior, se llegaría a través de su IP y esto le impedirá el acceso. Por otra parte, no sería
posible autorizar la dirección IP del Proxy en las ACL del servidor Web, ya que esto
significaría que permite el acceso indiscriminado a todos los clientes mediante el Proxy.
Es claro, entonces, que la única solución es evitar la captura de las solicitudes por el
Proxy transparente.
Por último, tenga en cuenta que las reglas de IPTABLES para redirigir hacia el servicio
de Proxy (8080 TCP) se sitúan en niveles inferiores de los que intervienen en el Captive
Portal. Gracias a esto, el Captive Portal y el Proxy transparente pueden ser activados de
manera simultánea en la misma interfaz de red.

Configuración y activación del servicio de Proxy


Como se ilustra en la figura siguiente, la configuración de Proxy con el servicio de
verificación de antivirus es muy simple. Después de configurar el cuadro de Zeroshell
para actuar como un router y después configurarlo en los clientes como la puerta de
enlace predeterminada, o configurarlo como un puente, e interponerla en un punto de la
LAN donde el trafico fluye hacia y desde Internet, simplemente habilite la bandera
[Enabled] para que el Proxy puede empezar a trabajar. Como se menciona en el párrafo
anterior, las peticiones Web que en realidad son interceptadas y sometidas a la
representación son especificadas a través de la configuración de [HTTP Capturing
Rules].
Figure 2 Configuración Proxy de las interfaces Web.

Tenga en cuenta que la puesta en marcha del servicio de Proxy es muy lenta en
comparación con otros servicios, y en un hardware que no es muy rápido puede tardar
hasta 30-40 segundos. Esto se debe a la necesidad de las bibliotecas de antivirus ClamAV
de cargarse y descifrar un gran número de firmas de virus en su memoria. Para evitar el
bloqueo de la interfaz de configuración Web y puesta en marcha de las secuencias de
comandos para los intervalos de tiempo, el servicio se inicia de forma asincrónica. Por lo
tanto, cuando el Proxy está activado o configurado de nuevo, el ítem correspondiente a
estado (Status) no se muestra como Activo (verde) de inmediato, pero pasa primero por el
estado inicial (naranja) que muestra que el servicio está cargando las firmas. Para saber
cuándo comienza realmente la ejecución del Proxy, haga clic en [Administrar] para
volver a cargar la página de configuración, o simplemente haga clic en [Registros del
Proxy] para ver el mensaje de inicio del havp daemon. Durante el período de arranque
del demonio havp, las reglas de IPTABLES para la captura de peticiones HTTP son
retiradas temporalmente, permitiendo el tráfico de Internet fluya con regularidad, pero sin
que se analice en busca de virus.

Algunos elementos de configuración se analizan con más detalle en los párrafos


siguientes.

Registro de acceso y privacy


Para ser una aplicación Gateway capaz de interpretar las peticiones HTTP, con el fin de
que funcione correctamente, un Proxy Web descifra las URL visitadas por los usuarios.
De forma predeterminada, Zeroshell no envía esta información a los registros del sistema,
que, si se asocia con la dirección IP de los clientes que solicitan las páginas Web, puede
ayudar a determinar el contenido visitado de los usuarios.

Sin embargo, el registro de esta información puede ser activado mediante la modificación
del ítem [Registro de acceso] (Access Logging) a partir de "Only URL containing Virus" a
"Any Access". De esta manera, todas las URL visitadas se registran en el registro de
asociados con la dirección IP del cliente. Es necesario, antes de habilitar esta opción,
consultar la legislación local en su país para verificar que el registro de las direcciones
URL visitadas no está en contra de las leyes de privacidad nacional.

Además, es importante tener en cuenta que, tal como permite el NAT en un router de
acceso a Internet, cada solicitud de cliente externo es hecha por el propio router, en las
misma manera en que las peticiones pasan a través de un Proxy aparecen con la dirección
IP del el servidor Proxy. Esto puede causar dificultades en el rastreo de la identidad de un
usuario que ha llevado a cabo acciones ilícitas en servidores remotos. Una posible
solución a este problema, que es menos invasiva en términos de privacidad, es activar el
registro de la conexión de seguimiento (desde la interfaz Web Zeroshell [Firewall]
[Connection Tracking]). De esta manera, cualquier conexión TCP / UDP se registran en
los registros que muestra la dirección IP de origen, puerto de origen, IP de destino y
puerto de destino. Por lo tanto, no será posible rastrear el contenido de la actividad del
usuario, pero quedará un rastro de las conexiones realizadas. Una vez más, en este caso es
necesario consultar la legislación local antes de habilitar el seguimiento de la conexión.

Antivirus de verificación de las imágenes


Durante mucho tiempo se pensó que un archivo que contiene una imagen JPEG o GIF no
puede contener un virus, porque esta simplemente compuesto de datos formateados en un
formato preestablecido, interpretables por el sistema de visión del sistema operativo. Sin
embargo, recientemente algunos componentes de la imagen de representación han
demostrado que son vulnerables si no son actualizados con parches. Una imagen de
construcción adecuada podría crear un desbordamiento de búfer y ejecutar código
arbitrario en el sistema. Es fácil comprender la gravedad de esta, dado que el contenido
de la mayoría de hipertexto de la WWW es en forma de imagen.
El Proxy HAVP configurado en Zeroshell, por defecto escanea las imágenes utilizando el
programa antivirus ClamAV. Sin embargo, en un hardware lento, la digitalización de las
imágenes podría retrasar la apertura de páginas Web con muchas imágenes. En este caso
es posible deshabilitar la opción de escaneo de archivos que contienen imágenes,
estableciendo las imágenes de cheques [(jpg, gif, png)] de "Enabled" a "Disabled"

La actualización automática de las firmas ClamAV


La velocidad con que los virus nuevos se colocan en la Internet y se identifica, significa
que las firmas antivirus se incrementan y se modifican con frecuencia. La base de datos
de ClamAV no es la excepción, que, gracias al demonio freshclam, puede ser actualizada
en línea a intervalos regulares.

Zeroshell freshclam configura de forma predeterminada para comprobar la base de datos


de la firma 12 veces al día. Este intervalo se puede ajustar con el parámetro [Número de
controles por día] (Number of Checks per Day), desde un mínimo de 1 a un máximo de
48 chequeos por día. También es importante establecer el [País del Espejo] (Country of
the Mirror) de manera correcta, a través del cual freshclam elige el sitio más cercano
desde el que descargar las firmas de virus. Tenga en cuenta, sin embargo, que la
actualización periódica es una operación rápida, que no genera mucho tráfico, ya que se
utiliza un sistema de actualización diferencial.
Página Web de listas negras y listas blancas
A menudo es necesario bloquear una serie de sitios Web, ya que su contenido no se
considera adecuado para los usuarios del servicio Web. Un ejemplo son los materiales
sólo para adultos, que no debe mostrarse en las computadoras en la que los niños tienen
acceso. Una solución muy eficaz para este problema es forzando a los clientes Web
acceder a Internet a través de un Proxy, que, a través de programas de filtrado de
contenido, tales como DansGuardian, examina el contenido de las páginas HTML de
bloqueo que se cree que pertenece a una categoría no deseada. Los mecanismos de estos
filtros pueden ser comparados con los de los sistemas de antispamming.
Lamentablemente, sin embargo, no está claro si el permiso de liberación DansGuardian
es compatible para la integración en un sistema como el Zeroshell y, por tanto, no se
utilizan para evitar el riesgo de violación de la licencia.
Por el momento, la única manera de bloquear o permitir la visualización de páginas Web
es la lista negra y lista blanca de páginas Web como se muestra en la figura.
Figure 3 Configuración de las lista negras en el Proxy Web.

Las listas negras y listas blancas consisten en una secuencia de Urls dispuestas en líneas
distintas. Cada línea puede corresponder a varias páginas Web cuando se utiliza el
carácter *. Para bloquear el sitio http://www.example.com se sitúa www.example.com/ *
en la lista negra, mientras que una línea como www.example.com, sin el *, sólo bloqueará
la página principal de ese sitio.
La lista blanca tiene prioridad sobre la lista negra. En otras palabras, si una página Web
corresponde a un elemento de la lista negra y, al mismo tiempo, se encuentra en la lista
blanca, se permite el acceso a la página.
Además, tenga en cuenta que el propósito de la lista blanca no es sólo permitir el acceso a
páginas que de otro modo estaría prohibido por la lista negra, sino también para
comprobar la derivación de antivirus. Por favor tome nota de esto.
Si el administrador de la LAN quiere adoptar la política de proporcionar acceso a un
número limitado de sitios, s / se puede especificar el * / * Línea en la lista negra, lo que
impedirá el acceso a todas las páginas, excepto los incluidos en la lista blanca.

Pruebas de Proxy y función antivirus


Existen básicamente dos razones por las que el Proxy no funcione correctamente. En
primer lugar, es necesario asegurar que el cuadro de Zeroshell está configurado como un
enrutador o un puente, y también que el tráfico hacia y desde Internet pasa a través de
este. En segundo lugar, usted debe estar seguro de la correcta configuración de la [HTTP
Capturing Rules], que determinan que las solicitudes HTTP son en realidad redirigido
hacia el proceso de Proxy (havp escucha en 127.0.0.1:8080). En particular, si la captura
de peticiones http se impone en una interfaz de red que forma parte de un puente, tiene
que estar seguro de que al menos una dirección IP ha sido definida en el segundo.

La forma más sencilla de comprobar si el Proxy funciona correctamente es habilitar


temporalmente el registro de todos los accesos y mostrar el registro del Proxy, previa
solicitud de las páginas Web de un cliente.

Una vez seguro de que el Proxy Web captura las solicitudes como se espera, verifique
que el software de antivirus ClamAV este funcionando correctamente. Para ello, debe
comprobar por primera vez en los registros freshclam que las firmas se actualizan
regularmente. Luego, vaya a la URL http://www.eicar.org/anti_virus_test_file.htm para
comprobar si el EICAR-AV-Test virus de prueba (que se dice ser inocente por los autores)
es capturado y bloqueado.
Por último, tenga en cuenta que el Proxy no puede servir a las peticiones HTTPS (HTTP
encriptada con SSL / TLS), dado que al no tener la clave privada del servidor Web, no se
puede descifrar el contenido y la URL de esta petición es encapsulada en los túneles de
cifrado.
1:1 NAT in ZeroShell
Requirements
The version of ZeroShell used for writing this document is Release 1.0.beta11. This
document does not describe installing ZeroShell, it is assumed that the user already has a
configured, secured, tested, and working installation of ZeroShell.

Overview
This document will walk through configuring ZeroShell as a router with 1:1 NAT for servers
inside the Local Area Network (LAN) and Many:1 NAT/Masquerading for all other clients on
the LAN. The LAN servers will be connected to ETH02, the other LAN clients will be
connected to ETH00, and the Wide Area Network (WAN) will be connected to ETH01. Note
that there is no restriction that the servers have to be on a separate interface; they could
be connected with the other LAN clients on ETH00 just as easily.

This example assumes that multiple public IP addresses are available on the WAN. One IP
address will be used by ZeroShell and the Many:1 NAT for regular clients on the LAN. The
rest of the IP addresses will also be used by ZeroShell, but translated for the 1:1 NAT for
the servers. The servers are configured with private IP addresses.
In this example, the public IP addresses are assigned from the 216.0.0.129 network with a
subnet mask of 255.255.255.240. The default gateway to the Internet is located at IP
address 216.0.0.129. The LAN clients will use private addresses from 192.168.0.1 onward.
The servers will use private addresses from 192.168.1.1 onward.

Network Setup
Log into the ZeroShell web interface, and click "Setup" under "System" from the menu on
the left. Then, click the "Network" tab.
ETH00 will be used for our LAN clients, and ZeroShell will have an IP address of
192.168.0.1. To configure this, click the "Add IP" button and fill in "192.168.0.1" for the IP
and "255.255.255.0" for the Netmask.
ETH01 will be used for the WAN connection. ZeroShell's "Primary" IP will be 216.0.0.130
with mask 255.255.255.240. For 1:1 NAT, we'll use the IP addresses from 216.0.0.135
through 216.0.0.137. Add the IP addresses the same way as before.
ETH02 will be used for the servers. In order for route traffic to/from this interface,
ZeroShell must be configured with an IP on this subnet. Add the IP address "192.168.1.1"
with subnet mask 255.255.255.0 here.
When finished, the Network Setup should looks similar to the following:
The final network setup step is to configure the Default Gateway by clicking the "GATEWAY"
button at the top and entering the WAN router's IP address of 216.0.0.129.

1:1 NAT Setup


Under the Setup menu under "System", click the "Startup/Cron" tab. Then select the "NAT
and Virtual Servers" script.
For 1:1 NAT to work properly, we must add two rules by using the Linux "iptables"
command. The first set of rules will translate inbound connections from the WAN to the
private IP addresses of the servers before sending the packets for routing. The second set
of rules will translate the outbound traffic from the private IP addresses of the servers back
to their respective public WAN IP addresses. Failure to add the second set of rules will
cause ZeroShell to send all outbound traffic from the "primary" public IP address of
216.0.0.130 later when Many:1 NAT is configured.
For this example, we will translate the IP addresses according to the following table:
Public (WAN) IP Private (LAN) IP
216.0.0.135 192.168.1.35
216.0.0.136 192.168.1.36
216.0.0.137 192.168.1.37
To do this, input the following into the script:
# Translate incoming connections to the private server addresses
iptables -t nat -I PREROUTING 1 -d 216.0.0.135 -i ETH01 -j DNAT --to-
destination 192.168.1.35
iptables -t nat -I PREROUTING 1 -d 216.0.0.136 -i ETH01 -j DNAT --to-
destination 192.168.1.36
iptables -t nat -I PREROUTING 1 -d 216.0.0.137 -i ETH01 -j DNAT --to-
destination 192.168.1.37

# Translate outgoing connections from the private server addresses


iptables -t nat -I POSTROUTING 1 -s 192.168.1.35 -o ETH01 -j SNAT --to-
source 216.0.0.135
iptables -t nat -I POSTROUTING 1 -s 192.168.1.36 -o ETH01 -j SNAT --to-
source 216.0.0.136
iptables -t nat -I POSTROUTING 1 -s 192.168.1.37 -o ETH01 -j SNAT --to-
source 216.0.0.137

When finished, click the "Test" button to ensure no errors were made. Then select the box
to enable the script and then click "Save" to close the script editor.
Note that the -I (Insert) option was used rather than -A (Add) to insert the rule at the
beginning of the table. This is necessary since this script is run after ZeroShell has
configured its own rules. Failure to insert these rules at the beginning of the table would
result in ZeroShell's own masquerading rules to take precedence over the 1:1 NAT
configuration.

Many:1 NAT Setup


Under the "NETWORK" section on the left menu, click "Router". Click on the "NAT" tab to
open up the Network Address Translation window.
This window is used to configure which network interfaces will have all outgoing traffic
NAT'ed/masqueraded. In this example, select "ETH01" from the available interfaces and
click ">>>" to add it to the NAT Enabled Interfaces. Then click the Save button.

Firewall Setup
Now that the network address translation and router is configured, the firewall should be
configured to help secure the network. The Firewall rules in ZeroShell can be very
advanced, so only a simple configuration is shown here. Note that this sample configuration
has not been production tested to ensure proper security. Also note that making errors on
the firewall rules could result in being locked out of the ZeroShell web interface.
First, we want to configure access to the ZeroShell router itself to only be allowed from the
LAN.
Under "SECURITY", click "Firewall". Select the "INPUT" chain. Click "Add" and set the Input
to "ETH00", changing nothing else, and click Confirm. This rule will permit all traffic from
the ETH00 LAN to anywhere on the box.
Next, click "Add" and set the Input to "ETH02" and click Confirm. This rule permits all
traffic from the server LAN on ETH02 to anywhere on the box.
For the last rule, click "Add", and check only "ESTABLISHED" and "RELATED" under
"Connection State", then click Confirm. This rule will permit response traffic from
established connections to the box to wherever they originated.
Click "Save" to make the new input active, then change its policy from "ACCEPT" to "DROP"
so the rules actually take affect.
The INPUT rules should now look like the following:

Now, we want to configure ZeroShell's "Forwarding" firewall rules. This is where you will
protect your servers and LAN clients from the public network. Select the "FORWARD" Chain
to show its firewall rules. Here, we will set up simple rules to permit all outgoing traffic
originating from the LAN to the Internet (WAN), and open up a few ports on our 1:1 NAT'ed
servers to be accessible from the Internet. Traffic between the two LAN ports (ETH00 and
ETH01) will be unrestricted.
Click "Add" and set the Input to "ETH00", then click Confirm. This allows unrestricted traffic
from the LAN to anywhere the ZeroShell box can route (WAN and Server LAN).
Click "Add" again and set the Input to "ETH02", then click Confirm. This allows unrestricted
traffic from the server's LAN to anywhere (WAN and Server LAN).
Click "Add" again and check the boxes for "ESTABLISHED,RELATED" under "Connection
State". This will permit two-way communication for established connections initiated by the
previous two rules.
Now, we want to open up some ports for our 1:1 NAT'ed servers so they can be accessed
from the Internet. The follow table shows which ports need opened up for this example:
Public IP Private IP Protocol Port
216.0.0.135 192.168.1.35 TCP 80
216.0.0.136 192.168.1.36 TCP 22
216.0.0.137 192.168.1.37 UDP 123
(all) (all) ICMP (ping)
Click "Add", set Input to "ETH01", Destination IP to "192.168.1.35", Protocol Matching to
"TCP", and Dest. Port to "80". Click Confirm.
Click "Add", set Input to "ETH01", Destination IP to "192.168.1.36", Protocol Matching to
"TCP", and Dest. Port to "22". Click Confirm.
Click "Add", set Input to "ETH01", Destination IP to "192.168.1.37", Protocol Matching to
"UDP", and Dest. Port to "123". Click Confirm.
Click "Add", set Input to "ETH01", Destination IP to "192.168.1.35-192.168.1.37", Protocol
Matching to "ICMP", and ICMP Type to "echo-request (ping)". Click Confirm.
Now, click "Save" to make the new rules active, and change the Policy to "DROP" so the
rules actually take affect.
The FORWARD rules should now look like the following:

Finishing Up
Configure the servers connected to ETH02 with appropriate IP addresses and set their
Default Gateway to ZeroShell's IP Address of "192.168.1.1". Do the same with the LAN
clients on ETH00, except their Default Gateway is "192.168.0.1". Or, configure ZeroShell's
DHCP servers to do the same (instructions for this is beyond the scope of this document).
Now, click on the Reboot link to restart ZeroShell to ensure everything still works after
restarting. Test both incoming connections and outgoing connections to your servers to
ensure the 1:1 NAT is working properly. Confirm that the Port Forwarding and Source NAT
table looks correct following by clicking "Router", "NAT", then "View":
Punto de acceso inalámbrico con
múltiples SSID y VLAN
El propósito de este documento es describir la implementación de un Punto de Acceso
WiFi utilizando Zeroshell en un sistema con una tarjeta de red WiFi con un chipset
Atheros. El documento se subdivide en las siguientes secciones:

 ¿Por qué implementar un punto de acceso inalámbrico con los módulos del
kernel de Linux de el proyecto MadWifi?
 Administrar interfaces inalámbricas y múltiples SSID con el WiFi-Manager
 Mapa de la LAN inalámbrica en la red VLAN con etiquetas tags
 Amplíe la conexión inalámbrica geográficamente a través de OpenVPN

¿Por qué implementar un punto de acceso inalámbrico


con los módulos del kernel de Linux de el proyecto
MadWifi?
Gracias a la utilización de los módulos MadWifi por el núcleo de Linux, es posible
implementar un punto de acceso inalámbrico con un ordenador personal o un
dispositivo integrado que tenga una tarjeta de red WiFi (PCI o MiniPCI) con un chipset
Atheros. Esta función está disponible desde la versión 1.0.beta8 de Zeroshell, que
introduce el soporte WiFi en cualquier AP (Access Point) o en modo STA (en el cual un
Zeroshell router/bridge se puede asociar como un cliente en una LAN inalámbrica).
La opción de utilizar los controladores Madwifi, combinados con el uso de
wpa_supplicant y paquetes hostapd, se debe a su capacidad para desempeñar las
funciones de un Punto de Acceso con características avanzadas, por ejemplo:

 Autenticación de acceso y cifrado del tráfico inalámbrico a través de


WPA/WPA2 (RSN). Este es soportado también en modo WPA-PSK, en el que el
cliente, a fin de estar asociado a un SSID, debe conocer el Pre-Shared Key, o el
modo WPA-EAP, también conocido como WPA Enterprise, en el que un usuario
puede llegar a ser autenticado con nombre de usuario y contraseña o un
certificado digital X.509 validado por un servidor RADIUS. Tanto el algoritmo
de cifrado TKIP y el mas seguro CCMP, basado en AES, son soportados;
 Modo de administración de múltiples SSID (también llamado Virtual SSID),
gracias al cual es posible crear hasta 4 puntos de acceso virtual independientes
para cada tarjeta de red WiFi en el sistema. Es evidente que los SSID virtuales
pertenecientes a la misma tarjeta de red WiFi compartiran el canal de radio que
utilizan, y por lo tanto el ancho de banda disponible. Además, para cada SSID
virtual es posible establecer un sistema de autenticación y esquema de cifrado
independiente (texto sin formato, WPA-PSK, WPA Enterprise o WEP a 128
bits). De los cuatro posibles SSID también se puede trabajar en modo
administrado y asociado a una WLAN como un cliente. Por ejemplo, esto es útil
para ampliar el alcance de la red inalámbrica mediante la aplicación de
autorepetidores que trabajan en WDS (Wireless Distribution System), pero no
necesitan estar conectadas entre sí por medio de una red cableada.
 Compatibilidad con los canales de la red en la banda de 5GHz (802.11a) y la
banda de 2,4 GHz (802.11by 802.11g). En particular, en caso de que el modo
802.11g sea seleccionado, la compatibilidad está garantizada para los clientes
más antiguos que sólo tienen 802.11b.

Zeroshell identifica a cada SSID virtual como si se tratara de una interfaz Ethernet
(ETHnn). Esto permite que operen en las redes Wi-Fi, utilizando una interfaz web, así
como las interfaces de cable. En otras palabras, en el SSID es posible:

 Agregar direcciones IP, enrutamiento estático y también permite que el


protocolo RIP V2 adquiera y propague las rutas dinámicas;
 Aplicar clases de calidad de servicio para hacer tráffic shaping mediante la
asignación de diferentes niveles de prioridad, ancho de banda el máximo y
garantizado a los diferentes tipos de tráfico (VoIP, P2P, SSH, HTTP, ...);
 Hacer de puente con las interfaces Ethernet, VLAN 802.1Q, VPN de LAN a
LAN y otros SSID. En particular, la posibilidad de hacer un puente o enlace de
capa 2 con un SSID virtual que funciona como un cliente con la calidad de un
punto de acceso, permitiendo que funcione el llamado repetidor WiFi (o WDS)
que extiende el área de cobertura de la WLAN;
 Activar los servicios, incluido el DHCP, portal cautivo y aplicar filtros de tráfico
por medio del firewall.
 Aplicación de bonding, que es añadir dos o más interfaces de tal manera que se
aumente el ancho de banda (balanceo de carga) y fiabilidad (tolerancia a fallos).
Naturalmente, para tener enlaces inalámbricos, es necesario que los SSID
virtuales que los componen pertenezcan a diferentes interfaces WiFi con el fin
de equilibrar el tráfico en los diferentes canales de radio.

Administrar interfaces inalámbricas y múltiples SSID


con el WiFi-Manager
Aunque mediante la interfaz web Zeroshell (véase figura) es posible administrar las
interfaces de red que representan los SSID, las operaciones para la creación y gestión de
estos últimos respecto a los parámetros inalámbricos como el canal a utilizar, la
potencia de transmisión en dBm y el cifrado, todos son Gestionado por un script que es
llamado por el comando de shell wifi-gerente por medio de una conexión serial RS232 o
VGA por consola o mediante una sesión SSH remota. A continuación puedes ver el
menú principal del WiFi-Manager:

root@gw-adsl root> wifi-manager

[wifi0] Chipset AR5413 802.11abg NIC (rev 01)


-- If -- Mode -- SSID --------------------------- Hide -- Security -
>> ETH02 AP WLAN with Captive Portal no Plaintext
ETH03 AP WLAN with Pre-Shared Key no WPA-PSK
ETH04 AP WLAN with 802.1x Radius Auth. no WPA-EAP
ETH05 AP WLAN with WEP no WEP128

[wifi1] Chipset AR5413 802.11abg NIC (rev 01)


-- If -- Mode -- SSID --------------------------- Hide -- Security -
ETH06 STA wrap-psk no WPA-PSK

COMMANDS
<N> New SSID <M> Modify SSID
<D> Delete SSID <I> Show Information
<C> Std/Channel/Tx-Power
<L> List Stations <S> Channel Scanning
<R> Restarting Devices <Q> Quit

>>

Como puede ver, este sistema se ilustra con un PC ALIX 2C2 Embebido con 2
interfaces WiFi con el chipset Atheros AR5413 802.11abg, capaz de operar tanto en
802.11bg como en 802.11a. En la interfaz inalámbrica wifi0 con 4 puntos de acceso
virtuales que comparten la misma frecuencia de radio, se definen cada uno con su
propia autenticación y esquema de cifrado.

 La interfaz ETH02 corresponde a la WLAN con el SSID "WLAN with Portal


Cautivo". Sin cifrado (texto plano) se define para este SSID, pero la
autenticación es sucesivamente delegada al portal cautivo;
 La interfaz ETH03 corresponde a la WLAN con el SSID "with Pre-Shared Key"
con protección WPA-PSK, donde se puede acceder conociendo la clave
compartida definida durante la creación del SSID. Este modo de protección, que
sustituye a WEP, es muy vulnerables a la captura de un número determinado de
paquetes, se considera suficientemente seguro si se utiliza una clave previamente
compartida con el tamaño y complejidad adecuada. Naturalmente, como con
WEP, el administrador debe comunicar este número a todos los usuarios que
podrán acceder a la red inalámbrica, y se debe cambiar periódicamente. Esto es
factible en configuraciones pequeñas, como el servicio doméstico o la
configuración SOHO, pero se vuelve muy complicada cuando el número de
puntos de acceso de usuarios crece;
 La interfaz ETH04 se refiere al punto de acceso virtual con SSID "WLAN with
Radius 802.1x Auth." donde un esquema de encriptación WPA-EAP ha sido
configurado. Este tipo de método de protección es la más segura y flexible, y por
lo tanto se utiliza en configuraciones grandes y por eso que WPA-EAP es
también conocida como WPA Enterprise. Su flexibilidad se debe al hecho de
que las claves de cifrado no son generadas por el administrador, pero si de forma
automática por un servicio de RADIUS mediante 802.1x, que autentica al
usuario mediante un nombre de usuario y una contraseña (con PEAP with
MSCHAPv2 o EAP-TTLS) o por medio de un certificado digital X.509 (with
EAP-TLS). Durante la configuración del SSID con WPA-EAP, se puede optar
por utilizar el servidor local Zeroshell RADIUS o hacer una referencia a un
servidor RADIUS externo. En el primer caso no es necesario configurar ningún
secreto compartido, mientras que en el segundo caso utilizando un RADIUS
externo es necesario especificarlo.
 WEP de 128-bits se define en la última interfaz. Es necesaria debido a la
existencia de antiguos clientes que no son compatibles con WPA/WPA2, WEP
en lo posible debe evitarse dado el bajo nivel de protección que garantiza.

En el wifi1 una única interfaz es definida en modo cliente. Esta interfaz se conecta a la
red inalámbrica con SSID llamada "WRAP-PSK", protegida por una clave
precompartida. Tenga en cuenta que con una tarjeta Wi-Fi puede tener un máximo de un
SSID que actúe como un cliente. Los otros SSID deben corresponder a los puntos de
acceso virtuales. Por otra parte, dado que todos los SSID pertenecen a la tarjeta WiFi y
comparten el mismo canal, éste coincidirá con el canal de radio de las WLAN externas.
Esto inevitablemente significa compartir el ancho de banda.

Teniendo en cuenta la simplicidad del WiFi-Manager, es inútil describir ahora cada


comando, ya que su uso debe ser muy intuitivo. El anuncio sólo es con respecto al
"Std/Channel/Tx-Power" voz que se activa con la tecla C del menú. Con esto es posible
aplicar la norma (802.11a, 802.11by 802.11g y después con las nuevas versiones del
controlador de Madwifi, también para 802.11n, todavía en proyecto), la disposición del
canal de radio de alta frecuencia para la norma elegida y una potencia de transmisión
expresada en dBm o mW. En particular, es necesario establecer este último parámetro
con cuidado para evitar pasar por el límite de potencia permitido por la ley donde se
encuentran.

Como ya se ha insinuado, una vez que los SSID se crean y configuran con el wifi-
manager, si éstas corresponden a los centros de Acceso Virtual o conexiones de cliente,
aparecen en todos y para todos, como Ethernet (ETHnn) las interfaces que pueden ser
manipulados a través de la interfaz web Zeroshell . En el ejemplo ilustrado en la figura
siguiente, las cuatro interfaces inalámbricas Multi SSID y la interfaz de cable ETH00
son enlazadas en un BRIDGE00 único de la interfaz. (ETH00, ETH02, ETH03, ETH04,
ETH05)

Interfaz de configuración. Haga clic en la imagen para ampliarla.


Haciendo esto, todas las 4 redes WLAN, independientemente de su modo de acceso
(WPA-PSK, WPA-EAP, Portal Cautivo o WEP), comparten la misma capa 2 de la LAN
que es accesible a través de la interfaz Ethernet ETH00. El hecho de compartir el nivel
de enlace de datos para varios componentes del SSID el cual hace posible utilizar el
servidor LAN DHCP (si existe) o sólo se necesitara activar una subred con DHCP solo
conectado a la interfaz del puente. Obviamente, como el firewall y la calidad de servicio
también actúan en las interfaces de puente, es posible aplicar un acceso independiente y
reglas de tráffic shaping para cada SSID. Por ejemplo, fuera posible para beneficiar a
los usuarios que accedan a través de la WPA Enterprise con respecto a aquellos que
utilizan el portal cautivo, ya que hemos visto que el tráfico de esta última no está
cifrado.

Mapa de la LAN inalámbrica en la red VLAN con


etiquetas tags
Si las LAN virtuales se definen en los switches LAN en el sensado de sus puertos son
lógicamente reagrupados para que aparezcan como pertenecientes a diferentes (virtual)
switches, la comunicación entre estos switches es posible por medio de puertos de trunk
o trunking. Estos puertos se caracterizan por pertenecer simultáneamente a más de una
VLAN, los paquetes a través de ellos deben ser identificados mediante marcas (o VIDs)
que identifican la fuente/destino de la VLAN. Uno de los protocolos de trunking más
utilizado es el definido en el estándar IEEE 802.1Q, que tiene una etiqueta de 12-bits
con un intervalo de valores válidos desde 1 hasta 4094. Lo que es más se define el
concepto de los nativos de VLAN, que es la VLAN cuyos paquetes van a través del
trunk por defecto sin etiquetar las tramas Ethernet. VLAN nativas también se asignan a
tareas de gestión. La difusión de esta norma ha permitido a la interoperabilidad entre
diferentes marcas de dispositivos de red y modelos, incluso en las redes LAN virtuales
están presentes. En particular, la función de mapeo de las redes VLAN en el que la LAN
se subdivide en diferentes SSID inalámbrico se está volviendo más generalizada. Esto
permite la homogeneidad en la asignación de direcciones IP de subred entre las VLANs
que comprende la LAN y el SSID que constituyen la WLAN. Gracias al apoyo de
Zeroshell de VLAN 802.1Q, la gestión de múltiples SSID para un único punto de
acceso y la posibilidad de salvar las interfaces que representan a la VLAN con los
representantes de los SSID, esto es ahora posible y económico, sin tener que utilizar un
(físico) punto de acceso para cada LAN virtual que se alcanzara a través de la red
inalámbrica.

Por ejemplo, supongamos que una organización tiene su LAN subdividida en 2 VLANs:

 Una VLAN para permitir el acceso a los hosts de servicios y los de escritorio del
personal permanente de la organización. Esta VLAN, en la que no hay
restricciones definidas por el firewall respecto a los recursos de la red interna,
tiene un VID 1220 (VLAN ID) y debe ser accesible a través de SSID
inalámbrico a través de un llamado "Trusted Network". El acceso a este WLAN
se debe permitir sólo a los poseedores de una tarjeta inteligente o eToken con un
certificado personal X.509, esto a través de WPA-EAP con RADIUS activado
para poder responder a EAP-TLS;
 Una VLAN para permitir que los clientes con computadores portátiles accedan a
Internet pero con algunas reglas de firewall que limitan el acceso a los recursos
de la red interna. Tal VLAN, cuyo VID se ha establecido como 2350, también a
través de cifrado inalámbrico con un SSID llamado "guest". Aunque el tráfico
viaja sin codificar, en esta WLAN, la autenticación se solicita al acceso desde el
portal cautivo donde se concede el acceso a través de un nombre de usuario y
contraseña temporal dado a los invitados. La decisión de utilizar el portal
cautivo para esta VLAN está motivada por la simplicidad de acceso que no
limita a los huéspedes a tener configurar su equipo WiFi para solicitar el acceso
a Internet. Esta última operación no siempre es inmediata y soportada en todos
los sistemas operativos, mientras que el portal cautivo provee acceso
independientemente del tipo de sistema, siempre que tenga un navegador web.

Como se ilustra a continuación, dos SSID virtuales se crean a través de la wifi-manager:


"Trusted Network" corresponde a la interfaz Ethernet ETH02 y con WPA Enterprise
activa, "guest" corresponde a ETH03. A pesar de que el hardware que está utilizando
tiene 2 tarjetas de red WiFi (wifi0 y wifi1), se decidió crear dos SSID en wifi0. Esto
ahorraría un canal de radio, que es un recurso muy valioso cuando se utiliza 802.11b / g,
ya que sólo hay tres canales sin solapamiento de frecuencias (1,6 y 11).

root@multi-AP root> wifi-manager

[wifi0] Chipset AR5413 802.11abg NIC (rev 01)


-- If -- Mode -- SSID --------------------------- Hide -- Security -
>> ETH02 AP Trusted Network no WPA-EAP
ETH03 AP Guest Network no Plaintext

[wifi1] Chipset AR5413 802.11abg NIC (rev 01)


-- If -- Mode -- SSID --------------------------- Hide -- Security -

COMMANDS
<N> New SSID <M> Modify SSID
<D> Delete SSID <I> Show Information
<C> Std/Channel/Tx-Power
<L> List Stations <S> Channel Scanning
<R> Restarting Devices <Q> Quit

>>

Ahora, supongamos que la interfaz Ethernet ETH00 está conectada a un switche en un


puerto de trunking a través del cual las dos VLANs se cuentan con etiquetas 1220 y
2350, además de las VLAN nativas: con el botón [Crear VLAN] añadimos la
mencionada LAN virtual . Una vez hecho esto, creamos dos puentes presionando [Hacer
BRIDGE]: BRIDGE00 debe conectar ETH00.1220 (VLAN 1220) con ETH02 (SSID
"Trusted Network") en la capa 2, mientras que BRIDGE01 debe conectar ETH00.2350
(VLAN 2350) con ETH03 (SSID "guest"). Todo esto se ilustra en la figura siguiente:
SSID y VLAN bridging. Haga clic en la imagen para ampliarla.

Usted puede notar que no es estrictamente necesario asignar una dirección IP a los dos
puentes, mientras que la interfaz ETH00 que corresponde a la VLAN nativa, se le
asigna la dirección IP 192.168.0.75, conectándola para que ejecute las opciones de
gestión de Zeroshell.
En este caso, para completar esta tarea es suficiente activar el portal cautivo en la
sesión [Portal Cautivo] -> [Gateway] en interfaz ETH03 (SSID "guest") en el modo
Bridge.

Amplíe la conexión inalámbrica geográficamente a


través de OpenVPN
Zeroshell utiliza OpenVPN con dispositivos Tap (Ethernet virtual) como una solucion
VPN sitio a sitio. Esto ofrece ventajas a través de protocolos como IPSec en el sentido
de que permite conectar sitios de la organización que están geográficamente distantes
usando la capa 2. De hecho, desde la interfaz Tap (Zeroshell la llama VPNnn) es muy
similar a la interfaz Ethernet (ETHnn), la VPN puede ser puenteada con este último y
también con el SSID inalámbrico. Por lo tanto, ya que no hay procesos de enrutamiento
entre la LAN y la WLAN ya sean locales o remotos conectados a través de la VPN, la
misma subred IP se puede utilizar en todas partes. Por lo tanto, no sólo un único
servidor DHCP puede ser utilizado para distribuir la misma dirección IP a cada cliente
independientemente del lugar y tipo de conexión (cableada o inalámbrica), pero como
los protocolos de NetBIOS utilizados para compartir recursos como impresoras de
windows y carpetas puede operar sin tener que utilizar un servidor WINS con el fin de
descubrir los recursos de red, ya que el tráfico de difusión se propaga de manera
uniforme en la LAN y WLAN (local y remota).
Siempre gracias a la similitud de las VPN hechas con OpenVPN y las conexiones
Ethernet reales, es posible generalizar el ejemplo anterior mediante el transporte de
802.1Q VLAN en sitios remotos, así ampliar su aplicación vía inalámbrica puenteando
las interfaces que representan a la VLAN transportadas por la VPN (en el ejemplo
anterior son VPN00.1220 y VPN00.2350) con SSID "Trusted Network" y "guest".
HOWTO: ZeroShell WPA Enterprise por Paul Taylor
ZeroShell se puede descargar en: http://www.zeroshell.net/eng/

Para mi instalación, he creado una máquina virtual con VMware


con 128 MB de RAM y un 0.1 GB de disco duro (102 MB).
Después de arrancar VM, configura su tarjeta de red local a una
dirección IP en la red 192.168.0.X, como 192.168.0.99 y ves a
http://192.168.0.75 en tu navegador.

Inicia sesión como administrador con la contraseña de zeroshell

Instalación de la base de datos ZeroShell:


Nota: Si ya tienes una base de datos ZeroShell, pase a la
sección Crear un nuevo CA.
Después de entrar, seleccione la pestaña “storage”:
En esta pantalla, selecciona el disco duro. En esta imagen, es
"Model: VMware, VMware Virtual S (SDA)". Esta es una unidad SCSI
virtual.
Nota: Los dos discos IDE real y virtual tendrá (HDA) en el
extremo.
Una vez seleccionada, aparece este menu en la parte superior

Seleccione "New partition" y obtendrá este pop-up:


Introduce un nombre y pulsa “Create partition”. Cuando se
hace, la pantalla se actualiza.
Ahora, seleccione "sda1" y obtendrás esta pantalla:

Selecciona “Create DB”. Recibiras otro pop-up. Rellena en


la descripción, nombre de host, Realm, LDAP Base, una nueva
contraseña de administrador.
Dirección / Máscara de red para esta instalación Zeroshell,
y pon tu puerta de enlace predeterminada.
Por último, pulsa Crear.

En la siguiente pantalla, selecciona la base de datos recién


creada y, a continuación pulsa el botón Activar.
Pulsa el botón “Activate” en este pop-up, a continuación,
escribe "Sí" cuando aparezca el mensaje "¿Está seguro?"
Su Zeroshell se reiniciará con la configuración de red
nueva.
Nota: En este momento, si está utilizando VMware, tendrá
que modificar su máquina virtual a través de la BIOS para
arrancar desde el CD-ROM antes que el disco duro, De lo
contrario se colgara en el inicio, tratando de arrancar
desde el disco duro virtual.

Crear un nuevo CA:


Después de unos minutos el arranque estara completado. Ves
a la página HTTPS a través de la nueva dirección IP que has
seleccionado e inicia sesión como administrador con tu
nueva contraseña.
Después de haberte identificado, selecciona el boton
CA X509 en el lado izquierdo de la interfaz web.
Selecciona "Setup" en la barra de pestañas.
Aquí, puedes definir tu propia CA. Ten en cuenta que están
prohibidos algunos caracteres, pero la interfaz no te
permite saber lo que salió mal. En cambio, los ítems
vuelven a los valores predeterminados.
Aquí están mis selecciones:

Después de entrar en la configuración, pulsa "Generate", y


luego en “Ok” en el mensaje "¿are you sure".
Cuando se actualiza asegúrate de que todos los campos son
correctos.
Crear usuarios
A continuación, ves al tema de usuarios en el panel
izquierdo de la interfaz web.
Registra un nuevo usuario, pulsando la tecla “tabulador”
los campos, Home Directory, y la descripción se rellenan
automaticamente. En la parte inferior, escribe la
contraseña de los usuarios y verificalo antes de pulsar
"submit".

Suponiendo que has rellenado bien todos los campos


obligatorios, debes obtener una pantalla que muestra el
certificado. Sigue añadiendo hasta que tengas todos sus
usuarios.
Configurando RADIUS
A continuación, haz click en la pestaña RADIUS en el menú
de navegación de la izquierda.

Selecciona "acces point" en la barra de navegación de la


parte superior.
Para añadir un punto de acceso debes poner la dirección IP
con un 32 /, con una buena clave secreta.
NOTA: La clave secreta no pueden ser mas de 32 caracteres!
Radius no se iniciará con una clave secreta mas larga en la
version actual de Zeroshell.

Después de configurar ZeroShell, debes reiniciar a través


del enlace en la parte superior de la pantalla.
Configurando su Punto de Acceso:
Esta sección varía según el AP que tengais.
Básicamente, tienes que activar la seguridad de RADIUS,
seleccionar la WPA adecuada, y configurarlo en el la direccion
IP de Zeroshell.

Tambien debes configurar tu punto de acceso. En este caso, estoy


usando DD-WRT en un Linksys WRT54G, pero debería funcionar bien
con el firmware original de Linksys.
En mi caso,lo he establecido para RADIUS WPA2 modo mixto, lo
que significa que puede tener ambos clientes WPA y WPA2.

Configurando un cliente Mac OS X


Para configurar el cliente con Mac OS 10.4,debes iniciar la
tarjeta inalambrica.
Pulsa el boton 802.1X

En el menú desplegable de configuración, selecciona "Editar


Configuraciones".
En este caso, poner una descripción, añadir un nombre de
usuario y la contraseña que has introducido anteriormente,
seleccione el SSID de tu red inalámbrica, y desactiva todas
las opciones de autentificación, excepto "PEAP".
Por último, pulsa el botón Aceptar, como se muestra a
continuación.
A continuación, selecciona "ZeroShell" en el menú
desplegable y conectate. Deberias ver esto:

Pulsa “show certificate”

Marca la casilla "Confiar siempre en estos certificados" y


pulsa Continuar.
Se te solicitará la contraseña de tu Mac OS. Esto es para
que el certificado se añada como un certificado de
confianza para las siguientes conexiones.
Se debe pasar pasar a un estado de Conectado, así:

Ver en el Status "conectado a través de PEAP".


De vuelta en ZeroShell, si pulsas "show request" en la
pantalla del radius, puede ver los logs de registro de
ZeroShell.
Nota: Si no ves los logs debes reiniciar zeroshell, o
reiniciar el servidor Radius, aunque esto ultimo no lo he
probado.
Esta es la pantalla de “show request”:
Y la pantalla de “802.1X”:

Configurando un cliente en Windows XP:


Primero exporta tu CA de ZeroShell.
Para ello, ve la pantalla de radius en ZeroShell y pulsa el
boton “trusted CA”. Esto generara un pop-up:
A continuación, seleccione el CA y pulsa el botón Exportar.
El navegador se descargara un archivo llamado
"TrustedCA.pem". Copia este archivo a un USB para poder
usarlo en Windows.
Ahora, en Windows, pulse Inicio, Ejecutar, y escribe MMC y
pulsa aceptar, en la nueva ventana pulsa archivo, y agregar
o quitar complemento, después haz click en Agregar y
seleccione Certificados. En la siguiente pantalla,
seleccione "administracion de equipos" y "Equipo local". A
continuación pulsa Aceptar.
Debes tener una pantalla similar a esta:

Expandir la raíz “trusted root certification, y haz click


en Certificados, Ahora, importa el archivo de certificado
que exportaste desde ZeroShell.
A continuación, ves a la pestaña de Redes inalámbricas en
las propiedades de la tarjeta inalámbrica:
Haz click en el botón Propiedades de la red en cuestión. Para
autentificación de red, seleccione WPA, y para cifrado de datos
seleccione, TKIP:
Pulsa la pestaña Autentificación, marca la casilla "Enable
IEEE 802.1x ", y selecciona PEAP para su tipo de EAP.
Asegúrese de las otras dos casillas de verificación están
sin marcar:
Selecciona Propiedades. Selecciona la casilla de verificación
para su CA raíz. En mi caso, es AddressPlus CA. Asimismo, define
el método de autenticación de MSCHAP.
Pulsa el botón Configurar para MSCHAP y asegurate que la
casilla "Usar automáticamente mi nombre de inicio de sesión
y contraseña de Windows" está sin marcar.
La primera vez que trates de conectar, te pedira un nombre
de usuario y contraseña. Introduce el nombre de usuario y
la contraseña que añadiste en Zeroshell para este equipo.
Debes de autentificarte con éxito.
Gráficos de tráfico y estadísticas usando
MRTG

La presentación de gráficos estadísticos para evaluar el uso del ancho de banda a Internet
se considera una característica opcional de un router; sin embargo, es importante saber
esta información para entender si en el acceso a Internet hay ineficiencias debido a la
pobre distribución de ancho de banda entre los tipos de tráficos (VoIP, Web, P2P,
FTP,...) que compiten en la utilización de la conexión a Internet.
Muchos de los enrutadores utilizan SNMP (Simple Network Management Protocol) para
exportar el valor de los contadores de tráfico entrante y saliente para cada una de las
interfaces de red. Usando software tales como MRTG (Multi Router Traffic Grapher)
posibilitan que en repetidas ocasiones, y en intervalos de tiempos regulares, se ejecuten
consultas SNMP hacia estos routers y guarden los contadores de tráfico. Una vez hecho
esto, MRTG permite el análisis gráfico, a través de un navegador, de la progresión del
tráfico entrante y saliente de las interfaces del router.
Figure 1 – Ejemplo de un grafico MRTG relacionado con la clasificación del trafico para WWW.

Zeroshell no sigue esta estrategia de exportación mediante SNMP (ver nota *), sino que
integra directamente dentro de MRTG para permitir el análisis de los parámetros que van
más allá de los obtenidos utilizando SNMP. En virtud de ello, los siguientes parámetros
pueden ser analizados directamente desde la interfaz Web Zeroshell:

• Sistema de carga
• Número de conexiones activas (TCP / UDP) desde y hacia Internet;
• Interfaz de tráfico entrante y saliente, ya sea una tarjeta Ethernet, una red VLAN
802.1Q, una VPN, un puente, un vínculo, una conexión PPPoE (ADSL por
ejemplo) o una conexión móvil de 3G (UMTS, por ejemplo / HSDPA);
• Tráfico clasificados por la modulación del tráfico en una clase determinada QoS
(VoIP, HTTP, peer to peer, ...) en relación con el tráfico general de la interfaz de
salida;
• Balance del tráfico de Internet en varias puertas de enlace WAN (Balanceo de
carga y conmutación por error) en comparación con el total de tráfico desde y
hacia Internet.

El resto del documento se subdivide en las siguientes secciones:


• Promedio del Sistema de carga
• Conexiones TCP / UDP activas
• Tráfico entrante y saliente de una interfaz de red
• Gráficos de Tráfico sub-divididos por clases QoS
• Distribución del tráfico en las puertas de enlaces de Internet en equilibrio de carga
• Activación de MRTG en Zeroshell
o Claves de activación

Promedio del Sistema de carga


La información estadística sobre la carga media no cubre directamente el tráfico de una
red, sin embargo es útil para comprender si los recursos de hardware del router (el
procesador en particular) son un cuello de botella para la LAN y ralentiza las conexiones
independientes de la banda disponible en el acceso a enlaces a la Internet. Para ver el
grafico de carga del sistema haga clic en el enlace [Gráficos] en el marco de la parte
superior derecha. Aparecerá una ventana como la que se muestra a continuación.
Figure 2 Gráfico relacionado con la carga del sistema.

La carga promedio es calculada cada 5 minutos multiplicados por 100 se toma en


consideración. El porcentaje de uso del sistema (que figura en paréntesis) tiene en cuenta
el número de CPU del router. En otras palabras, vamos a asumir una carga de 100 en un
sistema con 2 procesadores, el porcentaje de utilización que indica es de 50%. Por lo
tanto, el umbral crítico para que el router pueda ser sospechoso de ser un cuello de botella
es de 200 igual a 100% de uso.

Los factores que contribuyen principalmente al uso de la CPU en orden creciente son: \
• las reglas del firewall, la clasificación QoS y el equilibrio de carga manual
• las reglas del firewall y QoS que utilizan los filtros de capa 7 para ejecutar el DPI,
cuando muchas conexiones están presentes. Tenga en cuenta que los filtros de L7
inspeccionan el contenido de los paquetes sólo en cuanto se establece una
conexión, mientras que el resto se identifican mediante el seguimiento de
conexiones (Connection Tracking). Esto pone de manifiesto que los filtros de
nivel de aplicación no cargan el sistema basándose en la banda utilizada, sino
sobre la base del número de nuevos TCP / UDP abiertos.
• Escribir el resultado del seguimiento de conexiones (Connection Tracking) en los
registros. Hacer un seguimiento de las conexiones TCP / UDP no es una
funcionalidad muy derrochadora en términos de CPU. Sin embargo, puede ser si
el sistema está configurado para registrar las conexiones (IP de origen, puerto de
origen, de destino IP, puerto de destino) en los registros.
• Captive Portal activos en una LAN con muchos clientes activos, pero aún no
autenticados. A menudo, la presencia de gusanos u otros programas que utilizan el
protocolo TCP en puertos 80 y 443 para otras solicitudes de HTTP/HTTPS
pueden empeorar la situación.
• El uso del HTTP Proxy transparente con antivirus (ClamAV) o un filtro de
contenido Web (DansGuardian). De hecho, tener que examinar el contenido de las
páginas Web inevitablemente sobrecarga la CPU. En tales casos, es necesario
también garantizar una cantidad de memoria RAM suficiente para evitar el
intercambio de discos.

Conexiones TCP / UDP activas


La progresión del número de conexiones activas es un buen índice para monitorear la
actividad de la red. Por ejemplo, un elevado número de conexiones podría significar el
intercambio de archivos utilizando técnicas de P2P.
Figure 3 - Gráfico relacionado con el número de conexiones activas.

Recuerde que Zeroshell es diferente desde determinados enrutadores que se olvidan de


las conexiones TCP en un período corto de tiempo de espera; esto se debe a que está
configurado para realizar un seguimiento de las conexiones que no intercambian tráfico
incluso durante largos periodos de tiempo (por ejemplo, sesiones interactivas de SSH en
reposo para días). Por un lado, esto es una ventaja; por el otro, donde las conexiones no
están correctamente cerradas, puede provocar que las conexiones que no han estado
activas por un tiempo sean salvadas. Si desea establecer un tiempo de espera para las
conexiones TCP, establezca el parámetro
/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established al número de segundos que
una conexión se considera expirada, después de la inactividad, y por lo tanto cancelada
por las tablas de seguimiento de conexiones (Connection Tracking).

Tráfico entrante y saliente de una interfaz de red


El uso tradicional del MRTG es permitir el seguimiento del tráfico de las interfaces de
red de un router, tanto de flujo arriba como abajo. El mismo gráfico sigue el tráfico
entrante en VERDE, mientras que el tráfico saliente en AZUL.
Figure 4 – Gráfico relación entre trafico entrante y saliente de una interfaz de red.

Los porcentajes se refieren, en lo posible, a la banda máxima que la interfaz puede


soportar. Zeroshell permite al gráfico de tráfico obtener datos en descarga/subida de los
tipos de interfaces siguientes: Ethernet, VPN, PPPoE y 3G. Lo mismo puede decirse de
las combinaciones de interfaz como los lazos y los puentes y para la VLAN 802.1q.
Además, si Zeroshell se utiliza como una conexión Wi-Fi Access Point con SSID
múltiple, es posible obtener el gráfico del tráfico para cada SSID.

Gráficos de Tráfico sub-divididos por clases QoS


Si el tráfico está activo en la configuración de una interfaz de red, es posible mostrar el
gráfico sobre el tráfico de salida clasificado por tipo de tráfico. El diagrama del tráfico
total de salida de la interfaz se muestra en AZUL, mientras que el tráfico clasificado en la
categoría correspondiente QoS en VERDE.
Figure 5 – Gráfico relación de tráfico por QoS categorías

El color AMBAR representa el porcentaje de uso de QoS en comparación con el tráfico


total de la interfaz. Por lo tanto, la figura arriba muestra fácilmente que la VoIP saliente,
tráfico de interfaz ETH03, es en promedio el 4% del tráfico total, con picos del 33%.

Distribución del tráfico en las puertas de enlaces de Internet en


equilibrio de carga
Gracias a Balancer Net, Zeroshell puede distribuir el tráfico de acceso a Internet a través
de múltiples conexiones WAN que puede ser xDSL, 3G u otra. El equilibrio puede ser
automático, con Round-Robin ponderado o manual con reglas (similares a las de Firewall
y clasificador QoS) que obligan a determinados tipos de tráfico a utilizar una puerta de
enlace determinada. Para el balanceo de carga automático, es útil consultar el gráfico de
distribución del tráfico para comprender si las puertas de enlaces se utilizan en
proporción al ancho de banda máximo disponible para ellos. Si por el contrario el peso de
la puerta de enlace puede ser modificado. Este parámetro es, de hecho, directamente
proporcional a la probabilidad de que la conexión es enrutada en ese enlace.
Figure 6 Gráfico relación de la distribución del tráfico en una puerta de enlace de Internet.

VERDE indica el tráfico entrante y saliente por la puerta de enlace elegida, mientras que
el AZUL indica el tráfico total de Internet.
La relación porcentual entre el tráfico en el enlace elegido y el tráfico en general es en
mostrado con el color AMBAR.

Activación de MRTG en Zeroshell


MRTG puede ser configurado en Zeroshell desde la versión 1.0.beta11 o posteriores,
como una actualización externa (C110). En versiones posteriores, MRTG se incluirá
directamente en la distribución y por lo tanto no requieren la instalación manual como
una actualización. En la versión 1.0.beta11, MRTG se instalarán escribiendo los
siguientes comandos utiliza un cable VGA/SERIAL consola o conexión SSH:
cd /Database
wget http://www.zeroshell.net/listing/C110-MRTG-Statistics-beta11-v2.tar.bz2
tar xvfj C110-MRTG-Statistics-beta11-v2.tar.bz2
cd C110
./install.sh
Después de haber instalado el software, el botón/enlace [Gráficos] aparecerá. Utilice esta
opción para acceder al formulario Web de gestión de MRTG. La forma más fácil de
llegar al enlace [Gráficos] es la que aparece en el cuadro en la parte superior derecha de
presentación de reportes de la información del sistema. Si este vínculo no está disponible
inmediatamente después de la instalación, pulse [Actualizar] en este marco.

Claves de activación
A diferencia de las otras funcionalidades Zeroshell, algunos de los gráficos estadísticos
sólo se generan si se activa mediante una clave de activación. Los siguientes gráficos no
requieren de desbloqueo:
• Sistema de carga
• Número de conexiones activas
• Trafico entrante / saliente de VPN, puente, lazos PPPoE y UMTS / HSDPA
• Clases QoS conectados a VPN, puente, lazos PPPoE y UMTS / HSDPA
Mientras que los gráficos a continuación requieren ser desbloqueos utilizando una clave
de activación:
• Trafico entrante / saliente en Ethernet / Wireless y 802.1Q e interfaces VLAN
• Clases QoS conectados a interfaces Ethernet / Wireless
• Balance de Carga para conexiones a Internet

Las claves de activación dependen de la dirección MAC de las tarjetas de red. Cada
tarjeta de red presente en el sistema requiere una clave de activación diferente para
obtener el gráfico correspondiente. Sin embargo, mediante la activación de la gráfica para
una interfaz Ethernet, se puede usar la misma clave para activar automáticamente el
gráfico relativo a la VLAN y las clases de QoS. Si múltiples SSID se definen en la misma
conexión Wi-Fi de la tarjeta de red, basta con activar el gráfico correspondiente a una
sola SSID y los otros gráficos relacionados con otro SSID automáticamente se
desbloquearan.
Como se ha mencionado antes, las claves de activación dependen exclusivamente de la
MAC de las interfaces Ethernet /Wireless y, en consecuencia, si Zeroshell está instalado
en el mismo hardware o simplemente cuando un nuevo perfil de configuración es creado,
entonces las claves de activación ya obtenidas pueden ser reutilizadas con éxito.
Las claves de activación se genera en base a los códigos de función comunicados a través
de e-mail (ver http://www.zeroshell.net/eng/activation) y pueden ser comunicados varios
códigos de función en la misma petición. Se necesita de una contribución al desarrollo de
Zeroshell para obtener las claves de activación. En la actualidad pueden ser
contribuciones como:
• Creación de un documento en formato HTML o PDF en un aspecto de la
configuración de Zeroshell. También puede ser una simple descripción de su
experiencia con Zeroshell. El autor del documento debe ser especificado y,
posiblemente, (opcional) su e-mail de referencia para permitir un contacto de los
lectores. Todas las actualizaciones para el documento debe ser hecha por el autor
de alojamiento en un espacio Web con acceso de edición. El URL del documento
estará vinculado en la sección de documentación.
• Una donación modesta a través de PayPal. Los ingresos serán utilizados para la
compra de hardware con fines de testeo y/o para cubrir los gastos de gestión.
La producción de la documentación es, sin duda la contribución más positive, pues
esperamos realmente apoyar a aquellos que desean configurar y utilizar Zeroshell. La
donación a través de Paypal sólo debe ser seleccionado cuando no tienes el tiempo para el
proyecto o la oportunidad de aportar a la documentación.
También tenga en cuenta que el mecanismo de clave de activación no influye en el
paquete MRTG cuyo código fuente se compila como disponible en su sitio oficial. La
activación se refiere a un lugar externo plug-in, escrito específicamente para Zeroshell,
por la que MRTG se configura para recopilar datos estadísticos.

Nota:
(*) Si en lugar de utilizar el paquete MRTG integrado prefiere exportar los contadores de
tráfico a través de SNMP y el uso de un paquete de control externo, instale el paquete
net-snmp compilados para Zeroshell.
CONFIGURACION DE SERVIDOR NTP Y LOGS EN ZEROSHELL

1. USAR ZEROSHELL COMO SERVIDOR NTP (NETWOORK TIME PROTOCOL):

CONCEPTO: (Tomado de Wikipedia): Network Time Protocol (NTP) es un protocolo de Internet


para sincronizar los relojes de los sistemas informáticos a través de ruteo de paquetes en redes
con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123.
PARA QUE ME SIRVE: Usando esta funcionalidad del ZEROSHELL, puedo mantener sincronizados
los relojes de los equipos Ubiquiti: Nanostation, Rocket, Bullet, NanoBridge, etc.
Y para que me serviría tener sincronizados los Relojes de los Ubiquiti? En la siguiente parte
veremos que los equipos ubiquiti pueden enviar información de LOG al servidor de Zeroshell con
el fin de saber por ejemplo, en que momento se conectó cualquier cliente o cuando de
desconectó, etc. Y para ello es imprescindible que los equipos tengan sincronizada la hora y la
fecha.

COMO ACTIVAR EL SERVIDOR DE TIEMPO (NTP) EN EL ZEROSHELL:


1. En la Barra Izquierda del Zeroshell hacemos Clic en SETUP y Luego en TIME (En la barra superior
horizontal). Al hacerlo nos muestra la ventana de la Figura 1.
2. Seleccionamos la Time Zone, según nuestra ubicación, en mi caso America/Caracas y hacemos clic
en el Botón SAVE.
3. Activamos los Checkpoint Client y Server y hacemos clic en el Botón SAVE correspondiente.
4. Hacemos clic en Close.. Con esto ya habremos activado el Servidor y Cliente de NTP. Con ello
nuestro Zeroshell ya puede enviar la hora y fecha a los equipos ubiquiti, así como sincronizar la
hora y fecha del computador de uno de los servidores que se muestran en la lista en Parent
Servers

Figura 1. Activación del Servidor de NTP

3º paso

2º paso
COMO CONFIGURAR EL EQUIPO UBIQUITI PARA QUE TOME LA HORA DEL SERVIDOR ZEROSHELL.
En mi caso:
1) El servidor Zeroshell en la tarjeta de red a través de la cual conecto el equipo ubiquiti,
tiene la dirección IP 192.168.2.1.
2) El equipo Ubiquiti tiene la dirección IP 192.168.2.8.
Entonces:
1) En el explorador de Windows, Mozilla, Crhome, Opera o cualquier otro navegador en la
barra de direcciones escribo la IP del Equipo Ubiquiti: http://192.168.2.8
2) Escribo el nombre del usuario y contraseña asignados al equipo.
3) Hago clic en la pestaña SERVICES:
4) Me ubico en el apartado NTP CLIENT y activo el Checkmark Enable NTP Client. Y en la
casilla de abajo escribo la dirección IP del servidor de Zeroshell según se muestra en la
Figura 2.
5) Hacemos clic en Change y luego en Apply.
6) Unos instantes después podemos ver en la Pestaña MAIN, como la fecha y hora del equipo
se ha actualizado. Ver Figura 3.

Figura 2. Activación del Cliente NTP


del equipo Ubiquiti.

Figura 3. Fecha y Hora


Actualizados en Equipo
Ubiquiti Nanostation M5
2. USAR ZEROSHELL COMO SERVIDOR DE LOGS DE EQUIPOS UBIQUITI

QUE SON LOS LOGS: Volviendo a Wikipedia:

La palabra log es un término anglosajón, equivalente a la palabra bitácora en lengua


castellana. Sin embargo, se utiliza en los países de habla hispana como un anglicismo
derivado de las traducciones del inglés en la jerga informática. Del mismo término también
proviene la palabra blog, que es la contracción de "web log".

Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los
profesionales en seguridad informática es usado para registrar datos o información sobre
quién, qué, cuándo, dónde y por qué (who, what, when, where y why) un evento ocurre
para un dispositivo en particular o aplicación.

La mayoría de los logs son almacenados o desplegados en el formato estándar, el cual es


un conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma cada
log generado por un dispositivo en particular puede ser leído y desplegado en otro
diferente.

PARA QUE ME SIRVE:

Bueno, observando los LOGs, en mi caso lo he usado para:

1) Saber a que hora se conectó o desconectó un Cliente de un Access Point


2) Saber cuando fue la última vez que un equipo Ubiquiti en modo Access Point o
Cliente tuvo conexión con otro equipo, esto en caso de equipos remotos que no
sabemos si están activos o se dañaron, hurtaron o simplemente se quedaron sin
suministro eléctrico.

COMO CONFIGURAR ZEROSHELL PARA QUE ACEPTE LOS LOGS DE LOS


EQUIPOS UBIQUITI (Y CUALQUIER OTRO EQUIPO):

1. Hacemos clic en SETUP y luego en LOGs para activar el LOG MANAGER


SETUP. Ver Figura 4.
2. Activamos el Checkpoint Accept Remote Logs.
3. Si deseamos a su vez que Zeroshell envie Logs a otro servidor de Logs, activamos
el Checkpoint Send Logs to remote Syslog y al lado colocamos la dirección IP
del otro servidor de Logs.
4. Opcionalmente podemos activar los Chekpoints: Compress the oldest logs para
que zeroshell comprima la información recibida de los logs que ya es antigua y
también podemos activar Delete the oldest log para que el servidor borre los logs
mas antiguos.
5. Hacemos clic en el Boton SAVE para grabar y CLOSE para cerrar esa ventana.
Con ello ya tenemos activado el Servidor de Logs de Zeroshell.
Figura 4. Activación del Servidor de Logs
de Zeroshell.

COMO CONFIGURAR EL EQUIPO UBIQUITI PARA QUE ENVIE LOS LOGS AL


SERVIDOR ZEROSHELL

En mi caso:
1) El servidor Zeroshell en la tarjeta de red a través de la cual conecto el equipo ubiquiti,
tiene la dirección IP 192.168.2.1.
2) El equipo Ubiquiti tiene la dirección IP 192.168.2.8.
Entonces:
1) En el explorador de Windows, Mozilla, Crhome, Opera o cualquier otro navegador en la
barra de direcciones tipeo la IP del Equipo Ubiquiti: http://192.168.2.8
2) Escribo el nombre del usuario y contraseña asignados al equipo.
3) Hago clic en la pestaña SERVICES:
4) Me ubico en el apartado SYSTEM LOG y activo los dos Checkmark que se encuentran
debajo: Enable Log y Enable Remote Log. Luego en la casilla de abajo (Remote Log IP
Address) escribo la dirección IP del servidor de Zeroshell según se muestra en la Figura 5 y
debajo en Remote Log Port escribo el Numero del Puerto Configurado en el Zeroshell, en
este caso lo dejamos quietico en 514.
5) Hacemos clic en Change y luego en Apply. Con eso ya habremos activado el Equipo
Ubiquiti para que envie los LOGs al servidor de Zeroshell.

Figura 5. Activación del


Equipo Ubiquiti para que
envie Logs al servidor
Zeroshell.
COMO VISUALIZAR LOS LOGS (BITACORAS) EN ZEROSHELL

1. En la barra izquierda del Zeroshell hacemos clic en la opción Logs


2. Nos aparece la ventana Log Viewer que se muestra en la Figura 6. Allí seleccionamos la
dirección IP del Equipo ubiquiti que nos interese ver sus logs y la Fecha.
3. En caso que el Log sea muy largo o que solo se requiera filtrar cierto tipo de información
como una dirección MAC u otro, entonces hacemos clic en el recuadro Filter y escribimos
el dato que queremos filtrar, luego hacemos clic en el botón Refresh.
4. En la ventana de abajo vemos la Hora y el Evento Ocurrido.

Figura 6. Ventana del


Visualizador de Logs.

Guía Elaborada por Juan Lugo el día 19/11/2010.

Las ventanas que se muestran corresponden a:


ZEROSHELL RELEASE 1.0.BETA 13 y UBIQUITI NANOSTATION M5
Todas las marca mencionadas son propiedad de sus respectivos dueños.
http://www.zeroshell.net, http://www.ubnt.com, http://www.es.wikipedia.org

Cualquier Información relacionada al tema, observaciones y comentarios hacerlos a:


lugo@zonawifidigital.com.
Personalizando un
Certificado CA en
Zeroshell.

Escrito por: Joker


Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Un poco de Cultura….

¿Qué es un CA x.509?

Un Certificado Digital es el equivalente electrónico a un Documento de


Identidad. Permite identificarnos, firmar y cifrar electrónicamente documentos y
mensajes.

El Certificado Digital garantiza:

 La integridad de los datos transmitidos


 Su procedencia
 La detección de cualquier manipulación que hayan podido sufrir

En otras palabras el CA es un documento electrónico el cual permite identificarnos


ante el servidor zeroshell para entablar comunicación privada y segura a través de la
red.

¿Para que usa Zeroshell los CA?

Lo usa para entablar conexiones seguras SSL, para sincronizar datos vía VPN, para
expedir un certificado para la configuración de RADIUS SERVER, entre otros muchos
usos.

¿Por qué crear mi propio CA y no Usar el Default?

Si solo vamos a usar Zeroshell para probarlo y ver las diferentes funciones que tiene no
es necesario crear un CA personalizado ya que bastara con el que por default crea
zeroshell, pero si deseamos realizar una implementación de zeroshell en un ambiente
productivo o real que mejor que tener nuestros propios certificados que muestren
información sobre quienes somos realmente. (Esto no le quita el crédito a zeroshell
solo hablo de identificarnos nosotros mismos ante nuestra implementación).

Bueno después de estas 3 preguntas fundamentales para comenzar aquí vamos….


Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Ingresamos a la interface gráfica de Zeroshell a través de la dirección ip o dominio en


el que zeroshell fue previamente configurado:

Nota: si estamos trabajando en el profile default de Zeroshell la ip es 192.168.0.75,


aunque recomiendo crear nuestro propio perfil.

Como podrán ver en el primer inicio nos dira que la conexión no esta verificada en pocas
palabras el certificado no es valido para las politicas de nuestro navegador, el movito no es que
sea dañino o falso nuestro certificado si no que el validador de mozilla de acuerdo a sus
politicas de Certificados ha leido a nuestra identidad Emisora de Certificados como no valida
pero eso no significa que estamos en problemas o que no va a funcionar, basta con hacer click
en “Entiendo los riesgos”

Y añadir una excepción haciendo clic


sobre la leyenda “Añadir Excepción”.
Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Al hacer clic en “Añadir Excepción” nos aparece una pantalla semejante a esta… vamos
a revisar unos cuantos datos haciendo clic sobre el botón “Ver…”
Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Bien este es nuestro certificado digital el cual fue emitido por zeroshell al entablar una
conexión segura SSL , en el podemos apreciar información importante y relevante tal
es el caso quien lo emitió, y para quien lo emitió, así como la huella digital o firma del
certificado, podrán ver que por default aparece que lo emite zeroshell Example CA,
repito si a nosotros solo nos interesa probar zeroshell no tiene ningún caso hacer este
tutorial en cambio si vamos a implementar zeroshell para el ambiente en producción o
ambiente real y queremos que nuestro Certificado Digital aparezca que fue emitido
por nuestra implementación (institución, escuela, hospital), debemos personalizarlo ,
¿Cómo hacerlo?, aquí comenzamos….
Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Una vez que hemos agregado la excepción de certificado y hecho login in previamente
en la interface web de zeroshell…

Ir al menú Security >> X.509 CA

Acto seguido nos dirigimos a la opción o pestaña con la etiqueta: “Setup”

Una vez que hemos ingresado a “Setup” podremos ver un form de la siguiente manera:
Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Personalizamos cada uno de los campos del formulario con la información que deseamos:

Por ejemplo yo quiero que mi nombre común sea Magnolias Inc. Entonces Borro los
datos actuales e introduzco mi dato.
 El Key Size: lo dejamos por ahora en default o el valor de 1024 bits.
 Validity (Days): se refiere a la cantidad de días en que nuestro Certificado será
valido.
 Country Name: Para nuestro caso que estamos en México es MX el valor.
 Satate or Province: Aquí podemos agregar un dato más sobre en que estado
nos encontramos o simplemente dejarlo en blanco.
 Locality: La localidad actual.
 Organization: Organización a la que pertenecemos o institución.
 Organization Unit: Departamento para el cual estamos expidiendo el
Certificado
 Email Address: Aquí va el mail de contacto o del administrador de la red
generalmente.
De acuerdo a nuestro Ejemplo tendriamos algo asi:
Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Paso siguinte es hacer clic sobre el botón con la leyenda “Generate”

Nos mostrara una advertencia que nos dice: PRECAUCIÓN: Si continuas con esta operaciones
se perderan todos los Certificados y Llaves Privadas ya creadas (Incluyendo HOST y Certificados
de Usuarios Tambien), y el certificado de Autoridad sera reiniciado. Aún asi deseas continuar?

Hacemos clic sobre el botón “Aceptar”

Ahora nos haciendo clic en la pestaña con la leyenda “List” entramos a la lista para regenerar
algunos certificados:

Una vez que estamos en el listado de certificados hacemos clic sobre el botón “Create” para
generar el nuevo certificado al usuario “Admin”
Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Seleccionamos el usuario al que


deseamos crearle su nuevo
certificado, que para nuestro caso es
“admin”, y hacemos clic sobre el
botón “Create”.

Si todo es correcto debemos de ver una pantalla similar a esta.


Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Si observamos nuevamente la lista de Certificados podremos ver que ahora ya también


aparece el certificado para el usario admin con estatdo OK y valido. Lo que significa que hemos
logrado con éxito la personalización de nuestro certificado.

Comprobando que el certificado ahora emite nuestra información:

Para este test puede ingresar desde otra maquina de la lan conectad a zeroshell y observar los
datos del certificado:
Personalizando un Certificado CA en Zeroshell. Osmosis Inc

Ahora si tenemos nuestro certificado personalizado con nuestros propios datos.

¿Cualquier duda o comentario?... jorgeemir@gmail.com

Con Amor y Cariño a mis padres.


Cómo instalar Zeroshell en un pendrive usando Windows
Por Eric Long Esta guía cubre la grabacion de la imagen CompactFlash/IDE/USB/SATA a un
pendrive USB. Este procedimiento fue realizado en Windows 7 y en Windows XP SP3.

1. Descarga e instala la última versión de Physdiskwrite (http://m0n0.ch/wall/physdiskwrite.php)

2. Descarga la imagen de Zeroshell CompactFlash/IDE/USB/SATA

3. Extrae el archivo de imagen .img del archivo del gzip

4. Conecta a tu ordenador el pendrive usb en el cual deseas instalar zeroshell.

5. CRUCIAL: Usando el administrador de discos o otro software elimina todas las posibles
particiones que contenga dejando solo una.

Antes de eliminar particiones en el disco 1.


Despues de eliminar las particiones en el disco 1:

6. En windows xp haz click en ejecutar y teclea cmd.


Si no encuentra el cuadro ejecutar teclee cmd en el cuadro de busqueda y aparecera.
Haz click en cmd.exe y selecciona ejecutar como administrador y acepta los mensajes.
7. En la linea de comandos navegue al directorio donde guardo el archivo physdiskwrite

8. Teclea el siguiente comando escribiendo el nombre correcto de la imagen y su localizacion si no


esta en el mismo directorio que Physdiskwrite

physdiskwrite -u [nombre de la imagen .img ]

Veras una lista de las unidades disponibles en tu sistema (si no las ves es que no
estas como administrador)
En el ejemplo pueden ver que PhysicalDrive1 es mi unidad usb.

9. Teclea el numero de la unidad en la que deseas instalar zeroshell.

10. Recibira un mensaje de alerta indicando el disco que ha escogido, si esta seguro
teclee “y”
11. La imagen se empezara a escribir en el pendrive usb, veras los bytes que lleva
escritos, ten paciencia que tarda un rato.

12. Cuando la grabacion ha finalizado el pendrive ya puede ser usado para arrancar
un pc con el zeroshell.

NOTAS:
En mis pruebas he usado varias combinaciones de software basado en windows para
grabar zeroshell:

1.0.beta12-CompactFlash-IDE-USB-SATA-1GB.img file (extraido del archivo .gz)

1.0.beta12-CompactFlash-IDE-USB-SATA-1GB.img.gz probado en dos usb diferentes


(2GB y 4GB)

Estos son los programas que he usado:

• physdiskwrite (ganador)

• flashnul (kept error)

• dd for Windows (grub errores)

• unetbootin (no escribio nada)

El unico que funciono bien en windows 7 fue physdiskwrite


En windows xp funciono bien physdiskwrite los otros no los probe.

Manual original de Eric Long traducido por marti vielha.


QoS y configuración del tráfico en modo bridge
transparente

El propósito de este documento es describir la realización de un bridge


transparente que es capaz de realizar QoS (Quality of Service) y gestión
del ancho de banda en el tráfico de red que lo atraviesa.
La elección del modo bridge (en lugar del modo router) se justifica por la
sencillez con que este componente puede ser introducido dentro de una
topología de red sin tener que cambiar los parámetros de IP, como la de
subred y la puerta de enlace predeterminada.
Como se muestra en el diagrama de la Figura 1, se añadirá el bridge de
calidad del servicio “Qos” entre el router de Internet y el switch de nivel
2 a través del cual se conectan los ordenadores de la LAN. Tenga en
cuenta que la simplicidad de la configuración elegida no afecta al
funcionamiento y será posible aplicarlo en las topologías de redes más
complejas. En cualquier caso, tener en cuenta que el procedimiento
sigue siendo válido incluso si Zeroshell está configurado para actuar
como router de capa 3 en lugar de bridge. Esto se debe a que QoS
trabaja directamente en las tarjetas de red (Ethernet, VPN, PPPoE ...) y
no dependen del modo de transmisión elegido (router o bridge).

Figura 1. QoS y Traffic Shaping en modo bridge


En la configuración del siguiente ejemplo, vamos a crear un cierto
número de tipos de tráfico a los que le asignaremos los parámetros de
calidad de servicio, la prioridad, el ancho de banda mínimo garantizado
en caso de congestión de red y el máximo ancho de banda cuando la red
no este congestionada.
Vamos a utilizar los filtros de capa 7, que con el DPI (Deep Packet
Inspection) pueden clasificar los tráficos, como VoIP y peer-to-Peer los
cuales no son posibles interceptar mediante el uso de filtros en los
puertos TCP y UDP.
En concreto, vamos a obtener los siguientes resultados:

• Clasificar el trafico VoIP (Voz sobre IP), y el producido por la SIP,


H323, Skype y MSN Messenger en una clase de alta prioridad y
ancho de banda garantizado. Al hacerlo, el tiempo de latencia se
reduce y por tanto la calidad de vídeo y reproducción de la voz es
mayor;

• Limitar el ancho de banda máximo disponible para la


transferencias de archivos P2P (Peer to Peer);

• Para evitar que el tráfico producido por Telnet y SSH shell se


retrase. Se clasifica este tipo de tráfico dentro de una clase de
alta prioridad y de baja latencia;

• Para clasificar el tráfico generado por las transferencias FTP y


SMTP, en el que muchos de los grandes paquetes de datos se
mueven a través de la red, pero que no necesitan una baja
latencia. En este caso, tenemos que utilizar una clase con baja
prioridad, pero sin límite de ancho de banda máximo.

Para poner en orden las ideas, vamos a suponer tener un ancho de banda
de Internet con 4 Mb/s de bajada y de 2 Mb/s de subida y asignar a las
clases de calidad (Qos) los parámetros de la Tabla 1

Garantizad
QoS Clases Protocolos Prioridad Maximo
o
VOIP SIP, H323, Skype, MSN Messenger Alta 1Mbit/s
eMule, EDonkey, KaZaA, Gnutella, 256Kbit/
P2P Baja
BitTorrent, Direct Connect s
SHELL ssh, telnet Alta
BULK ftp, smtp Baja
DEFAULT No clasificado Media

Tabla 1. Parámetros de las clases de calidad de servicio (Qos)


Antes de empezar a configurar el bridge en Zeroshell y llevar a cabo las
políticas de calidad de servicio que queremos, es necesario tener en
cuenta los siguientes conceptos:

• Cuando una clase de QoS se aplica a una tarjeta de red, se


controla el tráfico de salida de la tarjeta. En los paquetes
entrantes no hay control.

• Mirando el punto anterior, se podría pensar que no es posible


aplicar la QoS para el tráfico entrante, pero esto no es del todo
cierto, porque se puede configurar el tráfico entrante desde la
interfaz de ETH01 (figura 1) por el control de la salida del tráfico de
la ETH00.

En las siguientes secciones aprenderemos a configurar Qos en modo


bridge transparente:

Hacer permanente nuestra configuración:

Para que la configuración de ZeroShell se vuelva permanente y se vuelve


a cargar después del reinicio del sistema, es necesario crear y activar
una base de datos.
Si usas una versión Live CD es necesario tener un lugar donde guardar la
configuración tal como un USB o un HD. Si en cambio usas una versión
Compact Flash puedes guardarla en ella. Debido a su mayor estabilidad
debes utilizar un sistema de archivos ext3 o ReiserFS. Puedes crear y
formatear la unidad desde la interfaz grafica de zeroshell, pero ten
cuidado si la unidad contiene datos importantes.
Los pasos para crear y activar la base de datos son los siguientes:

• En la sección [Setup] -> [Storage] seleccionar la partición en la que


crear la base de datos y pulse el botón [Crear DB];

• En la ventana que aparece (ver la imagen) insertar una descripción


de la base de datos, escriba y confirme la contraseña del usuario
admin, compruebe que la dirección IP 192.168.0.75 se configura en
el ETH00 de interfaz de red y configurar la puerta de enlace
predeterminada a 192.168.0.254.
• Pulse el botón [create] para proceder a la generación de bases de
datos.

• Activar la base de datos seleccionándola y presionando el botón


[Activate]. El sistema se reinicia con la nueva configuración (ver la
imagen).
Cuando haya terminado esta fase, puedes estar seguro de que la
configuración será permanente.

Creando el bridge BRIDGE00(ETH00,ETH01):

Ahora hay que crear el BRIDGE00 y agregarle las tarjetas de red ETH00 y
ETH01 de modo que el tráfico en la capa 2 pueda ser enviado entre ellas.
Sin embargo, tenga en cuenta que cuando una tarjeta se convierte en
miembro de un puente, automáticamente pierde cualquier IP y
configuración de VLAN.
Esto es un problema si estamos conectados a la interfaz grafica de
Zeroshell a través de una de las tarjetas que queremos añadir al Bridge.
Solucion:
En la consola de Zeroshell hay una opción llamada "Create a Bridge" que
permite migrar automáticamente la configuración (IPs y VLAN) de la
tarjeta de red que has elegido a la nueva configuración Bridge. Zeroshell
tarda unos 15 segundos en crear la nueva configuración, tiempo durante
el cual se pierde la conexión.

Los pasos necesarios para crear el BRIDGE00 (ETH00, ETH01) son los
siguientes:

• Accede al menú y pulse la tecla "B" correspondientes a la función


"crear un puente". Si no has sido autentificado se te pedirá la
contraseña de administrador. A continuación, pulse la tecla "Y"
para confirmar. Elige la interfaz de ETH00 presionando la tecla "1".
El puente se ha creado y ha heredado la IP 192.168.0.75 de la
ETH00. Después de unos segundos la conectividad entre el
navegador en el que está usando la Web GUI y Zeroshell quedara
establecida.

Ahora agregue la tarjeta ETH01 al BRIDGE00. Para hacer esto,


utilizando la interfaz gráfica de usuario Web, vaya a la sección [Setup]
-> [Network], y pulse el botón [Configure] perteneciente al BRIDGE00
y mueve la tarjeta ETH01 de la lista "Available interfaces" a los
componentes del Bridge. (ver la imagen 1) confirmar pulsando el
boton “confirm” y la tarjeta ETH01 sera movida a los componentes del
Bridge. (ver la imagen 2).
Imagen 1

Imagen 2
Asignación del ancho de banda global para las tarjetas
de red en modo Bridge.

La asignación del ancho de banda global para cada una de las tarjetas de
red es una operación fundamental para el buen funcionamiento de Qos.
De hecho, ya que el sistema no es capaz de estimar de forma dinámica la
disponibilidad de ancho de banda real, es necesario indicar una
estimación basada en el ancho de banda que se distribuirá a las
siguientes clases de QoS. Tenga en cuenta que si el ancho de banda real
disponible en un momento dado es inferior al estimado, la Qos en ese
momento no funcionara bien.

Los pasos necesarios para asignar el ancho de banda global para las
interfaces ETH00 y ETH01 son los siguientes:

• En la sección [QoS] -> [Interface Manager], haga clic en el botón


[Global Bandwidth] relacionados con la tarjeta ETH00. En el
formulario que aparece (ver la imagen) establecer el ancho de
banda máximo y el garantizado a 4 Mbits/s y confirme haciendo
clic en el botón [Save];
• Haga clic en el botón [Global Bandwidth] relacionado con la tarjeta
de red ETH01 y establece el ancho de banda máximo y garantizado
a 2 Mbit/s.

• Para activar la configuración del ancho de banda global, haga clic


en el botón [Activate last Changes].

Creación de los tipos de QoS

Utilice el Administrador de la sección [QoS] -> [Class Manager] (ver la


imagen) para crear los Qos que necesitas. Ten en cuenta que
inicialmente sólo existe la clase DEFAULT en la que se envía el tráfico
sin clasificar.
Los pasos a seguir para crear las Qos son los siguientes:

• Haga clic en el botón [New] de "Class Manager" y escriba VOIP


como nombre de la clase. Escribir la descripción de "Voz sobre IP"
y luego definir la prioridad en alta y el ancho de banda garantizado
de 1 Mbit/s. Guarda la clase haciendo clic en “Save”.
• Crear la clase P2P utilizando el mismo procedimiento que en el
paso anterior, con la descripción " File sharing peer to peer " y
luego establecer la prioridad en baja y el ancho de banda
garantizado a 256 kbit/s;

• Crear la clase Qos SHELL con la descripción de " Interactive shell


traffic " y establecerla a alta prioridad;

• Crear la clase QoS “BULK” con la descripción " Large data transfer
" y establecerla a baja prioridad;

No se debe cambiar la configuración de la clase “Default” porque


queremos que todo el tráfico sin clasificar tenga prioridad media y esto
ya está establecido en esta clase.

Añadiendo clases Qos a las tarjetas del Bridge.

Ahora es el momento de asignar las clases de QoS creados en los pasos


anteriores para las tarjetas de red, cuyo tráfico de salida se desea
controlar.

Los pasos para llevarlo a cabo son las siguientes:

• Clic en [QoS] -> [Interface Manager], y [Add Class] relacionadas


con la interfaz ETH00. Desde la ventana de diálogo que aparece
(ver la imagen), haga clic en el botón [Add] para las Qos VoIP, P2P,
SHELL y BULK;
• Añadir las mismas clases a la interfaz ETH01 con el mismo
procedimiento del paso anterior;

• Activar Qos para ETH00 y ETH01 haciendo clic en los cuadros


debajo de "On";

• Guarde los cambios haciendo clic en el botón [Activate last


Changes].

Tenga en cuenta que ha activado Qos directamente en (ETH00, ETH01)


pero no en BRIDGE00.

En este punto Qos está trabajando en el bridge, pero todo el tráfico


saliente es de la clase DEFAULT, ya que todavía no se ha clasificado el
tráfico. En los pasos siguientes vamos a hacer eso.

Vinculando los tipos de trafico a Qos.

Para enlazar un servicio en el que desea aplicar la QoS a una clase se


debe usar el “Classifier”.

Los pasos a seguir para clasificar el tráfico son las siguientes:

• Selecciona el clasificador de la sección [QoS] -> [Classifier] (ver la


imagen).
• Pulse el botón [Add] para insertar la primera regla en el
clasificador relacionada con el intercambio de archivos P2P. En la
ventana de diálogo que aparece (ver la imagen) marcar todos los
peer-to-peer.
• Seleccione la clase de destino P2P y, a continuación, haga clic en
el botón [Confirm] para confirmar la regla;

• Ahora es el momento de clasificar el tráfico VoIP. Comienza con el


protocolo SIP que lo identifique con el L7-filtro y el Qos VoIP como
objetivo (ver la imagen).

• Usando el mismo procedimiento, se debe clasificar en la clase


VoIP, los protocolos de H323, Skype a Skype y MSN Messenger;

Para clasificar el tráfico interactivo en la Qos Shell que tiene una baja
latencia utiliza las características de un servidor ssh que escucha en el
puerto TCP 22 y el telnet en el puerto TCP 23. Se necesitan cuatro
reglas, ya que el clasificador debe clasificar los paquetes con puerto de
origen y destino iguales a estos valores (22 y 23). Este es un ejemplo de
estas reglas.
• Para clasificar la mayor parte del tráfico generado por las
transferencias de correo electrónico se utiliza la característica de
que un servidor SMTP escucha en el puerto 25/tcp (ver la imagen);
• Aunque el FTP utiliza el puerto 21/tcp para inercambiar los
comandos, las transferencias tienen lugar en puertos aleatorios y
por lo tanto la manera más fácil de clasificar es la clase BULK, es
mediante el uso de la capa 7 del filtro (ver la imagen).

• Guardar y activar las reglas que has creado haciendo clic en el


botón [Save].

Nota: la clasificación del tráfico es una de las operaciones más


complejas que participan en la construcción de Qos “sistema de calidad
de servicio” No siempre es fácil identificar el tipo de conexión utilizando
como filtro único parámetros como las direcciones IP y los numerosos
puertos TCP / UDP. De hecho, a menudo hemos utilizado los filtros de
capa 7 (l7-filter project) que son capaces de inspeccionar la carga de los
paquetes usando expresiones regulares para clasificar el tráfico de la
capa de aplicación. Sin embargo, no se debe abusar en el uso del filtro
L7, por dos razones. En primer lugar, este tipo de control, que aplica al
contenido de los paquetes consume más CPU que los filtros de
direcciones IP y puertos TCP / UDP y por lo tanto no podrían funcionar
bien en sistemas basados en procesadores lentos. La segunda es que
para algunos protocolos los filtros L7 tienen el problema del sobre
emparejamiento que es cuando un paquete que no pertenece a un
protocolo se identifica como parte de el.
En general, usted no debe usar los filtros de capa 7, cuando es posible
identificar una conexión utilizando otros tipos de condiciones.
Supongamos, por ejemplo, que en su situación todas las
videoconferencias H.323 utilizen el mismo MCU (Multipoint Conferencing
Unit): en este caso, en vez de identificar las conexiones H.323 con el L7-
filtro, pueden ser clasificadas con la dirección IP de la MCU.

Ver las estadísticas de Qos

En este punto, Qos está trabajando en modo bridge y el tráfico debería


ser clasificado en las clases Qos que ha creado. Para asegurarse de que
la clasificación de Qos funciona bien, puede ver las estadísticas en la
sección [QoS] -> [Statistics] (ver la imagen).

Para cada tarjeta de red en la cual Qos esta activada, usted puede ver
las clases Qos asociadas y para cada clase puede ver la configuración
(prioridad, máximo ancho de banda y ancho de banda garantizado) así
como la cantidad de bytes que se envían fuera de la clase y el tipo, es
decir, el número de bits por segundo que se transmiten de la clase.
Además, es posible mostrar el gráfico sobre el tráfico saliente
clasificado por tipo de tráfico.
Configuración de un cliente OpenVPN en Windows, Linux, Mac OS
X y Windows Mobile para Pocket PC
El propósito de este breve documento es guiar a configurar el cliente para obtener acceso a su red
local a través de OpenVPN. Vamos a considerar la interfaz de usuario principal de OpenVPN para
Windows, Linux, Mac OS X, Windows Mobile para Pocket PC y poner fin al uso de OpenVPN desde la
línea de comandos sin interfaz gráfica de usuario. Esta última posibilidad es útil porque el comando
OpenVPN, Convocada por sistema (ya sea un comando de shell de Unix del sistema de Windows),
acepta los mismos parámetros y se comporta de la misma manera, independientemente de la
plataforma. Por otra parte, el comando OpenVPN se puede utilizar en scripts para automatizar el inicio
automático de la VPN.
Nuestro objetivo es tener acceso a un servidor VPN con Zeroshell construido y configurado con los
parámetros por defecto. Para lograr este servidor será suficiente, por lo tanto, una vez en una red de
servidores Zeroshell, simplemente habilitar el servicio OpenVPN activar la casilla de Habilitado en el
[VPN] -> [l] Zeroshell interfaz Web. Por defecto, el servicio de nuestro servidor OpenVPN escuchara
en el puerto 1194/TCP con encriptación TLS / SSL y compresión lzo habilitado. La autenticación de
usuarios se hará con nombre de usuario y contraseña, pero también la varieremos de su configuración
para poner la autenticación con certificados digitales X.509.
Para más detalles sobre la configuración de un servidor OpenVPN, que están fuera del alcance de este
documento, puede consultar la guía "Un servidor con OpenVPN Zeroshell.

Éstas son las secciones que conforman el resto de esta guía. Tenga en cuenta que la primera de ellas,
“archivo de configuración de OpenVPN” es común a otras secciones y es independiente de la interfaz
gráfica de usuario o el sistema operativo que utilice.

• El archivo de configuración de OpenVPN


• OpenVPN GUI para Windows
• Tunnelblick para Mac OS X
• Kvpnc Linux
• OpenVPN para Windows Mobile Pocket PC
• La línea de mando de OpenVPN
• Compilación e instalación de OpenVPN

El archivo de configuración de OpenVPN


Gracias a los muchos parámetros que pueden ser incluidos en el archivo de configuración o
especificados en la línea de comandos, la configurabilidad OpenVPN es realmente impresionante. Sin
embargo, con el fin de conectarse a un servidor construido con OpenVPN Zeroshell es suficiente
conocer algunos de ellos. Para simplificar aún más el procedimiento, usted puede descargar un
archivo de configuración predeterminados, haga clic en el vínculo Archivo de configuración de clientes
OpenVPN. “ver siguiente pagina”.
#================================================= ===========================#
# Especifica el nombre de host o dirección IP, número de puerto y el #
# Protocolo con el que llega a el servidor OpenVPN #
# El nombre de host también puede ser dinámico "(es decir, DynDNS). #
#================================================= ===========================#

zeroshell.example.com remoto 1194


proto tcp

#================================================= ===========================#
# Deja que la siguiente entrada es necesaria si desea nombre de usuario y
contraseña. #
# Comentario si desea utilizar la autenticación con certificados X.509. #
#================================================= ===========================#

-auth user-pass

#================================================= ===========================#
# No importa el tipo de autenticación, siempre debe especificar un #
# Archivo en formato PEM, que contiene el certificado de la Certificación #
# Autoridad que firmó el certificado del servidor OpenVPN. #
# Se puede obtener este certificado, haga clic en el enlace en la página # CA
# Nombre de ZeroShell. #
#================================================= ===========================#

ca CA.pem

#================================================= ===========================#
# Si desea utilizar la autenticación X.509, debe especificar el archivo #
# Contiene el certificado y su clave privada en formato PEM. #
# Usted puede unirse al certificado y la clave privada en el mismo archivo. #
#================================================= ===========================#

, Client.pem cert
; Client.pem clave

#================================================= ===========================#
# No debería ser necesario configurar los siguientes parámetros #
#================================================= ===========================#

comp-lzo
verb 3
silenciar 20
resolv-retry infinito
nobind
cliente
dev tap
persisten-clave
persisten-tun
Para cada parámetro que podría ser de interés para el usuario, el archivo de configuración contiene un
comentario. Sin embargo, sólo hay dos parámetros que usted necesita definitivamente cambiar para
poder conectarse a un servidor construido con OpenVPN Zeroshell:

• zeroshell.example.com remoto 1194

Debe reemplazar zeroshell.example.com, con el nombre de host o dirección IP del servidor


OpenVPN. La configuración por defecto proporciona la escucha de Zeroshell OpenVPN en el
puerto 1194/TCP y por lo tanto el segundo parámetro (1194) pueden permanecer sin cambios.

ca CA.pem

Parámetro ca indica un archivo en formato PEM que contiene el certificado X.509 de la Autoridad de
Certificación que firmó el certificado del servicio del servidor OpenVPN. Para obtener este certificado,
simplemente, haga clic en el enlace en la página de acceso CA Zeroshell (véase el Figura).

Figura.

• Si guarda el certificado en el mismo directorio que el archivo de configuración y lo llama


CA.pem, puede dejar este parámetro sin cambios. De lo contrario, es necesario indicar la ruta
absoluta.
Tenga en cuenta que el certificado de Autoridad de Certificación es necesario incluso si usted
no utiliza la autenticación X.509 del cliente y luego optar por la autenticación de "Sólo
Password" (Por defecto en Zeroshell).

Observe que los OpenVPN GUI no dará ningún apoyo a la creación o modificación de archivos de
configuración. Sólo permite la conexión, desconexión y requiere nombre de usuario y contraseña
cuando sea necesario. Este archivo debe ser editado manualmente.
OpenVPN GUI para Windows
Para instalar OpenVPN GUI para Microsoft Windows XP 32-o 64 bits, haga lo siguiente:

• Descargar el paquete de instalación de la URL http://openvpn.se/download.html.


• Elija la versión que contiene, además de software la interfaz gráfica de usuario OpenVPN
• Iniciar la instalación. Elija las opciones por defecto y confirme su intención de continuar con la
instalación de la TAP-Win32 Adapter V8 (Interfaz virtual es usado por OpenVPN).
Después del proceso de instalación, aparece un icono en la barra de tareas con dos terminales
y un globo rojo. Estos terminales se ponen amarillos cuando se intenta una conexión y,
finalmente, de color verde cuando se establece la conexión VPN con la red LAN remota;
• Desde el menú Inicio de Windows, haga clic en [Inicio] -> [Programas] -> [l] -> [l directorio de
archivos de configuración]. Esto abrirá la carpeta:

C: \ Archivos de programa \ OpenVPN \ config

cuando tenemos que copiar un archivo dentro de la zeroshell.ovpn que contiene la


configuración y la CA.pem que contiene el certificado X.509 de la Autoridad de Certificación.
Consulte sección anterior Si no estás seguro de cómo conseguir los dos archivos;

• Editar el archivo zeroshell.ovpn y sustituir zeroshell.example.com con el nombre de host o


dirección IP del servidor OpenVPN;
• En este punto, haciendo doble clic en el icono OpenVPN en la barra de la bandeja, se inicia el
procedimiento de conexión. Un pop-up de diálogo aparece y en el hay que insertar un nombre
de usuario y contraseña (ver Nota *). Si la autenticación es satisfactoria, la conexión VPN se
establecerá y las dos terminales de OpenVPN mostraran un icono verde.

Al hacer clic en el botón derecho del ratón sobre el icono de la barra de tareas de OpenVPN aparece
un menú con varias opciones útiles que se enumeran a continuación y hablan por sí solas: Conectar,
Desconectar, Mostrar el estado, Ver Log, Editar, Configurar, Configuración de proxy. En particular, si
usted experimenta problemas de conexión y útil la opcion Ver Log para determinar la causa del fallo.

Pero si se realiza la conexión, entonces la terminal 2 del icono es verde, pera llegar a la red LAN
remota o Internet, puede que quiera usar el comando ipconfig / all
He aquí un ejemplo:

Adaptador Ethernet Conexión de área local (LAN) 7:

De conexión específica sufijo DNS:


Descripción. . . . . . . . . . . . . : TAP-Win32 Adapter V8
Dirección física. . . . . . . . . . . : 00-FF-AD-63-83-3D
DHCP habilitado. . . . . . . . . . . . Sí
Configuración automática habilitada. Sí
Dirección IP. . . . . . . . . . . . . : 192.168.250.51
Máscara de subred. . . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada. . . . . . . . . : 192168250254
Servidor DHCP. . . . . . . . . . . . . : 192.168.0.0
Servidor DNS. . . . . . . . . . . . . : 192168250254
Obtención de la concesión. . . . . . . . . . . . : Jueves, septiembre
20, 2007 19:51:37
Vence el contrato. . . . . . . . . . . .: Viernes, septiembre 19, 2008
19:51:37
Usted debe comprobar que la VPN se completo correctamente, que la ruta se lleva a cabo
correctamente y, a continuación la dirección IP y puerta de enlace predeterminada pertenecen a la
subred LAN remota a la que se registran en Red Privada Virtual. Como garantía adicional de que el
tráfico es realmente enrutado a través de la VPN, escriba el comando: tracert / d <dirección IP
ordenador>. Si el primer router que se encuentra en la LAN remota a la que ha conectado, entonces
hay que ver el flujo de tráfico en VPN encriptado como se esperaba.

Tunnelblick para Mac OS X


Una interfaz gráfica de usuario para OpenVPN en Mac OS X Tunnelblick. Para instalar la interfaz
gráfica de usuario que utiliza los pasos siguientes:

• Descargar el paquete de instalación de la URL http://www.tunnelblick.net. Este es un archivo


comprimido. Zip que tambien contiene la GUI de OpenVPN;
• Haga doble clic en el archivo zip (supongamos que está en el escritorio) para extraer su
contenido. Aparece el nombre del ejecutable en el escritorio Tunnelblick;
• Iniciar el archivo ejecutable Tunnelblick con un doble clic. Pulse [Continuar] en el cuadro de
diálogo que aparece para avisarle donde quiere poner sus archivos de configuración Biblioteca
/ openvpn /. Cierre la ventana que se abre para permitir que se modifique el ejemplo de archivo
de configuración openvpn.conf;
• El GUI de OpenVPN Tunnelblick ya está instalado y la barra superior, cerca del reloj, aparece
su icono. Ahora, continúe con la configuración necesaria para acceder a un servidor construido
con OpenVPN Zeroshell;
• Siga el procedimiento descrito en la sección El archivo de configuración de OpenVPN para
obtener el archivo de configuración zeroshell.ovpn y el archivo CA.pem que contiene el
certificado X.509 de la Autoridad de Certificación. Abra el Finder y seleccione el directorio
Biblioteca / openvpn (el usuario y no el del sistema). Eliminar el ejemplo de archivo de
configuración openvpn.conf y arrastre los dos archivos en el directorio obtenido anteriormente;
• Cerrar Tunnelblick seleccione [Salir] en el menú contextual que aparece al hacer clic en el
icono. A continuación, reinicie haciendo doble clic en el archivo ejecutable Tunnelblick. Ahora,
al hacer clic en el icono de Tunnelblick aparece cuando [Zeroshell Connect ''], que proporciona
una conexión a VPN Zeroshell;
• Seleccione el menú [Detalles ...] se abre un cuadro de diálogo y presione [Editar configuración].
Reemplace zeroshell.example.com con el nombre de host o dirección IP del servidor VPN.
Guarde el archivo de configuración.
• Prueba de la conexión VPN, haga clic en [Zeroshell Connect '']. Aparece un pop-up para
introducir nombre de usuario y contraseña (ver Nota *).

Si tiene problemas para conectarse, puede ser útil consultar los registros de OpenVPN para determinar
la causa del problema,. Para ello sólo tiene que seleccionar el icono de la Tunnelblick [Detalles].
Si desea verificar que la dirección IP que utiliza la VPN, pertenece realmente a la red LAN remota está
conectado, abra una terminal y Mac OS X en el shell del sistema, escriba el comando:

ifconfig tap0

cuya producción es similar a lo siguiente:


tap0: flags = 8843 mtu 1500 <UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST>
inet 192.168.250.1 netmask 0xffffff00 emisión 192168250255
éter B6: da: D9: 91:22: ff
abierto 368 (PID)
El artículo inet indica que la dirección IP es 192.168.250.1 (Zeroshell por defecto si no se configura
cedidos a los clientes VPN remotos direcciones que pertenecen a la subred 192.168.250.0/24 con
puerta de enlace predeterminada 192.168.250.254). Para estar absolutamente seguro de que el tráfico
es realmente enrutado a través del túnel cifrado por la VPN utiliza el comando traceroute-n host>
ordenador>. Para que el enrutamiento de VPN sea correcto, el primer salto del router debe ser una
LAN remota (192.168.250.254 con la configuración por defecto de OpenVPN Zeroshell configurado).

Kvpnc Linux
Kvpnc Linux es una interfaz que controla la mayor parte de clientes VPN disponibles: Cisco VPN,
IPSec, PPTP, OpenVPN, L2TP. Es muy amplio y flexible, de modo que también tiene soporte para
tarjetas inteligentes Obviamente, en este contexto, el documento de instalación y configuración única
en OpenVPN. Hay paquetes precompilados para la mayoría de distribuciones de Linux como RPMs
para SuSE y Fedora. En cuanto a Ubuntu y Kubuntu (o Debian otros derivados), puede instalar kvpnc
con OpenVPN simplemente con los comandos:

sudo apt-get install openvpn


sudo apt-get install kvpnc

Tenga en cuenta que a diferencia de otras interfaces gráficas de usuario, el paquete no incluye la
kvpnc OpenVPN en cambio, se instalan por separado. A fin de mantener la discusión lo más
independiente posible de la distribución de Linux en particular, compilar los fuentes directamente
kvpnc, pero si hay un paquete binario para su distribución, se invita a utilizarlos.
Desde kvpnc utiliza la biblioteca Qt, la presencia de estas bibliotecas y de cualquier archivo es un
requisito previo para la compilación. En los pasos siguientes, vamos a suponer que OpenVPN ya está
instalado. Si no, véase el párrafo Compilación e instalación de OpenVPN.
Ahora se procede con la instalación y configuración de kvpnc:

• Descarga el código fuente desde el sitio http://home.gna.org/kvpnc/. En el siguiente se hará


referencia a la versión 0.8.9 de kvpnc, pero aún debe descargar la más reciente disponible;
• Extraiga el contenido del paquete con el comando:
tar xvfj kvpnc-0.8.9.tar.bz2
• Compilar e instalar kvpnc con la secuencia de comandos:
kvpnc cd-0.8.9
. / Configure
hacer
sudo make install

En algunas distribuciones, debe especificar explícitamente la ubicación de los archivos de


inclusión y bibliotecas QT. En este caso, agregar los parámetros - With-qt-includes = /
usr/lib64/qt-3.3/include / - with-qt-libraries = / usr/lib64/qt-3.3/lib / comando . /
ConfigureSustitución / Usr/lib64/qt-3.3 / con el camino apropiado para su distribución de Linux;
• Crear el / Etc / openvpn / el comando sudo mkdir / etc / openvpn y copiar los archivos dentro de
zeroshell.ovpn y CA.pem. Para obtener estos archivos, por favor vaya a El archivo de
configuración de OpenVPN;
• Para utilizar kvpnc conun usuario no privilegiado debe utilizar sudo. Para ello, tienen privilegios
de root, agregar la siguiente línea al final del archivo / Etc / sudoers:
TODOS LOS ALL = NOPASSWD: / usr / bin / kvpnc

Cuando usted necesite ejecutar el comando kvpnc utiliza la sintaxis:


/ usr / sudo / bin / kvpnc

De esta manera, kvpnc tendrá los privilegios de root que necesita para crear la interfaz virtual
Ethernet tap0 y agregar rutas estáticas a la ruta del tráfico de la VPN;
• Importar el perfil para conectarse a un servidor VPN Zeroshell con el siguiente comando:

kvpnc - openvpnimport = / etc / openvpn / zeroshell.ovpn

Desde el Administrador de perfil que aparece, utilice las siguientes configuraciones:


o Desde la pantalla General configurar el Puerta de enlace VPN con la dirección IP o
nombre de host del servidor VPN Zeroshell;
o Desde la pantalla OpenVPN Asegúrese de que la voz de Método de autenticación se
establece en SHA1 en lugar de MD5;

Pulse [Aplicar] y luego [Aceptar] en el Administrador de perfiles y [Perfil] -> [Guardar perfil ...]
guardar el perfil y cerca de kvpnc con el elemento de menú [Archivo] -> [Salir];

• A continuación, ejecute el comando / usr / sudo / bin / kvpnc y pulse [Connect] para conectarse
a VPN Zeroshell. En este punto se requiere de usuario y contraseña (ver Nota *) Y si la
autenticación es satisfactoria, la conexión VPN se establece con la red remota.

Para comprobar que la dirección IP que está utilizando la VPN, lo que realmente pertenece a la red
LAN remota está conectado, simplemente abra un intérprete de comandos y escriba el comando:

/ Sbin / ifconfig tap0

cuya producción es similar a lo siguiente:


tap0 Link encap: Ethernet HWaddr 26:8 F: 1E: 31:44: DD
inet addr: 192.168.250.50 Bcast: 192168250255 Mask: 255.255.255.0
inet6: fe80:: 248F: 1eff: FE31: 44dd/64 Alcance: Vínculo
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1
RX packets: 19 errors: 0 dropped: 0 overruns: 0 frame: 0
TX packets: 25 errors: 0 dropped: 0 overruns: 0 carrier: 0
collisions: 0 txqueuelen: 100
RX bytes: 1384 (1.3 MiB) TX bytes: 1668 (1.6 MiB)
El artículo inet indica que la dirección IP 192.168.250.50 (Zeroshell por defecto si no se configura
cedidos a los clientes VPN remotos direcciones que pertenecen a la subred 192.168.250.0/24 con
puerta de enlace predeterminada 192.168.250.254). Para estar absolutamente seguro de que el tráfico
es realmente enrutado a través del túnel cifrado por la VPN utiliza el comando traceroute-n host>
ordenador>. Para que el enrutamiento de VPN sea correcto, el primer salto debe ser una LAN remota
(192.168.250.254 con la configuración por defecto de OpenVPN Zeroshell configurado).
OpenVPN para Pocket PC
OpenVPN para Pocket PC software todavía está en versión Alpha, pero después de muchas pruebas
demostraron ser lo suficientemente estables y fiables. Las pruebas se realizaron en Microsoft Windows
Mobile versión 5.0 instalado en una computadora de mano i-Mate JASJAR (equivalente a un HTC
Universal Qtek 9000), sin embargo, no debería haber problemas, incluso corriendo en WM 2003 y
otros modelos de PDA. Antes de ver la instalación y configuración, por favor, tenga en cuenta que, al
tener que modificar manualmente el archivo de configuración de OpenVPN, usted debe conectar a su
PDA a través de ActiveSync y hacer los cambios con un editor de un PC. Alternativamente, si desea
hacer cambios directamente en la computadora de mano, debe instalar la Total Commander CE , que
es un programa gratuito de Administrador de archivos para Pocket PC, disponible en la URL
http://www.ghisler.com/pocketpc.htm. Este Filemanager integra, entre otras cosas, un editor sirve a
nuestros propósitos.
Éstos son los pasos necesarios para instalar OpenVPN para Pocket PC:

• Transferencia de OpenVPN para Pocket PC el sitio http://ovpnppc.ziggurat29.com/ovpnppc-


main.htm. El paquete puede ser descargado en dos formatos: en . Exe utilizar para la
instalación de PC con el PDA conectado a través de ActiveSync, el formato . Cab instala
directamente desde la computadora de mano en sí. Elija el formato que sea adecuado e
instalelo;
• Suponiendo que ha instalado OpenVPN para Pocket PC carpeta \ Archivos de programa \
OpenVPN en la memoria del dispositivo, copiar los archivos zeroshell.ovpn y CA.pem a
Archivos de programa \ OpenVPN \ config. Para obtener estos archivos, por favor vaya a El
archivo de configuración de OpenVPN;
• Editar el archivo de configuración \ Archivos de programa \ OpenVPN \ config \ zeroshell.ovpn
para permitir la conexión a un servidor construido con OpenVPN Zeroshell:
o Reemplace zeroshell.example.com con la dirección IP o nombre de host del servidor
OpenVPN;
o Reemplace CA.pem con la ruta completa del archivo que contiene el certificado en
formato PEM de la Autoridad de Certificación. En nuestro caso, debemos especificar:

ca "\ \ Archivos de programa \ \ OpenVPN \ \ config \ \ CA.pem"

Las comillas y barras dobles son requeridos por la sintaxis;


• Haga clic en el icono de OpenVPN y el elemento de menú De configuración de arranque. elegir
zeroshell. En este punto se requiere de usuario y contraseña (ver Nota *). Si la autenticación es
satisfactoria, la conexión VPN se establece y 2 terminales de OpenVPN se iluminan en verde;

Cualquier falta de consulta a los registros de acceso para conectarse \ Archivos de programa \
OpenVPN \ log \ zeroshell.log. Por último, para verificar que el tráfico a la red remota o Internet es en
realidad encapsulada en el túnel de VPN encriptado, debe realizar una traceroute y comprobar que
cumple con el primer salto pertenece a la red LAN remota (el valor predeterminado es Zeroshell
192.168.250.254). Sin embargo, Windows Mobile no se ha trazado de forma nativa y por ello es
necesario instalar una utilidad externa. El software libre es útil para ceNetTools que, además de
traceroute También le permite realizar comandos Ping y el comando Whois.
La línea de mando de OpenVPN
Si el sistema que está utilizando no tiene un interfaz gráfico para OpenVPN o la manera en que desea
automatizar el inicio de la conexión VPN a través de los scripts de inicio, debe utilizar el comando
directamente OpenVPN. Sólo tienes que escribir openvpn hombre que están disponibles para realizar
una serie de parámetros que pueden influir en el comportamiento de la VPN. Estos parámetros se
pueden especificar directamente en la línea de comandos precedidos por un guión doble (--), o se
inserta en un archivo de configuración. Salvo unos pocos casos, siempre debe utilizar el archivo de
configuración porque es más fácil de leer que una línea de comandos agobiados por numerosos
parámetros. No es el alcance de este documento responde a los parámetros de OpenVPN, en parte
porque las páginas de manual que viene con el comando hombre están bien detallados. Ver sólo los
pasos para conectarse a un servidor construido con OpenVPN Zeroshell:

• Lugar en un solo directorio (por ejemplo / Etc / openvpn /) Archivo de configuración


zeroshell.ovpn CA.pem y el archivo que contiene el certificado en formato PEM de la Autoridad
de Certificación. Para obtener más información acerca de cómo obtener estos archivos,
consulte El archivo de configuración de OpenVPN;
• Editar el archivo de configuración zeroshell.ovpn sustituirzeroshell.example.com con la
dirección IP o nombre de host del servidor de VPN;

En el mismo directorio donde se colocan los archivos de configuración, ejecute el comando:

openvpn - config zeroshell.ovpn

Se le pedirá nombre de usuario y contraseña si la autenticación es satisfactoria verá la línea en el


registro de:

Inicialización secuencia completa


Compilación e instalación de OpenVPN
Para la mayoría de los sistemas para los que se apoya OpenVPN, están los los paquetes pre-
compilados. Sin embargo, especialmente para Linux, dada la gran cantidad de distribuciones que
existen, hay casos en que es necesario compilar el código fuente de OpenVPN. Vemos los pasos para
hacer esto:

• Descarga desde el sitio http://openvpn.net el paquete que contiene el código fuente de la última
versión estable disponible;
• Extraiga el contenido del paquete fuente utilizando el comando tar de la siguiente manera:
tar xvfz openvpn-2.0.9.tar.gz
• Introduzca el directorio directorio openvpn-2.0.9 a través de comandos
cd openvpn-2.0.9
• Ejecute el sistema de control para la producción de Makefile con el comando:
. / Configure - prefix = / usr /

Si el comando . / Configure se queja de la falta de software de compresión lzo, Instalarlo de la


siguiente manera:
o Descarga el código fuente desde el sitio lzo http://www.oberhumer.com/ y extraer el
contenido con el
tar xvfz lzo-2.02.tar.gz
o Entra en el directorio lzo-2.02 e instalar el software de compresión lzo debido a los
siguientes comandos:
ƒ . / Configure
ƒ hacer
ƒ make install(Este comando requiere privilegios de administrador)

Instalado lzoDespués de volver al directorio de openvpn-2.0.9, Vuelva a ejecutar el


comando
. / Configure - prefix = / usr /

• Compilar el código fuente basado en la recién generada Makefile con el comando:


hacer
• Instale el programa binario OpenVPN y su página de manual mediante el comando:
make install

Desde la instalación del sistema de directorio / Usr /, Este comando debe ejecutarse con
privilegios de administrador.

Notas
(*) La forma en que se validan las credenciales del usuario depende de la configuración del servidor
OpenVPN. Zeroshell le permite añadir dominios de autenticación múltiples, cada uno de los cuales
pueden ser autenticados en el KDC de Kerberos 5 (local, externo o por medio de la autenticación), o
un servidor RADIUS externo. Uno de estos dominios es el valor predeterminado, lo que significa que el
usuario que especifica el nombre de usuario no está obligado a declararlo explícitamente. En otros
casos, el nombre de usuario debe ser en forma nombre de usuario @ dominio (fulvio@example.com
por ejemplo). Tenga en cuenta que el dominio no es sensible a mayúsculas, porque si es un
Kerberos V, Zeroshell lo convierte automáticamente a mayúsculas.
Elige ahora cadena FORWARD y haga clic en Ver, estas son las políticas para conseguir a través del
firewall:

Podemos ver que se permiten las peticiones de los ETH00 interior


ETH01 externa, nada está establecido de ETH01 a sonothing ETH00
pasará a través de.