Documentos de Académico
Documentos de Profesional
Documentos de Cultura
. I Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.1.1. Las pymes y las TICs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.1.2. Zentyal: servidor Linux para pymes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.1.3. Acerca del manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
.. I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.2.1. El instalador de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2.2. Configuración inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.2.3. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
.. P Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.3.1. La interfaz web de administración de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.3.2. Configuración básica de red en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
1.3.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
.. A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
1.4.1. La actualización de software en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
1.4.2. Gestión de componentes de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
1.4.3. Actualizaciones del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
1.4.4. Actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
1.4.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
.. R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
1.5.1. Consulta de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
1.5.2. Configuración de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
1.5.3. Registro de auditoría de administradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
1.5.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
1.5.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
.. C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
1.6.1. Diseño de un sistema de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
1.6.2. Backup de la configuración de Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
. Z I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
.. I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
.. A Z . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
2.2.1. Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
2.2.2. Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
2.2.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
2.2.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
.. S DNS . . . . . . . . . . . . . . . . . . . . . . 65
2.3.1. Introducción a DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
2.3.2. Configuración de un servidor DNS caché con Zentyal . . . . . . . . . . . . . . . . . . . . 70
2.3.3. Proxy DNS transparente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
2.3.4. Redirectores DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
3
2.3.5. Configuración de un servidor DNS autoritario con Zentyal . . . . . . . . . . . . . . 73
2.3.6. Ejemplos Prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
2.3.7. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
.. S NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
2.4.1. Introducción a NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
2.4.2. Configuración de un servidor NTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
2.4.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
.. S DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
2.5.1. Introducción a DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
2.5.2. Configuración de un servidor DHCP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . 88
2.5.3. Ejemplos Prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
2.5.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
.. A CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
2.6.1. Infraestructura de clave pública (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
2.6.2. Importación de certificados en los clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
2.6.3. Configuración de una Autoridad de Certificación con Zentyal . . . . . . . . . .107
2.6.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
.. S VPN OVPN . . . . . . . . . . . . . . .111
.
2.7.1. Introducción a las redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . . .112
2.7.2. Configuración de un servidor OpenVPN con Zentyal . . . . . . . . . . . . . . . . . . . . .112
2.7.3. Configuración de un servidor VPN para la interconexión de redes
con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118
2.7.4. Configuración del cliente OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
2.7.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
2.7.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124
.. VPN IPSEC LTPIPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
.
2.8.1. Introducción a IPsec y L2TP/IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
2.8.2. Configuración de un túnel IPsec con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
2.8.3. Configurando un túnel L2TP/IPSEC en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
.. S T FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
.
2.9.1. Introducción a FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
2.9.2. Configuración del cliente FTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130
2.9.3. Configuración de un servidor FTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
2.9.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134
..P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136
.
4
.. S P HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
.
3.4.1. Introducción al servicio de Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
3.4.2. Configuración en el navegador de un Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . .159
3.4.3. Configuración general del Proxy HTTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . .164
3.4.4. Reglas de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165
3.4.5. Filtrado de contenidos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167
3.4.6. Limitación de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
3.4.7. Bloqueo HTTPS por dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172
3.4.8. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
3.4.9. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174
.. S D I IDSIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
.
3.5.1. Introducción al Sistema de Detección/Prevención de Intrusos . . . . . . . . .175
3.5.2. Configuración de un IDS/IPS con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
3.5.3. Alertas del IDS/IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
3.5.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
3.5.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
.
5
.. S JXMPP . . . . . . . . . . . . . . . . . . . . . . .237
.
5.4.1. Introducción al servicio de mensajería instantánea. . . . . . . . . . . . . . . . . . . . . . .237
5.4.2. Configuración de un servidor Jabber/XMPP con Zentyal . . . . . . . . . . . . . . . . .238
5.4.3. Configuración de un cliente Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240
5.4.4. Configurando salas de conferencia Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
5.4.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
5.4.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
.. P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .253
.
. A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
.
.. A A: E VB . . . . . . . . . . . . . . . . . . . . . . . . . .255
.
6.1.1. Acerca de la virtualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
6.1.2. VirtualBox. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .256
.. A B: E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .268
.
6.2.1. Escenario 1: Escenario base, conexión a Internet, red interna y anfi-
trión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .268
6.2.2. Escenario 2: Varias redes internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .270
6.2.3. Escenario 3: Varias puertas de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
6.2.4. Escenario 4: Escenario base + cliente externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .272
6.2.5. Escenario 5: Multisede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .273
.. A C: D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275
.
6.3.1. Importación de datos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275
6.3.2. Personalización avanzada de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .276
6.3.3. Entorno de desarrollo de nuevos módulos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
6.3.4. Política de publicación de la Edición Comercial . . . . . . . . . . . . . . . . . . . . . . . . . . .278
6.3.5. Política de publicación de la Edición Development . . . . . . . . . . . . . . . . . . . . . . .279
6.3.6. Política de gestión de errores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .279
6.3.7. Soporte de la comunidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .279
.. A D: R . . . . . . . . . . . . .281
.
6.4.1. Respuesta a las preguntas de autoevaluación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
6
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
112
Figura 2.68: Zentyal y clientes remotos de VPN
Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos
(Comercial y Cliente) y estos últimos entre si.
Para ello necesitamos crear una Autoridad de Certificación y certificados individuales
para los dos clientes remotos, que crearemos mediante Autoridad de certificación →
General. También se necesita un certificado para el servidor VPN, sin embargo, Zentyal
expedirá este certificado automáticamente cuando cree un nuevo servidor VPN. En
este escenario, Zentyal actúa como una Autoridad de Certificación.
Figura 2.69: Certificado del servidor (subrayado azul) y del cliente (subrayado negro)
Una vez tengamos los certificados, deberíamos poner a punto el servidor VPN en Zent-
yal mediante Crear un nuevo servidor. El único parámetro que necesitamos introducir
para crear un servidor es el nombre. Zentyal hace que la tarea de configurar un servi-
dor VPN sea sencilla, ya que establece valores de forma automática.
113
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
(Zentyal creará uno automáticamente usando el nombre del servidor VPN) y una di-
rección de red. Las direcciones de la red VPN se asignan tanto al servidor como a los
clientes. Si se necesita cambiar la dirección de red nos deberemos asegurar que no
entra en conflicto con una red local. Además, se informará automáticamente de las
redes locales, es decir, las redes conectadas directamente a los interfaces de red de
la máquina, a través de la red privada.
Como vemos, el servidor VPN estará escuchando en todas las interfaces externas. Por
tanto, debemos poner al menos una de nuestras interfaces como externa vía Red →
Interfaces. En nuestro escenario sólo se necesitan dos interfaces, una interna para la
LAN y otra externa para Internet.
Si queremos que los clientes de VPN puedan conectarse entre sí usando su dirección
de VPN, debemos activar la opción Permitir conexiones entre clientes.
El resto de opciones de configuración las podemos dejar con sus valores por defecto
en los casos más habituales.
114
vpn-<nuestronombredevpn>. A menos que queramos importar un certificado ex-
terno, lo habitual es mantener esta configuración.
AUTORIZAR AL CLIENTE POR SU NOMBRE COMÚN: Requiere que el common name
del certificado del cliente empiece por la cadena de caracteres seleccionada para
autorizar la conexión.
INTERFAZ TUN: Por defecto se usa una interfaz de tipo TAP, más semejante a un
bridge de capa 2, podemos usar una interfaz de tipo TUN más semejante a un nodo
de IP capa 3.
TRADUCCIÓN DE DIRECCIÓN DE RED (NAT): Es recomendable tener esta traducción
activada si el servidor Zentyal que acepta las conexiones VPN no es la puerta de
enlace por defecto de las redes internas a las que podremos acceder desde la VPN.
De tal forma que los clientes de estas redes internas respondan al Zentyal de VPN
en lugar de a su puerta de enlace. Si el servidor Zentyal es tanto servidor VPN como
puerta de enlace (caso más habitual), es indiferente.
Figura 2.72: Servidor VPN usando NAT para convertirse en la puerta de enlace por defecto
115
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y
otras redes conocidas por nuestro servidor. Dichas redes serán accesibles por los
clientes VPN autorizados. Para ello daremos de alta objetos que hayamos definido,
ver Abstracciones de red de alto nivel en Zentyal, en el caso más habitual, todas nues-
tras redes internas. Podremos configurar las redes anunciadas para este servidor VPN
mediante la interfaz Redes anunciadas.
Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de
configurar un cliente VPN es utilizando los bundles de Zentyal, paquetes de instala-
ción que incluyen el archivo de configuración de VPN específico para cada usuario y,
opcionalmente, un programa de instalación. Estos están disponibles en la tabla que
aparece en VPN → Servidores, pulsando el icono de la columna Descargar bundle del
cliente. Se pueden crear bundles para clientes Windows, Mac OS y Linux. Al crear un
bundle se seleccionan aquellos certificados que se van a dar al cliente y se establece
la dirección externa del servidor a la cual los clientes VPN se deben conectar.
Como se puede ver en la imagen más abajo, tenemos un servidor VPN principal y hasta
dos secundarios, dependiendo de la Estrategia de conexión intentaremos la conexión
en orden o probaremos con uno aleatorio.
116
Además, si el sistema seleccionado es Windows, se puede incluir también un instala-
dor de OpenVPN™. Los bundles de configuración los descargará el administrador de
Zentyal para distribuirlos a los clientes de la manera que crea más oportuna.
Para más información sobre compartición de ficheros ir a la sección Usuarios, Equipos y Compartición
de ficheros
117
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Nuestro objetivo es conectar varias sedes, sus servidores Zentyal, así como sus redes
internas, de tal forma que podemos crear una infraestructura única para nuestra em-
presa de forma segura a través de Internet. Para ello, debemos configurar un servidor
VPN de forma similar al anterior punto.
Sin embargo, se necesita hacer dos pequeños cambios, habilitar la opción Permitir tú-
neles Zentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir
una Contraseña de túneles de Zentyal a Zentyal para establecer la conexión en un en-
torno más seguro entre las dos oficinas. Hay que tener en cuenta que tendremos que
anunciar las redes LAN en Redes anunciadas.
Otro diferencia importante es el intercambio de rutas, en el escenario de roadwarrior
descrito más arriba, el servidor envía las rutas al cliente. En el escenario de servidor a
servidor, las rutas se intercambian en ambos sentidos y se propagan a otros clientes
usando el protocolo RIP . Por lo que en los servidores que actúan como clientes VPN
del nodo central también es posible añadir las Redes Anunciadas que serán propaga-
das a los demás nodos.
Para configurar Zentyal como un cliente VPN, podemos hacerlo a través de VPN →
Clientes. Tendremos que darle un nombre al cliente y activar el servicio. Se puede
establecer la configuración del cliente manualmente o automáticamente usando el
http://www.ietf.org/rfc/rfc1058
118
bundle dado por el servidor VPN. Si no se usa el bundle, se tendrá que dar la dirección
IP y el par protocolo-puerto donde estará aceptando peticiones el servidor. También
será necesaria la contraseña del túnel y los certificados usados por el cliente. Estos
certificados deberán haber sido creados por la misma autoridad de certificación que
use el servidor.
119
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
Figura 2.81: El administrador de sistemas nos facilitará el bundle para nuestro cliente
Con el botón derecho elegimos ‘Ejecutar como Administrador’, ya que OpenVPN ne-
cesita crear la interfaz virtual e instalar los drivers
120
Figura 2.83: Aceptamos la licencia de OpenVPN
El software del adaptador de red no está certificado para Windows. Aun así, es com-
pletamente seguro continuar.
121
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
TRUCO: Tendremos que copiar todos los ficheros que vienen en el bundle, excep-
to el instalador de OpenVpn si lo hemos incluido, a la carpeta C:\Archivos de Pro-
grama (x86)\OpenVpn\config para que el daemon los localice automáticamente.
Una vez instalado, tenemos un acceso directo en nuestro escritorio que nos permite
conectar a la red VPN haciendo doble clic.
E
E A
En este ejemplo vamos a configurar un servidor VPN y un cliente ubicado en una red
externa; nos conectaremos a la VPN y a través de ella accederemos a una máquina
situada en la red local, accesible solo desde el servidor por una interfaz interna.
1. ACCIÓN Acceder a Zentyal, entrar en Module status y habilitar el módulo OpenVPN,
haciendo clic en la correspondiente caja de la columna de Estado.
EFECTO: Zentyal pedirá permiso para llevar a cabo ciertas acciones.
2. ACCIÓN Revisar las acciones que se van a realizar y conceder el permiso.
EFECTO: El botón Guardar cambios está habilitado.
3. ACCIÓN Acceder a la sección VPN → Servidores, clic en Añadir nuevo, aparecerá un
formulario con los campos Habilitado y Nombre. Introduciremos un nombre para
el servidor.
EFECTO: El nuevo servidor aparecerá en la lista de servidores.
4. ACCIÓN Clic en Guardar cambios y aceptar los cambios.
EFECTO: El servidor está activo y se puede verificar este hecho en el Dashboard.
122
5. ACCIÓN Para hacer la configuración del cliente mas fácil, descargar el bundle de
configuración. Clic en el icono de la columna Descargar bundle de cliente y rellenar
el formulario con las siguientes opciones:
Tipo de cliente: seleccionar Linux, dado que es el sistema operativo que vamos
a usar.
Certificado de cliente: seleccionar cliente1. Si el certificado no está creado debe
crearse siguiendo los pasos descritos previamente.
Server address: introducir la dirección que usará el cliente para conectarse al
servidor VPN. En este escenario esta dirección será la misma que la de la interfaz
externa conectada a la misma red que el cliente.
EFECTO: Una vez que el formulario se ha rellenado, se puede descargar el bundle
para el cliente. Este fichero estará comprimido en formato .tar.gz.
6. ACCIÓN Configurar la máquina cliente. Desempaquetar el bundle en un directorio
y continuar con los pasos mencionados anteriormente. El bundle contiene los fi-
cheros con los certificados necesarios y el fichero de configuración con extensión
.conf.
Si no ha habido ningún problema con los pasos anteriores, la configuración estará
lista y solo queda establecer la conexión.
EFECTO: La máquina cliente está conectada a la VPN.
7. ACCIÓN Antes de comprobar que existe conectividad con el cliente en la red pri-
vada, hay que asegurarse de que dicho cliente está usando Zentyal como puerta
de enlace por defecto. De otro modo, no habrá ruta de regreso para el cliente VPN,
por tanto debe añadirse.
Finalmente, comprobar que se puede acceder a algún servicio del cliente de la red
privada.
EFECTO: Se ha comprobado que la VPN funciona, creando una red virtual entre
máquinas de distintas redes.
E B
El objetivo de este ejercicio es conectar dos redes que usan servidores Zentyal como
puerta de enlace hacia la red externa, permitiendo a los miembros de ambas redes
conectarse entre ellos.
1. ACCIÓN Acceder a la interfaz web del Zentyal que ejercerá el rol de servidor túnel.
Asegurarse de que el módulo VPN está habilitado y habilitarlo en caso contrario.
Crear un nuevo servidor en VPN -> Servidores con la siguiente configuración:
Puerto: elegir un puerto que no esté en uso, por ejemplo 7766.
Dirección VPN: introducir una dirección de red privada que no esté en uso en
ninguna otra parte de la infraestructura, por ejemplo 192.168.20.0/24.
Habilitar la opción Permitir túneles de Zentyal a Zentyal. Esta es la opción que
convierte el servidor en túnel.
Introducir una Contraseña de túneles de Zentyal a Zentyal.
Finalmente, elegir una interfaz externa en Interfaz en la que escuchar, para co-
nectar al cliente Zentyal.
Para completar la configuración del servidor se deben anunciar redes, siguiendo
los mismos pasos que en ejemplos anteriores. Anunciar la red privada a la que el
cliente necesita acceder. Es conveniente recordar que este paso no es necesario en
123
CAPÍTULO 2
ZENTYAL INFRASTRUCTURE
E
124
E A
Configurar un servidor VPN usando NAT. Seguir los mismos pasos que en Ejemplo prác-
tico B, pero habilitando la opción NAT. Conectar un cliente al servidor y comprobar que
el NAT funciona correctamente.
VPN IPSEC LTPIPSEC
I IP LTPIPSEC
El protocolo IPsec (Internet Protocol security) es un conjunto de protocolos para ga-
rantizar la seguridad de las comunicaciones de red usando el protocolo TCP/IP. Pro-
porciona tanto autenticación como encriptación de la sesión. A diferencia de otras
soluciones como SSL o TLS, IPsec no funciona en la capa de aplicación sino en la ca-
pa de red. Esto permite dotar de seguridad a cualquier comunicación sin tener que
modificar la aplicación usada.
Al igual que OpenVPN o PPTP, IPsec se utiliza para desplegar redes privadas virtuales
(VPN). Puede operar en varios modos, de host a host, de red a host o de red a red,
siendo este último el más habitual: tenemos subredes que queremos interconectar
de manera segura a través de una red no fiable, como puede ser Internet.
IPsec es un anexo opcional del protocolo IPv4 pero forma parte de IPv6. La principal
ventaja de IPsec frente a otros protocolos de VPN incluidos en Zentyal como OpenVPN
o PPTP es que es un stándard definido por el Internet Engineering Task Force (IETF)
que muchos fabricantes han implementado en sus dispositivos por lo que es la opción
ideal para conectar Zentyal con dispositivos UTM de otros fabricantes (Cisco, Fortinet,
CheckPoint, etc.).
L2TP opera en la capa 2 del modelo TCP/IP , de esta forma permite que los clientes
remotos operen en las redes locales como cualquier otra máquina unida a la LAN, en
lugar de comportarse como una conexión punto a punto. L2TP lleva a cabo las tareas
de tunelización y autenticación de usuarios, en la implementación de Zentyal, L2TP
se apoya en IPsec para cifrar el tráfico.
Zentyal integra Libreswan como solución IPsec. Este servicio utiliza los puertos 500
y 4500 UDP además del protocolo ESP.
125