Notas del Autor Este HOWTO está dedicado a Ufuk Altinkaynak, su equipo y los muchos otros que contribuyeron con su tiempo y sus conocimientos para ayudar que ZERINA y las conexiones OpenVPN en IPCop se convirtieran en una realidad. No se puede olvidar a las muchas personas que trabajan duro y que han creado IPCOP y OpenVPN. Sin su dedicación y trabajo duro, no tendríamos estos maravillosos productos de primera clase. Cualquier marca aquí se destina sólo con fines de referencia y para ayudar a las personas con posibles problemas específicos y sus soluciones. Todas las marcas comerciales mencionadas aquí siguen siendo propiedad de sus respectivos titulares y/o propietarios. Este documento se proporciona sin garantías escritas de comercialización o idoneidad a la precisión y se basa en el Howto de Net2Net original escrito por Ufuk. Por favor envíenme un e-mail con cualquier corrección o agregado y como me de el tiempo lo añadiré a este documento. Mi agradecimiento a todo el mundo. drott@ibdozing.com

Introducción

ZERINA es una implementación de OpenVPN para el firewall IPCOP. La versión actual de ZERINA implementa y usa sólo las características de enrutamiento de OpenVPN para crear conexiones de red VPN. Aunque OpenVPN tiene soporte nativo para las redes puenteadas, las implementaciones actuales de IPCOP 1.4.xx no tienen soporte en el núcleo. Este HOWTO explicará cómo crear una conexión net2net basada en OpenVPN entre 2 máquinas IPCOP utilizando ZERINA en unos minutos. Una conexión net2net es una conexión entre dos redes separadas físicamente que un dispositivo, como un router, se utiliza para unirlas con el fin de establecer conexiones tipo intranet. En nuestro caso los routers son proporcionados por el IPCOP con el paquete ZERINA instalado y configurado correctamente. ZERINA para IPCOP proporciona una muy agradable GUI de gestión y mantenimiento de OpenVPN. ZERINA se implementa actualmente en dos paquetes separados, la versión estable para implementaciones Road Warrior y la versión Alpha de Net2Net y Road Warrior. La actual implementación Net2Net está todavía en desarrollo.

Preliminares

Mientras que esta guía está dirigida fundamentalmente a establecer conexiones net2net entre maquinas con IPCOP, ZERINA puede ser usado para crear conexiones OpenVPN entre cualquier sistema operativo que soporte OpenVPN y IPCOP. Explicar cómo hacer esto está fuera del alcance de este HOWTO, pero el sitio Web de OpenVPN es un buen lugar para comenzar con este tipo de implementaciones. Hay una serie de medidas preparatorias que deben tomarse antes de establecer una conexión Net2Net o cualquier conexión VPN con ZERINA.

El primer requisito es 2 máquinas IPCOP corriendo la más actual compilación. En segundo lugar, hay que descargar e instalar la última implementación Alpha de ZERINA Net2Net. Si su IPCOP no es la versión más actual, este puede ser fácilmente actualizado a la última versión y debe hacerse antes de siquiera intentar instalar y configurar ZERINA. ZERINA no se instalara correctamente y/o no puede funcionar correctamente si no se está usando la versión correcta de ZERINA para IPCOP. Como IPCOP se actualiza constantemente, las nuevas versiones de ZERINA se pondrán a disposición, ya sea al mismo tiempo o poco después. Asegúrese de que antes de realizar las actualizaciones de IPCOP, compruebe en el Sitio Web de ZERINA por cualquier información que pueda afectar a IPCOP y/o versiones presentes de ZERINA. En el ejemplo de este HOWTO, IPCOP está configurado de la siguiente manera. Además cada máquina debe tener un mínimo de dos interfaces de red. La interfaz GREEN está conectada a la Lan interna y la interfaz RED está conectada a Internet. ZERINA puede soportar conexiones VPN en las interfaces ORANGES y BLUE, pero que no se discute en este HOWTO. El proceso de configurar el soporte Net2Net en las interfaces ORANGES y BLUE sólo requiere que se adapte a lo que se discute aquí sobre lo básico respecto a conexiones Net2Net. IPCOP A (Hamburgo) tiene dos interfaces: RED 192.168.61.2/255.255.255.0 GREEN 192.168.191.3/255.255.255.0 IPCOP B (Paris) tiene dos interfaces: RED 192.168.61.3/255.255.255.0 GREEN 192.168.85.2/255.255.255.0 CLAVE: NOTA que las interfaces GREEN están en redes diferentes y deben estar en distintas redes. Para que una red VPN funcione debe tener números diferentes en uno de los primeros tres grupos de octetos. Si las interfaces GREEN pertenecen a la misma red, entonces están tratando de establecer un puente de red y esto no está actualmente soportado y cualquier intento de crear una conexión VPN fracasará. CLAVE: Otro concepto importante es que el IPCOP A es el servidor y el IPCOP B es el cliente. ZERINA utiliza el lado del servidor para crear y generar un archivo de exportación/configuración que se utiliza para configurar el extremo opuesto – el IPCOP B simplemente cargara el resultante de los paquetes de configuración. CLAVE: Para aquellos interesados en conexiones IPCOP hacia máquinas no IPCOP con OpenVPN este archivo de exportación es lo que se necesita para dicha implementación. Contiene toda la información necesaria para unirse a maquinas NO-IPCOP en funcionamiento. Esa conexión no está actualmente soportada por el equipo de desarrollo de ZERINA. Visite el sitio Web de OpenVPN, es un buen lugar para buscar ideas y hacer preguntas sobre la manera de hacer esto. CLAVE: El ejemplo mostrado aquí supone una dirección de IP estática de su proveedor de Internet. Esta es la forma más rápida y cómoda de implementar y mantener cualquier VPN. Pero si usted no tiene una dirección IP estática entonces tendrá que utilizar las características DYDNS de IPCOP para establecer una cuenta con uno de los proveedores de servicios de DNS dinámicos.

Si usted posee una dirección IP fija siempre puede referirse máquina por máquina con esta dirección IP. Si no tendrá que seleccionar un nombre que es único. Debe recordar utilizar este nombre cuando comience con la configuración de ZERINA. SUGERENCIA: Si utiliza un nombre y usted tiene direcciones IP estáticas, puede poner la dirección IP y el nombre que le corresponda en el archivo /etc/hosts de su IPCOP. Esto hará que la resolución de nombres y otras cosas un poco más rápido cuando se conecta entre máquinas IPCOP. También puede referirse a ellos por el nombre de host que es un poco más simple y puede ser más corto que tener que escribir la dirección IP. Esta guía está dirigida principalmente para establecer conexiones net2net entre máquinas IPCOP, ZERINA puede ser usado para crear conexiones OpenVPN entre cualquier sistema operativo que soporte OpenVPN e IPCOP. Explicar cómo hacer esto está fuera del alcance de este HOW-TO, pero el sitio Web de OpenVPN es un buen lugar para comenzar con este tipo de implementaciones.

Instalación y configuración

Una vez que tenga su IPCOP en funcionamiento y con una conexión a Internet establecida tendrá que acceder a la administración Web y modificar varios parámetros. La interfaz de administración en nuestro ejemplo para el IPCOP A se puede llegar escribiendo: http://192.168.61.2:81 Haga clic en el botón Conectar e ingrese la contraseña para el usuario admin. Recuerde que se distingue entre mayúsculas y minúsculas. Si está utilizando IE7 y/o Vista le aparecerá una advertencia de seguridad diciéndole que el certificado no es de confianza y que no debería ir este sitio. No haga caso de este mensaje y haga clic en la opción ir a este sitio de todos modos. Es posible que también le avise de enviar un informe a Microsoft como que es un sitio no legítimo. Por favor no hagan eso. Todo lo que hará es aumentar el riesgo de que inadvertidamente usted bloquee el acceso a su propio cortafuego. SUGERENCIA: habilitando y teniendo las conexiones Roadwarrior en funcionamiento antes de instalar el paquete de ZERINA Net2Net le permitirá configurar ZERINA desde cualquier lugar y no es necesario tener acceso directo a la consola ya sea del IPCOP A ó B. SUGERENCIA: Para reducir los problemas que usted se enfrentará con IE7 y Vista, es posible considerar establecer sus máquinas IPCOP A y B en la lista de confianza. Una vez hecho esto usted recibirá una advertencia de que el certificado no es de una autoridad de confianza. Eso está bien, ya que es su cortafuego y es de confianza. Si no está trabajando directamente desde la consola de su IPCOP tendrá que permitir el acceso SSH para el IPCOP A. La interfaz de administración se divide en una serie de pestañas. Las fichas que vamos a estar interesados son la siguiente: SISTEMA SERVICIOS VPN Con el fin de permitir el acceso SSH a su IPCOP, haga clic en la pestaña Sistema y luego haga clic en Acceso SSH, asegurarse de que la opción de acceso SSH esté activada. Si no es así marque el checkbox y haga clic en Guardar. El acceso SSH para aquellos que no están familiarizados con

Linux/Unix es el servicio que le permitirá el acceso remoto a la consola de su IPCOP A para poder realizar la instalación inicial del software de ZERINA. Todas las configuraciones y características de ZERINA son realizadas y controladas a través de la interfaz Web proporcionada por IPCOP. ADVERTENCIA DE SEGURIDAD: Asegúrese de que cuando instaló su IPCOP haya utilizado contraseñas adecuadas y cuando termine la instalación de ZERINA usted desactive el acceso SSH. Esto reduce el riesgo de que el servicio SSH pudiera utilizarse para obtener acceso a su IPCOP y comprometer su red. Si necesita volver a habilitar el acceso por SSH puede hacerlo fácilmente utilizando su navegador Web favorito y conectarse a su IPCOP y rehabilitarlo. Ahora tenemos que configurar el Servidor Horario. IPCOP puede sincronizar su reloj con cualquier servidor NTP ya sea interno a su red o externo. Es muy importante asegurarse de que los relojes en sus IPCOP son correctos y estén bien sincronizados. La mayoría de las organizaciones pequeñas y los usuarios domésticos no tendrán un servidor en su casa. Verifique con su proveedor de Internet y averigüe la dirección IP o el nombre de su Servidor de Hora. Si no tienen un servidor de hora, hay muchos servidores públicos y usted puede encontrar uno en ntp.org. Para configurar los servicios de horarios, usted haga clic en la pestaña Servicios, seleccione Servidor de Horario. Una serie de opciones se presentarán. Revise las siguientes opciones, “Usa un Network Time Server”, “Actualizar hora”. En las opciones 1 y 2 de “Usa un Network Time Server” deberá ingresar el nombre de algún servidor de hora como ntp.ntpmyisp.com o la dirección IP. Haga clic en Guardar y luego haga clic en Cambiar Hora Ahora. Esto tardará algún tiempo, hasta 5 minutos, dependiendo de la capacidad de respuesta del servidor. Usted debe notar un pequeño icono de rotación durante el proceso de actualización. Si la actualización se ha realizado correctamente, verá una pantalla que indica la fecha de la última sincronización de hora. CLAVE: El hecho de no tener sus IPCOP o las maquinas con los relojes no sincronizados puede dar lugar a todo tipo de problemas. Todo tiene que ver con la fecha y hora de creación de sellos y de la caducidad de los mismos, estos están embebidos en los certificados que son creados. Si la fecha u hora de un certificado es del futuro, entonces el certificado o bien dejar de cargar o no es autenticado. El Servidor de Hora esta ahora configurado. Podemos proceder con la primera parte de la instalación inicial del paquete Net2Net de ZERINA. Voy a suponer que la persona que realiza el trabajo lo hace desde una máquina Windows y no accede al IPCOP A o B directamente a través del teclado local. Usted necesitará dos programas, PuTTY y WinSCP. Ambos pueden ser descargados libremente desde Internet. PuTTY es la implementación SSH para la plataforma Windows y está disponible para descargar en la página oficial. Al descargar PuTTY guárdelo en el escritorio, por lo que es fácil de encontrar. WinSCP es un muy buen GUI que hace que sea muy fácil copiar el paquete descargado de ZERINA al IPCOP A y B. Descargar ambos paquetes e instalar WinSCP antes de seguir adelante. El siguiente paso es conectarse por SSH a su IPCOP mediante el uso de PuTTY. Ejecutar PuTTY y poner en el cuadro de dirección IP la dirección de su IPCOP o el nombre de host. En nuestro caso es 192.168.191.2, asegúrese de que la opción SSH este tildada y deberá cambia el número de puerto a 222. Pulse ingresar y se le presentarán varias indicaciones. Si esta es la primera vez que se ha utilizado SSH para acceder a su IPCOP le preguntara a usted que la clave no es de confianza y si esta bien en confiar en ella. Haga clic en OK y se le presenta un cuadro negro de diálogo que solicita un usuario de inicio de sesión. El nombre de usuario será root, presione enter y luego le pedirá su contraseña.

Una vez que haya conectado con éxito usted estará en el directorio home de root. De conformidad con el orden lo que hay que hacer es crear un directorio para instalar ZERINA. Yo nombro el directorio con el nombre del paquete y con el número de versión. Utilizaremos el siguiente comando para crear el nuevo directorio: mkdir ZERINA-0.9.13alpha Esto creará un directorio en el directorio raíz de inicio del usuario llamado ZERINA-0.9.13alpaha. Dejando el SSH abierto, regrese a su escritorio de Windows, y ejecute WinSCP. Si no ha instalado WinSCP hágalo ahora. Ejecute WinSCP y tal y como hizo con SSH, ingrese en la casilla la misma dirección IP del IPCOP, el puerto es 222 el mismo que se utilizó para SSH. Ahora puede copiar fácilmente el paquete descargado de ZERINA al recién creado directorio de instalación que se encuentra en el directorio home del usuario. Encuentre el paquete descargado ZERINA y arrastrar y suelte el archivo en el directorio ZERINA-0.9.13alpha. Por favor, recuerde que el nombre cambiará a medida que cambie de versión. Haga clic de nuevo en su sesión SSH, e introduzca el siguiente comando. cd ZERINA-0.9.13alpha A continuación, introduzca el comando ls para mostrar los archivos que están en este directorio. Usted debe ver un archivo en este momento. ZERINA-0.9.13Alpha.tar.gz Escriba el siguiente comando: tar -xzvf ZERINA-0.9.13Alpha.tar.gz Ahora pulse la tecla del tabulador y se completa el resto de la línea, de un espacio y pulse enter. Ahora el paquete será descomprimido y colocado en este directorio. El último paso es ejecutar el paquete de instalación. El paquete de instalación se ejecuta introduciendo el siguiente comando: ./install Un número de cosas deben suceder y verás varios mensajes, el último indicando que se ha instalado ZERINA ahora es necesario configurar el software a través de la interfaz Web de administración de IPCOP. Si se trata de una actualización, aparecerá un mensaje sobre la detección de la instalación anterior y el uso de módulo de actualización para este proceso. Si todo ha ido bien, puede salir del PuTTY y del WinSCP. Abra su navegador favorito y acceda a la interfaz Web de administración de IPCOP. Si ha vista la pestaña VPN antes de instalar ZERINA notara que sólo había una opción, ahora debería ver una segunda opción que dice “OpenVPN”.

Interfaz de administración Si no ve la opción OpenVPN debe salir de su navegador y, en el caso de IE vaya a Panel de Control, Opciones de Internet, y elimine todos los archivos temporales y las cookies. Abra nuevamente su navegador y vaya a la pestaña VPN y usted debe ahora ver la opción OpenVPN. Haga clic en ella. La primera página que se muestra es lo que vamos a llamar Página de Administración.

Desde aquí debe configurar OpenVPN para satisfacer sus necesidades específicas y para vigilar su servidor OpenVPN. La Página de Administración está dividida en 4 secciones

1. Autoridades Certificadoras 2. Servidor Roadwarrior 3. Estado y control del cliente Roadwarrior 4. Estado y control de conexiones Net to Net

1. Autoridades Certificadoras: Esto es lo primero que tendremos que configurar ya sea para una conexión Net2Net o una Roadwarrior.

2. Servidor Roadwarrior: no es necesario para una conexión Net2Net. Sin embargo, si usted tiene una configuración preexistente de Roadwarrior tendrá que recordar el Protocolo y el puerto de destino que esta usa. Recuerde que la configuración Roadwarrior puede coexistir con la configuración Net2Net. El único requisito es que deben estar corriendo en diferentes combinaciones de puerto/protocolo o cualquier combinación de puerto/protocolo no utilizado. Ejemplo: si el cliente Roadwarrior está corriendo en el puerto 1194 con el protocolo UDP para nuestra configuración Net2Net vamos a usar el puerto 1194 y el protocolo TCP.

3. Estado y control del cliente Roadwarrior: esta parte no es necesaria para las configuraciones Net2Net.

4. Estado y control de conexiones Net to Net: es lo que tendremos que configurar y se explica más adelante.

Autoridades Certificadoras

En una nueva instalación OpenVPN no habrá certificados creados. Si no tiene los certificados preexistentes el primer paso es, entonces, generar el certificado raíz y anfitrión. Aunque por defecto el servicio VPN de IPCOP tiene su propia capacidad PKI, se decidió que sería mejor la utilización de una PKI separado a fin de evitar posibles interacciones. El primer paso necesario para poder aceptar y autenticar las conexiones es contar con un certificado raíz y de anfitrión. Tendremos que crearlo ahora. Si usted tiene una configuración Roadwarrior ya existente entonces no será necesario generar los certificados. Para generar los certificados Raíz/Anfitrión pulse el botón “Generar Certificados Raíz/Anfitrión”

La sección Autoridades Certificadoras también proporciona varias funciones importantes de gestión de certificado.

Permite una búsqueda de otros certificados que usted pueda tener y quiere instalar en lugar de tener que generar uno nuevo.

Sube e instala un certificado de autoridad de certificados de una 3 ª fuente.

Lista los certificados revocados. Usted va a utilizar esto para revocar certificados. Un caso en el que utilizaría esto es en CA que ha visto comprometida.

Generar los Certificados de Raíz/Anfitrión Una vez que haya pulsado el botón Generar Certificados de Raíz/Anfitrión se aparecerá una pantalla donde hay una serie de campos para ingresar datos.

Nº Nombre del Campo Descripción Ejemplo

Nombre de la Organización Escriba el nombre de su organización Hamburg

Nombre del IPCop Este campo contiene la IP de la placa

RED o el nombre de su máquina. ipcop1.localdomain

Su dirección de E-mail No es necesario llenarlo, aquí va el

contacto de e-mail it@myhost.com

Su departamento No es necesario llenarlo, aquí va el

nombre de su departamento IT

Ciudad No es necesario llenarlo, aquí va el

nombre de su Ciudad Hamburg

Estado o Provincia No es necesario llenarlo, aquí va el

nombre de su Estado o Provincia Hamburg

Pais Elija su país Germany

Botón de generación del certificado

Si todos los datos necesarios (punto 1,2,3) fueron ingresados, puede oprimir el botón para iniciar el proceso de generación de los certificados

presione

Rebusqueda del archive PKCS12

Esto es opcional, ya sea para generar un certificado nuevo o puede cargar uno ya existente si ya dispone de certificados que desea utilizar, entonces puede subirlo, busque aquí la ubicación del certificado, el certificado tiene que estar en formato PKCS12.

suba el archivo PKCS12

Contraseña del archivo PKCS12

Esto es opcional, ingrese aquí la contraseña del archivo PKCS12.

Contraseña del archive PKCS12

Suba el archivo PKCS12 Esto es opcional, presione el botón para

comenzar a subir el archivo presione

El formulario "Generar Certificado de Raíz/Anfitrión" completo debería verse de la siguiente manera:

Una vez que todos los datos necesarios se han ingresado presionaremos el botón Generar Certificado de Raíz/Anfitrión. Dependiendo del hardware usado en su IPCOP, el proceso puede tardar bastante tiempo. Además de la generación de los certificados, también se generará un archivo dh (Diffie Hellman). OpenVPN también requiere archivos dh. Por favor, sea paciente. Después de la generación exitosa de los Certificados de raíz/anfitrión necesarios la página de Administración de OpenVPN se abrirá y en la sección Autoridades Certificadoras aparecerá algo como esto:

Agregando una nueva conexión El proceso es bastante sencillo, hay que ir a la sección Estado y Control de Conexiones Net to Net y haga clic en el botón Agregar.

La pantalla de tipo de Conexiones Net to Net se muestra. En esta pantalla se puede seleccionar dos opciones. Seleccione la opción “Red Privada Virtual (VPN) de Red a Red” y el asistente se ejecutara ahora. Esta opción se seleccionará únicamente en el IPCOP A. Este es el primer paso en la creación de una conexión red a red y es durante este proceso que va a introducir la información para generar la conexión para el IPCOP A y cuando esté completo habrá generado y creado un archivo descargable que le permitirá una muy rápida configuración del IPCOP B. Por el momento, no necesitamos preocuparnos por esto ahora. La pantalla de Conexiones privadas Red a Red es mostrada. Esta pantalla se divide en dos Secciones: Conexión y Autenticación. Cada sección tiene un número de entradas como las siguientes:

Nº Nombre del

Campo Descripción Ejemplo

Nombre Ingrese el nombre de la conexión. Este

debe ser único Hamburg

Act As Hay dos opciones, pero para conexiones

Net2NET debe seleccionar esta Open VPN Server.

Open VPN Server

Host/IP para VPN Local

Ingrese la dirección IP de la interfaz RED del IPCOP A

192.168.61.2

Sub-red Local Ingrese la dirección IP de la interfaz

GREEN del IPCOP A. Solo los tres primeros octetos ya que el cuarto es usualmente 0.

192.168.191.0/255.255.255.0

Sub-red OpenVPN Este campo normalmente ya está

completado pero si usted tiene que utilizar una dirección IP diferente modifíquelo de

10.142.81.0/255.255.255.0

acuerdo a sus necesidades. Asegúrese de no crear un conflicto con una dirección IP ya existente en la red Lan o la conexión fallará. Esta debe ser una dirección única y más que nada no debe ser routable.

Protocolo OpenVPN por la Norma RFC utiliza el

puerto 1194 y el protocolo TCP o UDP. Puede usar cualquier conjunto de protocolo/puerto. El único requisito es que si usted tiene una conexión Roadwarrior ya existentes tienen que ser diferentes combinaciones de puerto/protocolo.

UDP

Compresión LZO Es un algoritmo de Compresión Dinámica

que puede mejorar el rendimiento. Añade un solo byte para el paquete de datos y no comprimirá los datos a menos que se pueden comprimir.

Chequear

MTU Máxima Unidad de Transmisión. Esto

puede ser ajustado para que la conexión tenga la menor cantidad de paquetes fragmentados al volver. Normalmente es 1400 pero puede ser otro número, dependiendo del MTU de tu conexión a Internet.

1400

Observación Esto es opcional, y puede utilizarse para

describir con más detalle las conexiones cuando usted tiene más de una.

Conexión OpenVpn entre Hambur <-> Paris

Activo Esta casilla habilita y deshabilita una

conexión. Chequear para habilitar

Editar los ajustes avanzados una vez terminado

Esto es opcional, pero mostrará otras opciones que controlan el comportamiento de su conexión. ADVERTENCIA El cambio de estas opciones o alguna de las opciones existentes de una conexión net2net en funcionamiento podría causar algún fallo. Usted debe realizar cambios simultáneamente en ambos IPCOP. Si están alejados entre sí, entonces debe tener una manera de poder controlar remotamente el IPCOP B sin depender del software de ZERINA.

Dejar deschequeado

Host/IP remoto Dirección IP de la interfaz RED del IPCOP

B 192.168.61.3

Subnet remota Dirección IP de la interfaz GREEN del

IPCOP B. 192.168.85.0/255.255.255.0

Puerto de destino Por las normas RFC este es el 1194, pero

puede ser cualquier puerto disponible no utilizado. El puerto de destino debe coincidir entre el IPCOP A y el B.

1194

Encriptación Configuración de Cifrado para la conexión

VPN. OpenVPN soporta cualquier método de cifrado soportado por OpenSSL. BF-CBC-Blowfish es muy bueno y rápido pero si quieres niveles más altos de encriptación

BF-CBC

entonces puedes intentar lo siguiente: AES-192-CBC o AES-256-CBC.

Cargar un certificado solicitado

Le permite cargar una solicitud de certificado sin firmar y tener la Certificación de Autoridades Raíz/Anfitrión del IPCOP A cargado sin firmar. En el item #19 es donde usted introduce la ruta y el nombre del archivo.

No Usado

Cargar un certificado

Esto le permite importar un certificado firmado para usar con esta conexión. CLAVE : Las conexiones deben utilizar los certificados firmados por el mismo CA. Si no están firmados por el mismo CA la conexión VPN no se establecerá. En el item #19 es donde usted introduce en la ruta y el nombre del archivo.

No Usado

Generar Certificado

Tendremos que generar un certificado para usar en los dos extremos de la conexión. Tendremos que completar los campos 20-26, pero no completar los puntos 27 y 28. ADVERTENCIA : ZERINA Net2Net en este momento no soporta el uso de las conexiones protegidas por contraseñas.

Seleccione el botón de radio

Nombre del archivo

Nombre del archive usado por cualquiera de las opciones #17 o #19.

No Usado

Nombre completo del usuario o nombre del Sistema

Nombre de la conexión (este debe ser descriptivo).

ParisHH

Dirección E-mail del usuario

Esto es opcional, pero es una buena idea completarlo.

Buena idea completarlo

Departamento del usuario

Esto es opcional, pero es una buena idea completarlo.

Buena idea completarlo

Nombre de la Organización

Esto debería estar ya completado. Esta información es heredado del Certificado de Host.

Hamburg

Ciudad Esto debería estar ya completado. Esta

información es heredado del Certificado de Host.

Hamburg

Estado o Provincia Esto debería estar ya completado. Esta

información es heredado del Certificado de Host.

Hamburg

País Esto debería estar ya completado. Esta

información es heredado del Certificado de Host.

Germany

Contraseña del archivo PKCS12

Por ahora déjelo en blanco Dejar en blanco

28 Confirmación de la contraseña del archivo PKCS12

Por ahora déjelo en blanco Dejar en blanco

Cuando haya completado todos los campos deberá ver algo como esto. Pero adaptado a sus necesidades en particular.

El último paso en el proceso es pulsar el botón Guardar, situado en la parte inferior. Esto tardara unos segundos para que los datos sean guardados y ZERINA creará el archivo zip necesario para usar con el IPCOB B.

Descarga del paquete cliente Después de haber guardado la configuración para el IPCOP A, ZERINA volverá a la página de administración. Usted debe ver una conexión Net2Net nueva en la sección Estado y Control de Conexiones Red a Red.

Aquí se muestra una serie de información muy útil. Además de decirnos acerca de la conexión y su nombre también nos dice por cuánto tiempo es válido. A su vez nos proporciona las herramientas necesarias para gestionar el estado de la conexión.

El campo del estado de la conexión puede tener tres opciones:

1. El estado CERRADO es la condición para nuevas conexiones. Siempre será Rojo. Esto significa que la conexión no está activa por el momento.

2. El estado CERRADO en azul significa que la conexión está Deshabilitada y la casilla de verificación estará sin marcar.

3. El estado ABIERTO en verde significa que la conexión está abierta y activa.

En la sección Estado y control de conexiones Red a Red debe aparecer el siguiente icono o el estilo anterior de OpenVPN, con el prisma. Cuando el Mouse este encima de este se le notificará que puede descargar el paquete cliente. El resultado de la descarga será utilizado por el IPCOP B para crear la conexión. Al hacer clic en este icono se le mostrará las opciones de descarga para que usted elija la forma de descargar el paquete cliente. Se le mostrará la siguiente pantalla:

Dependiendo de su navegador, en este caso se usa FireFox, se mostrará una opción para que seleccione si desea descargar y guardar archivo zip en el disco local o en algún otro medio. Algunos navegadores, como IE 6 y 7 en XP y Vista mostraran un mensaje de advertencia acerca si de desea descargar este tipo de archivo. Si usted es curioso en cuanto al contenido del archivo HamburgParris.zip del IPCOP A; notará que hay dos archivos. Ellos son ParisHH.p12 y el archivo .conf de OpenVPN. El archivo .conf tiene una serie de datos dentro. La sintaxis del archivo .conf es opción-valor. Si usted está interesado en saber más acerca de lo que significan y cómo afectan a su red, por favor visite www.openvpn.net y luego vaya a la página de documentación. El manual para 2.0.x es de aproximadamente 44 páginas. dev tun tun-mtu 1400 proto udp port 1194 ifconfig 10.142.81.2 10.142.81.1 remote 192.168.61.2

tls-client pkcs12 ParisHH.p12 route 192.168.80.0 255.255.255.0 keepalive 10 60 cipher BF-CBC comp-lzo verb 3 #192.168.85.0 255.255.255.0 Para aquellos curiosos. El archivo Openvpn.conf del IPCOP A contiene la siguiente información: dev tun tun-mtu 1400 proto udp port 1194 ifconfig 10.142.81.1 10.142.81.2 remote 192.168.61.3 tls-server ca /var/ipcop/ovpn/ca/cacert.pem cert /var/ipcop/ovpn/certs/servercert.pem key /var/ipcop/ovpn/certs/serverkey.pem dh /var/ipcop/ovpn/ca/dh1024.pem route 192.168.85.0 255.255.255.0 keepalive 10 60 cipher BF-CBC comp-lzo verb 3 #192.168.80.0 255.255.255.0 Estamos casi listos para la creación de una conexión Net2Net con ZERINA. Ahora tenemos que dirigir nuestra atención al IPCOP B. La dirección IP para IPCOP B es 192.168.85.2. Vamos a usar de nuevo PuTTY y WinSCP como lo hicimos antes para el IPCOP A.

Subir un paquete cliente de ZERINA

Se presume que ya hemos instalado el software de ZERINA. Así que ahora sólo tenemos que seguir los pasos que hicimos antes para generar el Certificado raíz y anfitrión. En nuestro ejemplo esto es lo que ingresamos para el Certificado de Autoridad de París HH.

Vamos a Generar Certificados de Raíz/Anfitrión.

Una vez que hemos generado el Certificado Raíz/Anfitrión debemos ver que aparece en la página de administración en la parte de Autoridades Certificadoras.

El siguiente paso consiste en importar el archivo que guardamos del IPCOP A. Tendremos que ir a la sección Estado y control de conexiones Red a Red y seleccione Agregar.

Cuando seleccione Agregar se mostrará una pantalla con dos opciones, sin embargo a diferencia de las pasos realizados en el IPCOP A seleccionaremos “upload a ZERINA Net-to-Net package”.

Haga clic en el botón Examinar para buscar el archivo que desea subir. Una vez que haya encontrado el archivo haga clic en el botón Agregar.

Usted está a punto de añadir la información de la conexión y podrá revisar el resultado de la importación. Si lo desea, puede comprobar que todo coincide con lo que usted ha introducido. Una causa común de fracasos de la conexiones es la dirección IP incorrecta de alguno de los IPCOP o que estas estén en conflicto.

Al hacer clic en “Aprobado”, se iniciará el proceso de importación del archivo zip. Cuando el proceso de importación se complete será llevado a la página de administración y en la sección Estado y Control de Conexiones Red a Red verá que el estado es CERRADO en azul. Simplemente marque la casilla vacía que esta debajo de Acción

Una vez que haya tildado esta casilla, el estado debe cambiar a ABIERTO si todo fue correctamente introducido. Una diferencia a señalar aquí es que en el IPCOP B no hay opciones en la parte de Acción. No es necesario ya que la importación de certificados no es desde el IPCOP B en A y los controles más importantes para el IPCOP B son Habilitar, Deshabilitar la conexión y para eliminar la conexión cuando ya no es necesaria. Observe también en Observación dirá “imported”. Se trata de una forma rápida de dar a conocer la máquina que usted está conectado. En este caso es el IPCOP B, ya que siempre la importación será al IPCOP B. En el IPCOP A se dará cuenta que el Estado también es ABIERTO. Ahora tiene un túnel abierto y podemos probarlo. Hay varias formas de determinar el estado de una conexión. Una de las maneras más fáciles es utilizar el comando ping o usar el navegador para ir a la página de administración del IPCOP. En cualquier caso, la dirección IP es 192.168.85.2. Si puede navegar o hacer ping a esta dirección IP con éxito el túnel está abierto. La última prueba es hacer un ping o ver si se puede acceder a los recursos de red que no sean del IPCOP B.

Archivos de Log

ZERINA integra la función de Logging con las funciones de Logging de IPCOP. Usted puede utilizar estos registros para obtener una información más detallada sobre la situación de una conexión y puede ayudarle a localizar algún problema que pueda tener. Desde las pestañas de menú del IPCOP notará que una dice LOGS, haga clic en éste y, a continuación, seleccione Registros de Sistema. Desde el menú desplegable seleccione OpenVPN. En el archivo de log verá una serie de entradas.

Si bien esto es sólo un ejemplo, un IPCOP puede tener múltiples conexiones Net2Net. La única limitación es su creatividad y sus necesidades. En este documento no cubriremos las Opciones Avanzadas. Estas se contemplarán en los documentos seguidos a este, donde se explicarán la mayoría de las opciones que hay realmente, para las personas que necesiten configuraciones avanzadas. Las personas promedio, no necesitarán tocar estas opciones. Sin embargo, voy a tocar varios items de interés de la pantalla de Opciones Avanzadas. La primera es la opción Redirect-Gateway def1. Esta opción puede aumentar la seguridad, pero tiene algunas implicaciones para el DHCP y los clientes Windows. Lo que esto hace es obligar que todo el tráfico pase por que túnel y esto puede ser lo usted quiere si tiene políticas para controlar donde la gente puede navegar. El inconveniente es que va a hacer la conexión net2net más lenta. Aquí se da una descripción más detallada a partir de la página 2.0.x de OpenVPN. --redirect-gateway [local] [def1] (Experimental) ejecuta automáticamente los comandos de ruteo para que todo el tráfico saliente IP sea redireccionado a través de la VPN. Esta opción lleva a cabo tres pasos:

(1) Crea una ruta estática para la dirección - -remote que hará un fordward a la puerta de enlace preexistente. Esto se hace para (3) no crear un bucle de enrutamiento.

(2) Borra la puerta de enlace por defecto. (3) Establece la dirección final de la VPN como la nueva puerta de enlace por defecto

(derivados ya sea de --route-gateway o del segundo parámetro para –ifconfig cuando --dev tun esta especificado)

Cuando el túnel esta caído, todos los pasos anteriores se invierten de manera que la ruta por defecto original se restablece. Se debe añadir la bandera local OpenVPN si ambos servidores están directamente conectados a través de una subred, como con la tecnología inalámbrica. La bandera local hará que el paso 1 anterior sea omitido. Añadir la bandera def1 para anular la puerta de enlace por defecto mediante el uso de 0.0.0.0 / 1 y 128.0.0.0 / 1 en lugar de 0.0.0.0 / 0. Esto tiene la ventaja de sobrescribir pero no borrar la puerta de enlace por defecto original. El uso de la bandera def1 es muy recomendable, y en la actualidad está previsto convertirse en una característica por defecto de OpenVPN 2,1. Otra opción es Keppalive (ping/ping-restart). Esto está establecido en 10/60 pero se puede experimentar con diferentes valores. Algunas personas sugieren 10/100. Esto es lo que se dice acerca de este valor en la página de OpenVPN. Ping remoto sobre el canal de control TCP/UDP de paquetes si no se han enviado por lo menos en n segundo (especifique - - ping en ambos lados para que los paquetes sean enviados en ambas direcciones, como los ping OpenVPN no hacen eco como los ping de IP) Cuando se utiliza el modo seguro en uno de los OpenVPN (donde --secret, --tls-server, o --tls-client están especificados) los paquetes del ping son criptográficamente seguros. Esta opción tiene dos usos:

(1) Compatibilidad con el estado de los cortafuegos. El ping periódico asegurará que una regla de estado del cortafuego permite a los paquetes UDP OpenVPN pasar tiempos perdidos.

(2) Proporcionar una base para probar la existencia de los pares a través de la opción --ping-exit. --ping-exit n Causa que OpenVPN salga después de pasar n segundos sin la recepción de un ping u otro paquete de control remoto. Esta opción puede combinarse con --inactive, --ping y --ping-exit para crear dos niveles de inactividad de desconexión. Por ejemplo: openvpn [options...] --inactive 3600 --ping 10 --ping-exit 60 Cuando se usa en ambos lados hará que salir a OpenVPN dentro de 60 segundos si se desconecta, pero va a salir después de una hora si no hay intercambio de datos en el túnel. --ping-restart n Similar a --ping-exit, pero desencadena un reiniciado SIGUSR1 después de n segundos sin pasar recepción de un ping u otro paquete de control remoto.

Esta opción es útil en casos en que el lado remoto tiene una dirección IP dinámica y un bajo TTL y se utilizan DNS para rastrear la dirección IP utilizando servicios como http://dyndns.org/ + un cliente DNS dinámico como ddclient. Si el lado remoto no puede ser alcanzado, un reinicio se desencadenara, causando que el nombre de host utilizado con –remote se re-resuelto (si --resolv-retry es especificado) En modo de servidor, --ping-restart, --inactive o cualquier otro tipo de señal generada internamente siempre se aplicará a instancias de objetos de cliente individuales, nunca al servidor mismo. Tenga en cuenta también que en modo de servidor cualquier señal generada internamente que normalmente causa un reinicio, provocará el borrado del cliente en lugar instancia objeto. En modo de cliente, el parámetro --ping-restart está ajustado por defecto a 120 segundos. Este valor por defecto se mantendrá hasta que el cliente tire un valor a remplazar desde el Server, basado en la configuración de --keepalive en el servidor. Para deshabilitar los 120 segundos por defecto, configure en el cliente --ping-restart en 0. Vea las señales de la sección a continuación para obtener más información sobre SIGUSR1. Tenga en cuenta que el comportamiento de SIGUSR1 puede ser modificado por las opciones --persist-tun, --persist-key, --persist-localip, y --persist-remote-ip. Tambien note que --ping-exit y --ping-restart se excluyen mutuamente y no pueden utilizarse juntas. --keepalive n m Una directiva de ayuda diseñada para simplificar la expresión de --ping y --ping-restart en las configuraciones de modo servidor. Por ejemplo, --keepalive 10 60

Esta es una traducción de la guía en inglés para establecer conexiones Net2Net que está en la página oficial de ZERINA. Trate de adaptar lo más posible la traducción para que no haya diferencias con respecto a la original. Por favor cualquier error en la misma háganmelo saber por medio de un correo electrónico a la dirección que muestro a continuación:

richard07_x@yahoo.com.ar Por ahora esta es la única forma que encontré de contribuir a ZERINA espero que les sea de utilidad.