PDF de programación - Conexiones VPN con PPTP bajo Linux

Conexiones VPN con PPTP bajo Linux

Índice

Redes privadas virtuales y pptp
Requisitos
Instalación y configuración de pptp
Depurando errores
Configuración de clientes pptp
Bibliografia y referencias

Por Jordi Ivars Oller
Mayo del 2004

1.- Redes privadas virtuales y pptp.

Una red privada virtual consiste en dos máquinas (una en cada "extremo" de la conexión)
y una ruta o "túnel" que se crea dinámicamente en una red pública o privada. Para asegurar la
privacidad de esta conexión los datos transmitidos entre ambos ordenadores son encriptados por el
Point-to-Point protocol (PPP), un protocolo de acceso remoto, y posteriormente enrutados o
encaminados sobre una conexión previa (también remota, LAN o WAN) por un dispositivo PPTP. En
el entorno Windows 95 o NT 4.0, este dispositivo se conoce como adaptador de red privada virtual.

El PPTP es un protocolo de red que permite el tráfico seguro de datos desde un cliente remoto a un
servidor corporativo privado, estableciéndose así una Red Privada Virtual (VPN) basada en TCP/IP.
PPTP soporta múltiples protocolos de red (IP, IPX y NetBEUI) y puede ser utilizado para establecer
dichas redes virtuales a través de otras redes públicas o privadas como líneas telefónicas, redes de
área local o extensa (LAN's y WAN's) e Internet u otras redes públicas basadas en TCP/IP.

El escenario más común para el funcionamiento de una vpn sobre protocolo pptp es el siguiente:
Una máquina cliente (Windows 9x, XP o Windows 2000) se conecta a un Proveedor de Servicios de
Internet (ISP) utilizando una conexión de acceso telefónico a redes o bien usando una típica
conexión ADSL o cablemodem.
En otro punto de Internet existe una máquina (por ejemplo, un servidor Linux) ofreciendo servicio de
conexión pptp. El cliente puede en ese momento lanzar una conexión de acceso remoto usando su
adaptador de red privada virtual a dicho servidor, creándose un túnel privado sobre Internet que
conecta ambas máquinas como si estuvieran en la misma red local, pudiendo así tener acceso a
recursos compartidos tales como carpetas o impresoras.

Este escenario puede variar según el tipo de conexión que tengan tanto el cliente como el servidor.
Organizaciones con acceso permanente a Internet, pueden configurar servidores de acceso remoto
para que soporten PPTP. Esto permite que colaboradores en cualquier parte del mundo puedan
conectarse a ellos, usando sus accesos a Internet habituales. Así, será posible participar de los
recursos de la red corporativa y con seguridad garantizada grácias a los sistemas de encriptación de
128 bits.

2.-Requisitos.

Para configurar una vpn bajo protocolo pptp necesitamos un servidor, un cliente (tantos

como deseemos) y una conexión a Internet para cada uno de ellos.

El servidor puede ser una distribución cualquiera de Linux configurada con el servicio Poptop
(www.poptop.org), que es el encargado de ofrecer conexiones PPTP. No necesita grandes requisitos
de hardware y con un simple Pentium 300 con 128 megas de RAM podremos ofrecer conexiones a
la vpn a un máximo de 15 a 20 clientes.

El cliente puede ser una máquina con cualquier Windows, desde Windows 98 hasta Windows 2003,
pasando por XP o Windows 2000. En todo caso, se recomienda usar Windows 2000 o XP ya que su
soporte de compresión de tráfico y su mayor nivel de encriptación ofrecerán un mejor rendimiento al
conectarse a la vpn.
En cuanto a los protocolos de red necesarios, PPTP permite el uso de redes privadas virtuales
sobre redes TCP/IP ya existentes, como Internet, pero preservando el uso de los protocolos de red,
direcciones de nodo y nombres de máquinas ya existentes en la red privada. Por tanto, no se
requiere el uso de nuevos protocolos ni cambios en las aplicaciones de red.
Mediante el "túnel privado" que se establece a través de la red pública TCP/IP, pueden usarse, por
ejemplo, los protocolos IPX y NetBEUI usados en la red privada para la ejecución de las
aplicaciones de red.

Por otro lado, los métodos de resolución de nombres de la red privada (WINS, DNS, SAP) no
necesitan modificarse. Además, en el caso de las direcciones IP, pueden usarse para la red privada
direcciones no válidas en Internet. Por ejemplo, una organización puede usar internamente un
conjunto de direcciones IP de clase B sin preocuparse de que dichas direcciones ya estén siendo
utilizadas por otra en Internet. Sin embargo, tanto el servidor PPTP como el cliente tienen que tener
asignadas direcciones IP válidas en Internet antes de poder establecer el "túnel". En ese momento
cada uno tendrá dos direcciones IP, una válida en Internet y otra válida en la red privada. PPTP se
encargará de "encapsular" los paquetes IP con destino a la red privada dentro de otro paquete que
viajará por la red pública (Internet) hasta el servidor PPTP. Éste extraerá el paquete IP con destino a
la red privada y se lo transmitirá.

En cuanto a las garantias de seguridad que ofrece PPTP, la autentificación de usuarios se realiza a
través de los protocolos PAP y CHAP). PPTP hace uso de la seguridad que da el protocolo PPP. La
autentificación MS-CHAP se utiliza para validar las credenciales del usuario remoto contra dominios
NT a través del servidor Linux con PPTP, capaz de emular cualquier tipo de conexión y protocolo
desde y hacia sistemas Windows.
Sólo los usuarios con permiso para ello pueden realizar la conexión. Una vez que se comprueba que
el usuario tiene permiso (es decir, que su nombre de usuario y contraseñas existen) para iniciar una
sesión, se genera una "llave" de 40 bits en Windows 98 y NT y de 128 bits en XP y Windows 2000 a
partir de la clave del usuario (llave que SIEMPRE viaja ya encriptada por la red) que es utilizada
para encriptar a su vez los datos del usuario (encriptación RC-4).

3.-Instalación y configuración de pptp en Linux.

En Linux tenemos soporte para vpns bajo protocolo pptp grácias al proyecto Poptop,

encargado de la creación del programa pptpd que es el que usaremos para crear nuestra vpn.
Básicamente y con el uso de este programa, conseguiremos que los clientes Windows accedan a
nuestra red local asignándoles un interfaz de red nuevo en el servidor pptp (un interfaz que
realmente es virtual, no va asociado a ningún hardware en especial) con una dirección IP capaz de
llegar a nuestra redes locales. El procolo pptp, al estar basado en conexiones punto a punto con
protocolo ppp, creará en nuestro servidor sencillos interfaces ppp. A cada conexión pptp nueva
tendremos un nuevo interfaz ppp, empezando desde el ppp0 y subiendo a 1, 2, 3, etc a cada nueva
conexión simultánea que obtengamos.

Para la instalación del soporte pptp para Linux tenemos dos opciones, o bien usar el soporte pptp
simple sin encriptación, con el cual nos ahorramos tener que modificar nuestro kernel (el núcleo del
sistema) para añadirle soporte de encriptación MPPE o bien optar por acabar modificando nuestro
kernel para añadirle dicho soporte, con lo que obtendremos un sistema mucho mas seguro al estar
protegido por una potente encriptación de hasta 128 bits.

En el primero de los casos, y para empezar con el segundo, necesitaremos el paquete que nos
proporciona el sistema de vpn por pptp que podremos obtener desde la web del proyecto Poptop
(www.poptop.org) o en otros casos obtener el paquete desde nuestra propio distribución, que
normalmente recibirá el nombre de pptpd (como por ejemplo en Debian o RedHat, ya sea en
formato .deb o en formato .rpm, dependiendo de nuestra distribución).

Su instalación es sencilla y de configuración muy facil, ya sea instalando el paquete de nuestra
distribución o compilándolo nosotros mismos.

Tendremos tres archivos básicos que tendremos que controlar para poder poner en marcha nuestra
vpn con pptp. Estos tres archivos son:

/etc/pptpd.conf
/etc/ppp/pptpd-options

/etc/ppp/chap-secrets

Por otro lado, tenemos el archivo /etc/init.d/pptpd con el cual, pasándole la orden stop o start
podremos arrancar o parar nuestra vpn.

Veamos el primero de los archivos de configuración, el /etc/pptpd.conf:

################################################################################
#
# Sample PoPToP configuration file
#
# for PoPToP version 0.9.12
#
################################################################################

# TAG: speed
#
# Specifies the speed for the PPP daemon to talk at.
#
speed 115200

# TAG: option
#
# Specifies the location of the PPP options file.
# By default PPP looks in '/etc/ppp/options'
#

option /etc/ppp/pptpd-options

# TAG: debug
#
# Turns on (more) debugging to syslog
#

#debug

# TAG: localip
# TAG: remoteip
#
# Specifies the local and remote IP address ranges.
#
# You can specify single IP addresses seperated by commas or you can
# specify ranges, or both. For example:
#
# 192.168.0.234,192.168.0.245-249,192.168.0.254
#
# IMPORTANT RESTRICTIONS:
#
# 1. No spaces are permitted between commas or within addresses.
#
# 2. If you give more IP addresses than MAX_CONNECTIONS, it will
# start at the beginning of the list and go until it gets
# MAX_CONNECTIONS IPs. Others will be ignored.
#
# 3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,

# you must type 234-238 if you mean this.
#
# 4. If you give a single localIP, that's ok - all local IPs will
# be set to the given one. You MUST still give at least one remote
# IP for each simultaneous client.
#

localip 192.168.2.1
remoteip 192.168.5.1-100

Este archivo tiene muy pocas opciones de configuración que necesitemos considerar. Las opcion
speed no tiene ninguna utilidad si nuestro servidor va a funcionar sobre redes ethernet. Pongamos
lo que pongamos, siempre irá a la máxima velocidad que nuestra red permita.
La opción debug nos permitirá ver en los