PDF de programación - BULMA: Freeswan (ipsec) como pasarela para clientes Windows 2ºparte

BULMA: Freeswan (ipsec) como pasarela para clientes Windows 2ºparte

Bisoños Usuarios de GNU/Linux de Mallorca y Alrededores | Bergantells Usuaris de GNU/Linux de Mallorca i

Afegitons

Freeswan (ipsec) como pasarela para clientes Windows 2ºparte (2364 lectures)
Per sakroot, sakroot (http://www.freeswan.org)
Creat el 25/07/2004 07:15 modificat el 25/07/2004 23:59

2ºPart En este mini howto, describo como podemos conectar clientes windows a nuestro servidor
Linux con freeswan 1.96, Hablo tanto de como configurar la maquina Linux, como tambien
configurar el cliente windows (winxp/win2k) he dividido el documento en 2 partes, puesto que me
ocupaba 14 hojas y en bulma no podia poner el minihowto tan grande :)

NTEROPERABILIDAD ENTRE FREESWAN Y WINDOWS

2ªParte

Minihowto freeswan−windows
Licencia GPL
Autor: Diego de León Ojeda (sakroot)

Continuamos el minihowto, que dejamos a medias :)

− Es hora de mover los archivos de los certificados a sus
correspondientes sitios:

cp /etc/ssl/MYCA/linux.freeswan.key /etc/ipsec.d/private/
cp /etc/ssl/MYCA/linux.freeswan.pem /etc/ipsec.d/
cp /etc/ssl/MYCA/cacert.pem /etc/ipsec.d/cacerts
cp /etc/ssl/MYCA/crl.pem /etc/ipsec.d/crls/crl.pem

− Configuraremos nuestro servidor linux para que se entienda con win:

cat > /etc/ipsec.secrets #y pasteamos, en password pones el pass del certificado del server linux

: RSA linux.freeswan.key "password"

− editamos /etc/ipsec.conf

Supongamos que nuestro linux y su subred siempre van a ser "left"
y los equipos que se conecten a el (como los Windows) van a ser right.
Ok, os pongo comentarios de lo que hace cada linea en el archivo y su
configuración correcta:

vi /etc/ipsec.conf

1/8

BULMA: Freeswan (ipsec) como pasarela para clientes Windows 2ºparte

config setup
#aquí ponemos la interfaz a la que va a afectar el túnel siempre
#con ipsecX=interfaz,siendo la X un 0,1,2,3, etc., podemos crear
#muchos interfaces ipsec.

interfaces="ipsec0=wlan0"

klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search

conn %default
#use RSA based authentication with certificates
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
#freeswan security gateway
#left=192.168.1.1
#leftid="@C=ES, ST=SPAIN, L=Valladolid, O=SERVIDOR MEDUSA,
#OU=medusa.homeunix.net"

#el certificado de la maquina local hay que ponerlo siempre
leftcert=linux.freeswan.pem

conn windows
#ponemos any, por si tenemos ip dinamica
# y si tenemos ip fija puedes poner la ip fija,
#pero para probar nuestro primer tunel aconsejo
#dejarlo en any, luego ya experimentareis :)

right=%any

#en la versión 1.96 los certificados hay
#que meterlos en /etc/ipsec.d/.
#Apartir de la 2,x los certificados van en /etc/ipsec.d/certs/

#CERTIFICADO DE NUESTRA MAQUINA WINDOWS
rightcert=windows.freeswan.pem

#dirección del servidor linux
left=192.168.1.1

#con esta opción iran todos los datos a
#cualquier red detrás de nuestro servidor linux−freeswan
#encriptado

leftsubnet=0.0.0.0/0
auto=start

2/8

BULMA: Freeswan (ipsec) como pasarela para clientes Windows 2ºparte

−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

− Configuración de freeswan acabada.

nota: si tenemos iptables para filtrar las conexiones, (como es logico) agregaremos un par de politicas básicas, para que
toda la gente que quiera entrar por el túnel, pueda hacer la autentificación satisfactoriamente.

iptables −I INPUT −i ipsec0 −j ACCEPT

nota2: por cierto si la interfaz que hicimos alias en nuestro ipsec.conf, en la seccion setup interfaces="ipsec0=wlan0",
esta siendo utilizada por otro túnel del tipo openvpn,
paramos el tunel openvpn y despues ya lanzamos ipsec.

− Hora de lanzar nuestro freeswan:

/etc/init.d/ipsec start

− Vista de logs, tenemos varias opciones: D :

tail −n 200 /var/log/auth.log #aquí vemos las autentificaciones de ipsec
tail −n 200 /var/log/daemon.log

luego con la herramienta ipsec, nos dará un
buen diagnostico:

ipsec auto −−status
ipsec auto −−listpubkeys #listará los certificados
#cargados por ipsec

ipsec auto −−listcacerts #para ver el certificado de nuestra
#ca.

ipsec barf #nos dará el log mas detallado

− No es preocupéis mucho de los avisos hasta que no configureis, vuestros clientes, de todos modos, os dejo unos logs
orientativos,
desde que se lanza el daemon, hasta que se establece una ASOCIACION DE SEGURIDAD :D:

Jul 25 03:17:57 MeDuSa ipsec__plutorun: Starting Pluto subsystem...
Jul 25 03:17:57 MeDuSa Pluto[6970]: Starting Pluto (FreeS/WAN Version 1.96)
Jul 25 03:17:57 MeDuSa Pluto[6970]: including X.509 patch (Version 0.9.9)
Jul 25 03:17:57 MeDuSa Pluto[6970]: Changing to directory '/etc/ipsec.d/cacerts'
Jul 25 03:17:57 MeDuSa Pluto[6970]: loaded cacert file 'cacert.pem' (1464 bytes)

3/8

BULMA: Freeswan (ipsec) como pasarela para clientes Windows 2ºparte

Jul 25 03:17:57 MeDuSa Pluto[6970]: Changing to directory '/etc/ipsec.d/crls'
Jul 25 03:17:57 MeDuSa Pluto[6970]: loaded crl file 'crl.pem' (609 bytes)
Jul 25 03:17:57 MeDuSa Pluto[6970]: loaded my X.509 cert file '/etc/x509cert.der' (1077 bytes)
Jul 25 03:17:58 MeDuSa Pluto[6970]: | from whack: got −−esp=3des
Jul 25 03:17:58 MeDuSa Pluto[6970]: loaded host cert file '/etc/ipsec.d/otrocertificado.pem' (3
962 bytes)
Jul 25 03:17:58 MeDuSa Pluto[6970]: loaded host cert file '/etc/ipsec.d/certificado.pem' (395
4 bytes)
Jul 25 03:17:58 MeDuSa Pluto[6970]: added connection description "win2k−eth2"
Jul 25 03:17:59 MeDuSa Pluto[6970]: | from whack: got −−esp=3des
Jul 25 03:17:59 MeDuSa Pluto[6970]: listening for IKE messages
Jul 25 03:17:59 MeDuSa Pluto[6970]: adding interface ipsec0/wlan0 192.168.1.1
Jul 25 03:17:59 MeDuSa Pluto[6970]: adding interface ipsec1/eth2 192.168.0.1
Jul 25 03:17:59 MeDuSa Pluto[6970]: loading secrets from "/etc/ipsec.secrets"
Jul 25 03:17:59 MeDuSa Pluto[6970]: loaded private key file '/etc/ipsec.d/private/clave−privada−server.key' (1720
bytes)
Jul 25 03:17:59 MeDuSa Pluto[6970]: "win2k−eth2": cannot route Road Warrior template
Jul 25 03:17:59 MeDuSa Pluto[6970]: "wifi−lerey": cannot route Road Warrior template
Jul 25 03:17:59 MeDuSa Pluto[6970]: "wifi−ibook": cannot route Road Warrior template
Jul 25 03:17:59 MeDuSa Pluto[6970]: "win2k−eth2": cannot initiate connection without knowing peer
IP address
Jul 25 03:17:59 MeDuSa Pluto[6970]: "wifi−lerey": cannot initiate connection without knowing peer
IP address
Jul 25 03:17:59 MeDuSa Pluto[6970]: "wifi−ibook": cannot initiate connection without knowing peer
IP address

ARRIBA VEMOS EL LOG, SIN CONECTAR CLIENTES A FREESWAN
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

Jul 25 03:34:23 MeDuSa Pluto[345]: "win2k−eth2" 192.168.0.10 #8: responding to Main Mode from unkn
own peer 192.168.0.10
Jul 25 03:34:27 MeDuSa Pluto[345]: "win2k−eth2" 192.168.0.10 #8: Peer ID is ID_DER_ASN1_DN: 'C=ES,
ST=loquesea, L=loquesea, O=loquesea, OU=loqueseat, CN=loquesea
ey, E=loquesea'
Jul 25 03:34:27 MeDuSa Pluto[345]: "win2k−eth2" 192.168.0.10 #8: sent MR3, ISAKMP SA established
Jul 25 03:34:27 MeDuSa Pluto[345]: "win2k−eth2" 192.168.0.10 #9: responding to Quick Mode
Jul 25 03:34:27 MeDuSa Pluto[345]: "win2k−eth2" 192.168.0.10 #9: loquesea

Arriba vemos que el host 192.168.0.10 ha solicitado comunicación, segura, y como lo tenemos autorizado en nuestro
freeswan,
se establecerá la conexión−−> IPsec SA established −−< este mensaje, no sabéis la alegría que da, cuando lo ves por
primera vez

−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

CONFIGURACION DE WINDOWS XP, LA MAS DESEADA XDDD

− lo primero es llevar el certificado "/etc/ssl/MYCA/windows.freeswan.p12" al host windows, yo lo mande por samba
jeje, cada cual que lo mande como quiera.

4/8

BULMA: Freeswan (ipsec) como pasarela para clientes Windows 2ºparte

Una vez en nuestro escritorio el certificado, vamos a esta pagina
web y seguimos el procedimiento que pone:

http://support.real−time.com/open−source/ipsec/index.html
si este link esta anulado hacérmelo saber y os mando el enlace...

− Bien ahora crearemos nuestras políticas para establecer la comunicación con el freeswan.
1º Aseguramos que el servicio esta lanzado, en windows:

inicio−>programas−>herramientas administrativas−>servicios
la directiva ipsec este automática,

2ºnos vamos al archivo en el que instalamos los utils,
c:\ipsec\ipsec.conf y lo editamos. Aquí me entro mucho dolor de
cabeza, porque lo tienes que poner a la perfección
Aun así falla, a veces.
Importante: Antes de editarlo, tener en cuenta que hay que
dejar los tabuladores en el archivo y ponerlo todo tal cual
os lo pongo en el ejemplo de abajo. Si tenéis el problema, que en el
certificado pusisteis un nombre con acentos, o ñ (cosa que no
recomiendo) en linux cuando en la consola pongáis este comando
"openssl x509 −in demoCA/cacert.pem −noout −subject" para
extraer los datos de la CA, os aparecerá caracteres raros, pero no
cometáis el fallo de ponerlo talcual os da la salida, ejemplo:

conn windows

#el any es nuestra dirección ip Windows, pero dejarlo así, por
#si os cambia
left=%any

#direccion ip del server linux,
right=192.168.1.

#ponemos el asterisco para poder conectar a todas las redes
#detrás del gateway
rightsubnet=*

#aquí ponemos lo que hemos abstraído del comando "openssl x509
#−in /etc/ssl/CA−LEREY/cacert.pem −noout −subject", en el
# servidor linux
#Si os dais cuenta, he puesto el acento en CN=Diego de León
#Ojeda, porque si lo ponéis así −> CN=Diego de le\xF3n Ojeda os
#volveréis locos porque no os funcionara el tunel.
rightca="C=ES, S=SPAIN, L=Valladolid, O=MONTAJES ELECTRICOS
LEREY, OU=medusa.lerey.net, CN=Diego de León Ojeda,
[email protected]"

#aquí puede ser lan o rsa, dejarlo en lan, o auto
network=lan

auto=start
pfs=yes

conn linux
left=%any
#nuestra dirección ip de la maquina Windows

5/8

BULMA: Freeswan (ipsec) como pasarela para clientes Windows 2ºparte

right=192.168.0.10

#igual que arriba
rightca="C=ES, S=SPAIN, L=Valladolid, O=MONTAJES ELECTRICOS
LEREY, OU=medusa.lerey.net, CN=Diego de León Ojeda,
[email protected]"
ne