PDF de programación - Configuración de una VPN entre un cliente MS Windows y servidor GNU/Linux

Imágen de pdf Configuración de una VPN entre un cliente MS Windows y servidor GNU/Linux

Configuración de una VPN entre un cliente MS Windows y servidor GNU/Linuxgráfica de visualizaciones

Publicado el 3 de Mayo del 2017
344 visualizaciones desde el 3 de Mayo del 2017
623,3 KB
27 paginas
Conguracin de una VPN entre un

cliente MS Windows y servidor

GNU/Linux

Sergio GonzÆlez GonzÆlez

Instituto PolitØcnico de Bragrana (http://www.ipb.pt/), Portugal

sergio.gonzalez@hispalinux.es

Documento explicativo sobre como congurar una red privada virtual entre una red empresarial, cuyo
punto de salida hacia Internet es una mÆquina con GNU/Linux, y un sistema MS Windows XP (bien
sea un ordenador portÆtil o un PC).

1. Introduccin

A lo largo del presente documento explicarØ la forma de congurar una mÆquina GNU/Linux para que actue
como gateway de una empresa y permita la conexin de un cliente MS Windows XP (este puede ser un portÆtil o
un PC) mediante una red privada virtual (VPN) a la red empresarial.

El esquema de red se muestra en la siguiente imagen1:

1

Conguracin de una VPN entre un cliente MS Windows y servidor GNU/Linux

La tecnologa elegida para la conguracin de la red privada virtual es IPSec. La implementacin elegida para
dar soporte IPSec en GNU/Linux ha sido FreeS/WAN y los Parches X.509 para permitir una autentiacin
segura. En MS Windows XP se utilizarÆ la implementacin IPSec del propio sistema operativo y la herramienta
VPN de Marcus Mller.

Nota: Para la realizacin de este documento se ha tomado como guia principal la entrada bibliogrÆca:
NateCarlson1

2. Software necesario

Para poner en funcionamiento nuestra red privada virtual, necesitamos el siguiente software:

FreeS/WAN
Los Parches X.509 para FreeS/WAN
Parches de encriptacin para aæadir mœltiples algoritmos de encriptacin (opcional).
La herramienta VPN de Marcus Mller para Windows 2000/XP.
OpenSSL

3. Instalacin de FreeS/WAN y los parches X.509

Los parches X.509 son necesarios para permitir a FreeS/WAN trabajar con un cliente Windows 2000/XP nativo.

Antes de instalar el paquete FreeS/WAN, es necesario aplicar los parches X.509 al cdigo fuente de FreeS/WAN.
La forma de hacerlo se puede obtener de los propios paquetes de X.509 o de la entrada bibliogrÆca:
AndreasSteffen1 (Puntos 1 a 4 de la ’Section 3: Installation’).

De todas formas, en las siguientes secciones veremos la forma de instalar el software necesario a partir del
cdigo fuente de las apliaciones:

Nota: Para el proceso de instalacin de FreeS/WAN y de la aplicacin de los Parches X.509 se han tomado
como guias las entradas bibliogrÆcas: DocFreeS/WAN y AndreasSteffen1, respectivamente.

3.1. Obtencin del cdigo fuente de las aplicaciones

Baje el cdigo fuente de la pÆgina principal de FreeS/WAN y de los Parches X.509.

2

Conguracin de una VPN entre un cliente MS Windows y servidor GNU/Linux

3.2. Comprobacin de la rma y md5 de los programas

Una vez tenemos el software almacenado en nuestro ordenador, vericamos la procedencia del mismo y si se ha
bajado correctamente, para ello es necesario obtener las claves pœblicas de los respectivos mantenedores de los
paquetes. El archivo que contiene la clave pœblica de FreeS/WAN se denomina freeswan-sigkey.asc y el de
los Parches X.509 andreas_steffen.asc.

Importamos dichas claves a nuestro anillo de claves:

$ gpg --import freeswan-sigkey.asc
gpg: clave 46EAFCE1: clave pœblica "Linux FreeS/WAN Software Team <build@freeswan.org>" importada
gpg: Cantidad total procesada: 1
gpg:
importadas: 1
$ gpg --import andreas_steffen.asc
gpg: clave 40995359: clave pœblica "Andreas Steffen <andreas.steffen@strongsec.net>" importada
gpg: Cantidad total procesada: 1
gpg:
importadas: 1

(RSA: 1)

(RSA: 1)

Antes de vericar la rma, comprobamos que el md5 estÆ correcto:

$ md5sum -cv freeswan-2.04.tar.gz.md5
freeswan-2.04.tar.gz Correcto
$ md5sum -cv x509-1.4.8-freeswan-2.04.tar.gz.md5
x509-1.4.8-freeswan-2.04.tar.gz Correcto

Vericamos la rma del cdigo fuente:

$ gpg --verify freeswan-2.04.k2.4.patch.gz.sig freeswan-2.04.k2.4.patch.gz
gpg: Firma creada el mar 11 nov 2003 21:40:35 WET usando clave RSA ID 46EAFCE1
gpg: Firma correcta de "Linux FreeS/WAN Software Team <build@freeswan.org>"
$ gpg --verify x509-1.4.8-freeswan-2.04.tar.gz.sign x509-1.4.8-freeswan-2.04.tar.gz
gpg: Firma creada el vie 14 nov 2003 21:40:35 WET usando clave RSA ID 40995359
gpg: Firma correcta de "Andreas Steffen <andreas.steffen@strongsec.net>"

3.3. Descompresin y desempaquetado del software

Descomprimimos y desempaquetamos el software en el lugar elegido, por ejemplo en /usr/src:

$ tar xzvf freeswan-2.04.tar.gz -C /usr/src
$ tar xzvf x509-1.4.8-freeswan-2.04.tar.gz -C /usr/src

3.4. Aplicando los parches X.509 a FreeS/WAN

Aplicamos los parches X.509 a FreeS/WAN:

$ cd /usr/src/freeswan-2.04/
$ cat ../x509-1.4.8-freeswan-2.04/freeswan.diff |patch -p1

3

Conguracin de una VPN entre un cliente MS Windows y servidor GNU/Linux

En estos momentos, si todo ha ido bien, ya estamos en disposicin de compilar e instalar el software.

3.5. Compilando e instalando FreeS/WAN

La forma elegida para aæadir el soporte IPSec al nœcleo Linux, es parcheando las fuentes de Linux y compilando
un nuevo nœcleo. Para ello, supondremos que las fuentes de Linux estÆn en el directorio /usr/src/linux.

Antes de aplicar el parche FreeS/WAN, ha de congurar y compilar el nuevo nœcleo. Una vez que ha nalizado,
acceda al cdigo fuente de FreeS/WAN y teclee:

$ cd /usr/src/freeswan-2.04/
$ make menugo
# make minstall

Al nalizar el proceso dispondremos tanto de las herramientas de espacio de usuario de FreeS/WAN como de los
mdulos necesarios para dar soporte IPSec al nœcleo Linux. Ahora slo le queda instalar el nuevo nœcleo y
reiniciar el sistema.

Nota: La distribucin Debian GNU/Linux ya provee las herramientas de espacio de usuario empaquetadas
(con los Parches X.509 aplicados). Por lo que bastara con ejecutar el siguiente comando para tenerlas
completamente operativas:

# apt-get install freeswan

Debian tambiØn provee un parche para el nœcleo debidamente preparado y parcheado, si quiere hacer uso
del mismo, pruebe a instalar el paquete kernel-patch-freeswan

4. Creacin de una entidad certicadora

Una de las partes mÆs importantes de la conguracin, es la creacin de una entidad certicadora2. Para ello es
necesario instalar OpenSSL (http://www.openssl.org/)3 y una vez instalado, hacer nuestro certicado de
autoridad. La forma de hacerlo se detalla en los siguientes pasos4:

i. Edite el archivo /etc/ssl/openssl.cnf y cambie la opcin ’default_bits’ de 1024 a 2048 y la opcin

’default_days’ a 365 (o similar)5.

ii. Creamos un directorio para almacenar el nuevo certicado (algo similar a /var/tmp/sslca) y le cambiamos

los permisos a 700, para impedir que los usuarios tengan acceso al certicado.

iii. Edite el chero /usr/lib/ssl/misc/CA.sh y cambie la lnea ’DAYS="days 365"’ por un valor muy
elevado6. Asegœrese de que este nœmero es mayor que el establecido en el primer punto, o Windows no
aceptarÆ sus certicados.

iv. Ejecute el comando:

# /usr/lib/ssl/misc/CA.sh -newca

Y siga los pasos como se muestra a continuacin. La letra en negrita es el texto que yo he tecleado:

4

Conguracin de una VPN entre un cliente MS Windows y servidor GNU/Linux

Importante: No utilice caracteres especiales, como guiones, signos de suma, tildes, etc.; estos pueden
confundir a la implementacin IPSec de MS Windows.

# /usr/lib/ssl/misc/CA.sh -newca
CA certificate filename (or enter to create)

(enter)
Making CA certificate ...
Generating a 2048 bit RSA private key
.......+++
..................+++
writing new private key to ’./demoCA/private/./cakey.pem’
Enter PEM pass phrase:ca-password(enter)
Verifying - Enter PEM pass phrase:ca-password(enter)
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ’.’, the field will be left blank.
-----
Country Name (2 letter code) [AU]:PT(enter)
State or Province Name (full name) [Some-State]:Braganca(enter)
Locality Name (eg, city) []:Braganca
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Instituto Politecnico de Braganca(enter)
Organizational Unit Name (eg, section) []:Comunicacoes(enter)
Common Name (eg, YOUR name) []:Sergio Gonzalez Gonzalez(enter)
Email Address []:sergio.gonzalez@hispalinux.es(enter)

Una vez nalizado el proceso de generacin, ya disponemos de una entidad certicadora, con la cual podremos
crear certicados.

5. Generacin de los certicados

Lo primero que ha de hacer es genearar los certicados para su mÆquina gateway. Los pasos que se listan a
continuacin serÆn los mismos que deberÆ seguir si quiere generar certicados para otras mÆquinas.

i. Generamos el certicado en cuestin, como se muestra en la siguiente captura de pantalla:

# /usr/lib/ssl/misc/CA.sh -newreq
Generating a 2048 bit RSA private key
..................................................+++
.....................................................+++
writing new private key to ’newreq.pem’
Enter PEM pass phrase:req-password(enter)
Verifying - Enter PEM pass phrase:req-password(enter)
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.

5

Conguracin de una VPN entre un clien
  • Links de descarga
http://lwp-l.com/pdf3315

Comentarios de: Configuración de una VPN entre un cliente MS Windows y servidor GNU/Linux (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad