Jan 18

HowTo: VPN / IPSec / L2TP con certificado Thawte o FNMT (III) Configuración L2TPD

Category: Posts

La configuración de de L2TP radica en 3 ficheros:

/etc/l2tpd/l2tpd.conf # Parametros globales de la conexión
/etc/l2tpd/options.l2tpd # Paramatros opcionales de configuración
/etc/ppp/chap-secrets # Fichero de usuario y passwords

No comments

Jan 18

HowTo: VPN / IPSec / L2TP con certificado Thawte o FNMT (II) Configuración OpenSWAN

Category: Posts

LLegados a este punto decir que este ejemplo es para una distribución Debian etch, aunque está probado y funcionando también en ubuntu (LTS y gutsy) y OpenSUSE (10.x).

Instalaremos los siguientes paquetes y sus dependencias que necesitaremos:
# apt-get install openswan l2tpd xl2tpd ipsec-tools openssl

Y ahora la configuracion, que b√°sicamene en OpenSWAN son estos 2 ficheros.

/etc/ipsec.conf : Este fichero configura IPSec y sus conexiones
/etc/ipsec.secrets : Este otro fichero configura la autenticación IKE/IPSec

El resto de ficheros si no se le indica otra cosa en el fichero de configuración estan en: /etc/ipsec.d/

Veamos en ejemplo de la configuración de /etc/ipsec.conf:

version 2.0

config setup
interfaces=%defaultroute
klipsdebug=all
plutodebug=none
nat_traversal=yes
forwardcontrol=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16

conn %default
keyingtries=0
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
left=1.1.1.1
leftnexthop=1.1.1.4
leftcert=mi.servidor.vpn.pem
rightrsasigkey=%cert

conn L2TP-CERT-WINXP-SP
type=transport
leftprotoport=17/1701
right=%any
rightprotoport=17/1701
pfs=no
auto=add

conn L2TP-CERT
type=transport
leftprotoport=0/1701
right=%any
rightprotoport=17/1701
pfs=no
auto=add

Así visto a lo bruto y por primera vez asusta un poco pero intentaré explicarlo brevemente ya que para ir a algo mas profundo los desarrolladores y curran unos buenos manuales y paginas man.

B√°sicamente el fichero consta de 2 partes, la primera ‘config setup’ que es la configuraci√≥n del servidor y luego todas las conexiones que tengamos definidas ‘conn XXXXXX’. Por simplificar lo que dice la configuraci√≥n y no ir √≠nea por l√≠nea explicando cada punto es que la autenticaci√≥n va a ser por certificado: authby=rsasig y en la confugraci√≥n por defecto definimos nuestro lado de la VPN (left) como:

left=1.1.1.1 # La ip WAN de mi servidor VPN
leftnexthop=1.1.1.4 # Gateway del servidor VPN
leftcert=mi.servidor.vpn.pem # Certificado de mi servidor VPN

La siguiente línea rightrsasigkey=%cert nos indica que la autenticación será por fichero de clave RSA. Ese que hemos creado antes llamado certificado_FNMT.rsa y que copiaremos al directorio /etc/ipsec.d/certs/.
Tambi√©n necesitaremos crear nuestra clave p√ļblica y privada para nuestro servidor VPN. Pod√©is seguir una gu√≠a perfecta de como crear dicho certificado adem√°s de como crear diferentes VPN con OpenSWAN y much√≠simo mejor explicado que yo, y eso que est√° en correct√≠simo ingl√©s, aqu√≠
Antes de pasar a explicar la configuración de L2TP quiero explicar que en las conexiones creadas en en fichero de configuracion ipsec.conf de OpenSWAN hay 2 casi iguales : L2TP-CERT-WINXP-SP y L2TP-CERT. Son igules excepto en la configuraciónd el protocolo de transporte y es que el cliente l2tp de Microsoft no trata de la misma manera el protocolo IP dependiendo de la version de S.O y del ServicePack que se tenga instalado.
Para versiones anteriores a WinXP-SP1 será la conexión L2TP-CERT y para versiones con WinXP-SP1 o superior será la L2TP-CERT-WINXP-SP.

No comments

Jan 18

HowTo: VPN / IPSec / L2TP con certificado Thawte o FNMT (I) Creación de certificado

Category: Posts

Escribo este post por 2 motivos muy diferentes, el primero porque tal y como sabe la gente que me conoce, suelo olvidar las cosas con mucha facilidad y el segundo por motivos meramente altruistas.
Recojo en estas l√≠neas un peque√Īo HowTo de c√≥mo crear un servidor Linux / IPSec / VPN / L2TP con certificado digital de la FNMT o thawte. Aunque bien podr√≠a ser con cualquier certificado digital creado por vosotros mismos.
Antes de nada para el que haya hecho su declaración de la renta por INET y posea su certificado digital de la FNMT es ese el que usaremos, para el que no tenga un certificado digital de la FNMT puede descargase uno válido y gratuito de uso personal por una CA reconocida como es thawte en la siguiente dirección: https://www.thawte.com/cgi/enroll/personal/step1.exe.

Partimos de la base que tenemos el certificado exportado en formato .p12 o .pfx y copiado en nuestra m√°quina que har√° de servidor VPN. Lo que vamos a hacer ser√° desmontar el certificado en sus 2 partes, tal y como comenta en su blog alguien con quien comparto muchos genes, incluso m√°s que con la mosca del vinagre.
Desmontamos y sacamos el certificado del fichero exportado.
$ openssl pkcs12 -in certificado_FNMT.p12 -out certificado_FNMT.key -nocerts
La primera password que nos pide es la password que se le puso cuando exportamos el certificado y luego se nos pedirá que le pongamos una nueva password para proteger nuestro fichero certificado_FNMT.key que se creará a continuación.
Ahora extraeremos la clave privada de nuestro fichero certificado_FNMT.key introduciendo la password de uso del mismo
$ openssl rsa -in certificado_FNMT.key -out certificado_FNMT.rsa
Una vez hecho esto ya teneos nuestra clave privada en el fichero certificado_FNMT.rsa

No comments

Jan 18

¬°¬°¬° I’m alive …. !!!

Category: Posts

Si, ya se que hace tiempo que no escribo, y esto s√≥lo lo leo yo, pero este post es para recordarme a m√≠ mismo que tengo retomar esto cuando Muchachito Bombo-Infierno (AKA Daniel) y La Mala Rodr√≠guez (AKA Desita) me permitan continuar…

1 comment

Mar 15

Migraciones

Category: Posts

Soy, como muchos otros, de los que piensan que las migraciones de plataformas han de ser lo menos traumáticas posibles para los usuarios finales que las usan. Mucho se ha escrito también de como se pueden hacer y también muchos que migran en una noche y al día siguiente los usuarios se encuentran con su flamante LINUX de escritorio en sus puestos de trabajo.
As√≠ que dicho todo estos sabr√©is que antes de realizar la migraci√≥n soy de la opni√≥n de que al usuario hay que darle un tiempo para habituarse a sus nuevas aplicaciones (FireFox, OpenOffice, Thunderbird, etc…) y que mejor que √©stas para empezar. Personalmente uso todas las anteriores y no, no uso Windows, perd√≥n, si que lo uso, ¬Ņ que quer√©is ? en alg√ļn sitio he de jugar al Call of Duty 2.
Pero a lo que iba, la peor migración de todas (para mí) es la llamada de agujero negro. Sí, esa en la que cuando caes no puedes salir, y no es otra que Outlook y Exchange. Cuantos rompimientos de cabeza, pruebas con conectores y demás hasta que porfín lo encontré, y ha estado allí todo este tiempo y no es otra cosa que el fantástico servidor KOLAB.
En cuanto lo acabe cuelgo como montarlo….

No comments

Dec 13

NeXTcube

Category: Posts

NeXTcube img
Que mejor manera que de empezar con un post que mostrando el primer servidor WEB del mundo. El que usaba por 1989 Tim Berners-Lee. Una workstation de NeXT (un NeXTcube), que llevaba incorporada como extras una de las mejores cosas que describen lo que es un servidor, la pegatina de aviso con el siguiente texto.
“This machine is a server. DO NOT POWER IT DOWN!!”
Una copia original de la primera página web, creada por Berners-Lee, podeis encontrarla aquí

No comments

Nov 26

Hello world!

Category: Posts

No he querido cambiar el texto por defecto de este primer post por 2 motivos, a saber:
1.- Por mi mas absoluta admiración a los creadores del proyecto ENQUIRE allá por 1989 y a su progenitor Tim Berners-Lee por haber regalado al mundo el World Wide Web.
2.- Por que esto es un Blog (o bit√°cora), o lo que es lo mismo, un sitio donde cada uno expresa lo que siente, opina, motiva, etc…
Y es a este √ļltimo punto donde quer√≠a yo llegar, por eso el t√≠tulo de este sencillo blog.
PENSAMIENTOS EN VOZ ALTA. Que mejor manera de definir lo que es este blog y el uso que se le va a dar.

No comments