Archive for January, 2008

HowTo: VPN / IPSec / L2TP con certificado Thawte o FNMT (III) Configuración L2TPD

January 18th, 2008 | Category: Posts

La configuración de de L2TP radica en 3 ficheros:

/etc/l2tpd/l2tpd.conf # Parametros globales de la conexión
/etc/l2tpd/options.l2tpd # Paramatros opcionales de configuración
/etc/ppp/chap-secrets # Fichero de usuario y passwords

No comments

HowTo: VPN / IPSec / L2TP con certificado Thawte o FNMT (II) Configuración OpenSWAN

January 18th, 2008 | Category: Posts

LLegados a este punto decir que este ejemplo es para una distribución Debian etch, aunque está probado y funcionando también en ubuntu (LTS y gutsy) y OpenSUSE (10.x).

Instalaremos los siguientes paquetes y sus dependencias que necesitaremos:
# apt-get install openswan l2tpd xl2tpd ipsec-tools openssl

Y ahora la configuracion, que b√°sicamene en OpenSWAN son estos 2 ficheros.

/etc/ipsec.conf : Este fichero configura IPSec y sus conexiones
/etc/ipsec.secrets : Este otro fichero configura la autenticación IKE/IPSec

El resto de ficheros si no se le indica otra cosa en el fichero de configuración estan en: /etc/ipsec.d/

Veamos en ejemplo de la configuración de /etc/ipsec.conf:

version 2.0

config setup
interfaces=%defaultroute
klipsdebug=all
plutodebug=none
nat_traversal=yes
forwardcontrol=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16

conn %default
keyingtries=0
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
left=1.1.1.1
leftnexthop=1.1.1.4
leftcert=mi.servidor.vpn.pem
rightrsasigkey=%cert

conn L2TP-CERT-WINXP-SP
type=transport
leftprotoport=17/1701
right=%any
rightprotoport=17/1701
pfs=no
auto=add

conn L2TP-CERT
type=transport
leftprotoport=0/1701
right=%any
rightprotoport=17/1701
pfs=no
auto=add

Así visto a lo bruto y por primera vez asusta un poco pero intentaré explicarlo brevemente ya que para ir a algo mas profundo los desarrolladores y curran unos buenos manuales y paginas man.

B√°sicamente el fichero consta de 2 partes, la primera ‘config setup’ que es la configuraci√≥n del servidor y luego todas las conexiones que tengamos definidas ‘conn XXXXXX’. Por simplificar lo que dice la configuraci√≥n y no ir √≠nea por l√≠nea explicando cada punto es que la autenticaci√≥n va a ser por certificado: authby=rsasig y en la confugraci√≥n por defecto definimos nuestro lado de la VPN (left) como:

left=1.1.1.1 # La ip WAN de mi servidor VPN
leftnexthop=1.1.1.4 # Gateway del servidor VPN
leftcert=mi.servidor.vpn.pem # Certificado de mi servidor VPN

La siguiente línea rightrsasigkey=%cert nos indica que la autenticación será por fichero de clave RSA. Ese que hemos creado antes llamado certificado_FNMT.rsa y que copiaremos al directorio /etc/ipsec.d/certs/.
Tambi√©n necesitaremos crear nuestra clave p√ļblica y privada para nuestro servidor VPN. Pod√©is seguir una gu√≠a perfecta de como crear dicho certificado adem√°s de como crear diferentes VPN con OpenSWAN y much√≠simo mejor explicado que yo, y eso que est√° en correct√≠simo ingl√©s, aqu√≠
Antes de pasar a explicar la configuración de L2TP quiero explicar que en las conexiones creadas en en fichero de configuracion ipsec.conf de OpenSWAN hay 2 casi iguales : L2TP-CERT-WINXP-SP y L2TP-CERT. Son igules excepto en la configuraciónd el protocolo de transporte y es que el cliente l2tp de Microsoft no trata de la misma manera el protocolo IP dependiendo de la version de S.O y del ServicePack que se tenga instalado.
Para versiones anteriores a WinXP-SP1 será la conexión L2TP-CERT y para versiones con WinXP-SP1 o superior será la L2TP-CERT-WINXP-SP.

No comments

HowTo: VPN / IPSec / L2TP con certificado Thawte o FNMT (I) Creación de certificado

January 18th, 2008 | Category: Posts

Escribo este post por 2 motivos muy diferentes, el primero porque tal y como sabe la gente que me conoce, suelo olvidar las cosas con mucha facilidad y el segundo por motivos meramente altruistas.
Recojo en estas l√≠neas un peque√Īo HowTo de c√≥mo crear un servidor Linux / IPSec / VPN / L2TP con certificado digital de la FNMT o thawte. Aunque bien podr√≠a ser con cualquier certificado digital creado por vosotros mismos.
Antes de nada para el que haya hecho su declaración de la renta por INET y posea su certificado digital de la FNMT es ese el que usaremos, para el que no tenga un certificado digital de la FNMT puede descargase uno válido y gratuito de uso personal por una CA reconocida como es thawte en la siguiente dirección: https://www.thawte.com/cgi/enroll/personal/step1.exe.

Partimos de la base que tenemos el certificado exportado en formato .p12 o .pfx y copiado en nuestra m√°quina que har√° de servidor VPN. Lo que vamos a hacer ser√° desmontar el certificado en sus 2 partes, tal y como comenta en su blog alguien con quien comparto muchos genes, incluso m√°s que con la mosca del vinagre.
Desmontamos y sacamos el certificado del fichero exportado.
$ openssl pkcs12 -in certificado_FNMT.p12 -out certificado_FNMT.key -nocerts
La primera password que nos pide es la password que se le puso cuando exportamos el certificado y luego se nos pedirá que le pongamos una nueva password para proteger nuestro fichero certificado_FNMT.key que se creará a continuación.
Ahora extraeremos la clave privada de nuestro fichero certificado_FNMT.key introduciendo la password de uso del mismo
$ openssl rsa -in certificado_FNMT.key -out certificado_FNMT.rsa
Una vez hecho esto ya teneos nuestra clave privada en el fichero certificado_FNMT.rsa

No comments

¬°¬°¬° I’m alive …. !!!

January 18th, 2008 | Category: Posts

Si, ya se que hace tiempo que no escribo, y esto s√≥lo lo leo yo, pero este post es para recordarme a m√≠ mismo que tengo retomar esto cuando Muchachito Bombo-Infierno (AKA Daniel) y La Mala Rodr√≠guez (AKA Desita) me permitan continuar…

1 comment