Jan 18

HowTo: VPN / IPSec / L2TP con certificado Thawte o FNMT (II) Configuración OpenSWAN

Category: Posts

LLegados a este punto decir que este ejemplo es para una distribución Debian etch, aunque está probado y funcionando también en ubuntu (LTS y gutsy) y OpenSUSE (10.x).

Instalaremos los siguientes paquetes y sus dependencias que necesitaremos:
# apt-get install openswan l2tpd xl2tpd ipsec-tools openssl

Y ahora la configuracion, que b√°sicamene en OpenSWAN son estos 2 ficheros.

/etc/ipsec.conf : Este fichero configura IPSec y sus conexiones
/etc/ipsec.secrets : Este otro fichero configura la autenticación IKE/IPSec

El resto de ficheros si no se le indica otra cosa en el fichero de configuración estan en: /etc/ipsec.d/

Veamos en ejemplo de la configuración de /etc/ipsec.conf:

version 2.0

config setup
interfaces=%defaultroute
klipsdebug=all
plutodebug=none
nat_traversal=yes
forwardcontrol=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16

conn %default
keyingtries=0
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
left=1.1.1.1
leftnexthop=1.1.1.4
leftcert=mi.servidor.vpn.pem
rightrsasigkey=%cert

conn L2TP-CERT-WINXP-SP
type=transport
leftprotoport=17/1701
right=%any
rightprotoport=17/1701
pfs=no
auto=add

conn L2TP-CERT
type=transport
leftprotoport=0/1701
right=%any
rightprotoport=17/1701
pfs=no
auto=add

Así visto a lo bruto y por primera vez asusta un poco pero intentaré explicarlo brevemente ya que para ir a algo mas profundo los desarrolladores y curran unos buenos manuales y paginas man.

B√°sicamente el fichero consta de 2 partes, la primera ‘config setup’ que es la configuraci√≥n del servidor y luego todas las conexiones que tengamos definidas ‘conn XXXXXX’. Por simplificar lo que dice la configuraci√≥n y no ir √≠nea por l√≠nea explicando cada punto es que la autenticaci√≥n va a ser por certificado: authby=rsasig y en la confugraci√≥n por defecto definimos nuestro lado de la VPN (left) como:

left=1.1.1.1 # La ip WAN de mi servidor VPN
leftnexthop=1.1.1.4 # Gateway del servidor VPN
leftcert=mi.servidor.vpn.pem # Certificado de mi servidor VPN

La siguiente línea rightrsasigkey=%cert nos indica que la autenticación será por fichero de clave RSA. Ese que hemos creado antes llamado certificado_FNMT.rsa y que copiaremos al directorio /etc/ipsec.d/certs/.
Tambi√©n necesitaremos crear nuestra clave p√ļblica y privada para nuestro servidor VPN. Pod√©is seguir una gu√≠a perfecta de como crear dicho certificado adem√°s de como crear diferentes VPN con OpenSWAN y much√≠simo mejor explicado que yo, y eso que est√° en correct√≠simo ingl√©s, aqu√≠
Antes de pasar a explicar la configuración de L2TP quiero explicar que en las conexiones creadas en en fichero de configuracion ipsec.conf de OpenSWAN hay 2 casi iguales : L2TP-CERT-WINXP-SP y L2TP-CERT. Son igules excepto en la configuraciónd el protocolo de transporte y es que el cliente l2tp de Microsoft no trata de la misma manera el protocolo IP dependiendo de la version de S.O y del ServicePack que se tenga instalado.
Para versiones anteriores a WinXP-SP1 será la conexión L2TP-CERT y para versiones con WinXP-SP1 o superior será la L2TP-CERT-WINXP-SP.

No comments

No Comments

Leave a comment

You must be logged in to post a comment.