Jan 18
HowTo: VPN / IPSec / L2TP con certificado Thawte o FNMT (II) Configuración OpenSWAN
LLegados a este punto decir que este ejemplo es para una distribución Debian etch, aunque está probado y funcionando también en ubuntu (LTS y gutsy) y OpenSUSE (10.x).
Instalaremos los siguientes paquetes y sus dependencias que necesitaremos:
# apt-get install openswan l2tpd xl2tpd ipsec-tools openssl
Y ahora la configuracion, que básicamene en OpenSWAN son estos 2 ficheros.
/etc/ipsec.conf : Este fichero configura IPSec y sus conexiones
/etc/ipsec.secrets : Este otro fichero configura la autenticación IKE/IPSec
El resto de ficheros si no se le indica otra cosa en el fichero de configuración estan en: /etc/ipsec.d/
Veamos en ejemplo de la configuración de /etc/ipsec.conf:
version 2.0
config setup
interfaces=%defaultroute
klipsdebug=all
plutodebug=none
nat_traversal=yes
forwardcontrol=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16
conn %default
keyingtries=0
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
left=1.1.1.1
leftnexthop=1.1.1.4
leftcert=mi.servidor.vpn.pem
rightrsasigkey=%cert
conn L2TP-CERT-WINXP-SP
type=transport
leftprotoport=17/1701
right=%any
rightprotoport=17/1701
pfs=no
auto=add
conn L2TP-CERT
type=transport
leftprotoport=0/1701
right=%any
rightprotoport=17/1701
pfs=no
auto=add
Así visto a lo bruto y por primera vez asusta un poco pero intentaré explicarlo brevemente ya que para ir a algo mas profundo los desarrolladores y curran unos buenos manuales y paginas man.
Básicamente el fichero consta de 2 partes, la primera ‘config setup’ que es la configuración del servidor y luego todas las conexiones que tengamos definidas ‘conn XXXXXX’. Por simplificar lo que dice la configuración y no ir ínea por línea explicando cada punto es que la autenticación va a ser por certificado: authby=rsasig y en la confugración por defecto definimos nuestro lado de la VPN (left) como:
left=1.1.1.1 # La ip WAN de mi servidor VPN
leftnexthop=1.1.1.4 # Gateway del servidor VPN
leftcert=mi.servidor.vpn.pem # Certificado de mi servidor VPN
La siguiente línea rightrsasigkey=%cert nos indica que la autenticación será por fichero de clave RSA. Ese que hemos creado antes llamado certificado_FNMT.rsa y que copiaremos al directorio /etc/ipsec.d/certs/.
También necesitaremos crear nuestra clave pública y privada para nuestro servidor VPN. Podéis seguir una guía perfecta de como crear dicho certificado además de como crear diferentes VPN con OpenSWAN y muchísimo mejor explicado que yo, y eso que está en correctísimo inglés, aquí
Antes de pasar a explicar la configuración de L2TP quiero explicar que en las conexiones creadas en en fichero de configuracion ipsec.conf de OpenSWAN hay 2 casi iguales : L2TP-CERT-WINXP-SP y L2TP-CERT. Son igules excepto en la configuraciónd el protocolo de transporte y es que el cliente l2tp de Microsoft no trata de la misma manera el protocolo IP dependiendo de la version de S.O y del ServicePack que se tenga instalado.
Para versiones anteriores a WinXP-SP1 será la conexión L2TP-CERT y para versiones con WinXP-SP1 o superior será la L2TP-CERT-WINXP-SP.