Entradas etiquetadas con openvpn vyatta
Configuración del módulo firewall de Vyatta. Parte 12 – Configuración de firewall en las interfaces VPN de acceso remoto vtun0 y vtun1 (VPN RA) de openredesR1.
1hace 10 meses
La última parte (por fin!) de los ejemplos, tutoriales de configuración del firewall de Vyatta según nuestra topología ejemplo es la creación de los grupos de reglas que gestionaran las conexiones para las interfaces de acceso remoto VPN de openredesR1, estas son vun0 y vtun1, si vemos la política general de conexiones establecida el resumen para estas interfaces es: Por las VPNs de acceso remoto vtun0 y vtun1 vamos a permitir solamente el trafico destinado a los servicios ofrecidos por los servidores corporativos.
Vamos entonces a crear las reglas necesarias.
-
Creamos primero el grupo de puertos necesario:
openredes@openredesR1# edit firewall group port-group puertos-vpnra [edit firewall group port-group puertos-vpnra] openredes@openredesR1# set port www [edit firewall group port-group puertos-vpnra] openredes@openredesR1# set port https [edit firewall group port-group puertos-vpnra] openredes@openredesR1# set port ms-sql-s [edit firewall group port-group puertos-vpnra] openredes@openredesR1# set port mysql [edit firewall group port-group puertos-vpnra] openredes@openredesR1# commit [edit firewall group port-group puertos-vpnra] openredes@openredesR1# -
Como las reglas para
Más >
Configurar un cliente OpenVPN en Windows con OpenVPN GUI para conectar a una VPN RA en Vyatta
2hace 10 meses
Tras haber configurado en nuestras máquinas Vyatta una o varias interfaces VPN de acceso remoto con OpenVPN que funcionan como servidor según esta guía, necesitamos configurar los clientes que se conectaran a la VPN y que podrán acceder a la red corporativa de forma remota desde cualquier lugar en el que se encuentren. De igual forma los pasos de este manual son válidos para configurar un cliente OpenVPN GUI en Windows y poder conectar a cualquier servidor creado con OpenVPN. En este manual de configuración vamos a configurar un cliente con SO Windows XP. Suponemos que ya tenemos creados los certificados necesarios y que tenemos también nuestras máquinas Vyatta configuradas para que actúen como servidor VPN y permitan el acceso remoto a los clientes.
OpenVPN puede correr como daemon, como servicio o desde la línea de comandos, pero también es posible controlar OpenVPN por medio de un front-end grafico o interfaz gráfico de usuario, conocido también como GUI por sus siglas en inglés.
Configurar un cliente VPN de acceso remoto a Vyatta con OpenVPN GUI en GNU/Linux
1hace 10 meses
Tras haber configurado en nuestras máquinas Vyatta una o varias interfaces VPN de acceso remoto con OpenVPN que funcionan como servidor según esta guía, necesitamos configurar los clientes que se conectaran a la VPN y que podrán acceder a la red corporativa de forma remota desde cualquier lugar en el que se encuentren. En este manual de configuración vamos a configurar un cliente con SO Ubuntu 11.04. Suponemos que ya tenemos creados los certificados necesarios y que tenemos también nuestras máquinas Vyatta configuradas para que actúen como servidor VPN y permitan el acceso remoto a los clientes.
OpenVPN puede correr como daemon, como servicio o desde la línea de comandos, pero también es posible controlar OpenVPN por medio de un front-end grafico o interfaz gráfico de usuario, conocido también como GUI por sus siglas en ingles. En esta wiki de OpenVPN tenemos la lista más reciente de OpenVPN GUIs disponibles.
De la lista he elegido en este caso “OAST” un interfaz GUI para clientes OpenVPN escrito en Java, así que vamos primero a instalarlo en nuestro Ubuntu.
-
Vamos a la pagina de descargas, elegimos la versión adecuada, en mi caso la version 2.4 para un Linux x86 (en los foros
Más >
Significado de los parametros de configuracion del archivo .ovpn en un cliente remoto de OpenVPN
3hace 10 meses
En esta entrada explicamos el significado de los parámetros más comunes a usar en el archivo de configuración de un cliente OpenVPN .ovpn para cualquier sistema operativo.
client/server: especifica el tipo de nodo que queremos configurar. dev tap/tun: tipo de interfaz a usar, hay que elegir la misma tanto en la parte del cliente como en la del servidor. La opción "tun" es la opción por defecto y la recomendada. La diferencia entre ambas es que la interfaz "tun" es una interfaz enrutada y la interfaz "tap" es para crear un bridge ethernet (capa 2), necesario en caso de usar protocolos no IP como IPX. proto tcp/udp: protocolo de transporte a usar, la opción por defecto y lo normal es "udp". Hay que elegir lo mismo en los dos extremos. remote IP-servidor/cliente puerto: en esta línea se pone la IP publica en la que está el extremo opuesto y el puerto en el que se espera la conexión. El puerto por defecto es el 1194. resolv-retry infinite/n: opción de cliente, trata de resolver infinitas o n veces la conexión con el servidor. nobind: opción de cliente, si se configura especifica que no es necesario usar siempre el mismo puerto local de origen para iniciar la conexión con el Más >
Autenticación local en Vyatta tras inicio de conexión VPN de acceso remoto con OpenVPN usando el plugin openvpn-auth-pam.so
4hace 1 año
Os presento en esta entrada una forma de generar un nivel más de seguridad para las VPNs de acceso remoto creadas en Vyatta con el módulo OpenVPN, configurando el sistema Vyatta para que cuando se inicie la sesión VPN de acceso remoto (RA) lance un plugin que solicita un usuario y un password al cliente que trata de crear la VPN y obligarlo asi a pasar por un proceso de autenticación.
En esta entrada tenemos un tutorial de configuración de VPNs en Vyatta con OpenVPN.
Esto es gracias al módulo de autenticación PAM (Pluggable Authentication Module) de Unix y al script de OpenVPN /usr/lib/openvpn/openvpn-auth-pam.so que fuerza al usuario que se conecte por VPN a autenticarse en el sistema. Es necesario por tanto crear en el sistema Vyatta una cuenta de usuario para tal fin y lo que es más recomendable en este caso seria crear un usuario sin privilegios algunos en el sistema.
De esta forma conseguiríamos crear una VPN de acceso remoto mucho más segura, ya que si una vez creada la VPN de acceso remoto y configurado un cliente en un portátil con sus correspondientes certificados de autenticación el usuario pierde el portátil y no configuramos este paso, cualquiera que pudiese Más >
Bug 6771, VC6.2-2011.02.09 – El proceso commit en Vyatta falla cuando se usa la autenticación PAM en el módulo OpenVPN
2hace 1 año
En el sistema Bugzilla de Vyatta hay publicado un bug para la versión VC6.2-2011.02.09 en el que se asume un problema con el proceso “commit” (proceso que aplica los cambios hechos a la configuración del sistema) por ahora solamente afecta cuando se usa el plugin /usr/lib/openvpn/openvpn-auth-pam.so en el módulo OpenVPN, plugin que sirve para obligar al cliente VPN RA a autenticarse en el sistema con sus credenciales locales de usuario para completar la conexión VPN de forma satisfactoria.
El problema vino por un lado debido a una modificación del proceso commit para soporte de localización de errores de configuración y fue detectado ya que en la versión VC6.2 se había planeado incluir una opción al CLI de Vyatta “require-pam-login“, que hacia las veces del comando “openvpn-option “–plugin /usr/lib/openvpn/openvpn-auth-pam.so openvpn”” explicado en una entrada anterior, pero con soporte directo en el CLI. Al probar el nuevo comando tuvieron que decidir eliminarlo de la versión VC6.2, que iba a liberarse en pocos días, ya que al guardar cambios con el comando “commit” el sistema entraba en un proceso commit que nunca termina. Según empleados de Vyatta este problema esperan tenerlo Más >
Creación de certificados para configurar VPNs con el software open source OpenVPN en Vyatta
8hace 1 año
Antes de configurar una VPN mediante OpenVPN en Vyatta tenemos que crear unos certificados con los que podremos conectar dos máquinas mediante OpenVPN. Es posible establecer una conexión punto a punto entre dos equipos Vyatta con el modo site-to-site o conectar uno o varios PCs a un equipo Vyatta con el modo server-client. Aunque también hay que decir aquí que existen otras formas menos seguras de configurar una VPN en Vyatta con o sin OpenVPN.
Con la instalación de Vyatta se copia el script de generación de certificados X-509 easy-rsa de OpenVPN que podemos usar para crear nuestros certificados y poder configurar nuestra VPN con OpenVPN. Este script se encuentra en la ruta /usr/share/doc/openvpn/examples/easy-rsa/2.0/ podemos copiarlo a otro lugar o usarlo directamente en esa ruta.
Una vez localizada la carpeta hay que hacer ejecutables los archivos contenidos, lo podemos hacer desde consola:
vyatta@vyatta:~$ sudo chmod –R 755 /usr/share/doc/openvpn/examples/easy-rsa/2.0/
O desde WinSCP haciendo clic derecho sobre la carpeta 2.o y marcando que asigne permisos 755 de forma recursiva a todos los ficheros contenidos en ella:
Después hay que modificar el archivo vars que está en Más >
Comentarios recientes