Professional Documents
Culture Documents
Fulvio.Ricciardi@zeroshell.net www.zeroshell.net
( Author: cristiancolombini@libero.it )
Cómo proteger mi red privada:
Esta breve guía nos permitirá configurar un firewall de red para nuestra red en menos de una hora.
Zeroshell garantizará ourprivate red de ataques externos. Nuestra red privada está conectada a Internet a
través de un router.Here xDSL los pasos a seguir:
Primera puesta en marcha e inicio de sesión preparar un disco partición donde almacenar nuestras
configuraciones de almacenamiento de nuestra configuración de los adaptadores de red de configuración
de navegación en Internet Portal Cautivo de activación de servicio DNS del servicio DHCP rutas estáticas
a redes remotas a servidores virtuales de Seguridad: control de las políticas por defecto
En Zeroshell podemos encontrar muchas otras características importantes para las redes más complejas,
lo cual es una solución escalable para nuestra red.
Primera puesta en marcha e inicio de sesión:
Después de arrancar desde el CD, el sistema es accesible con un navegador en el http seguro:
https: / / 192.168.0.75
La aceptación de la conexión segura se nos pide usuario y contraseña para Entrar:
Preparación de una partición en el disco para almacenar nuestras configuraciones:
Es tan importante para salvar a nuestros Zeroshell cambios que nos permite guardar en un archivo de
configuración. Se puede almacenar en un
partición de un disco duro. No es necesario farmat las particiones existentes, podemos guardar nuestros
archivos de configuración en
particiones existentes, tales como: ext3, ReiserFS, ext2 o FAT32. Para mi preferencia, prefiero crear una
nueva partición ext3. Así que
optar por borrar cualquier partición existente en mi disco (todos los datos de este disco se perderá).
Usando el menú SETUP (en el marco de la izquierda) elegir almacenamiento etiqueta (en el marco
superior):
Se nos muestra los discos existentes. Seleccionamos las particiones existentes y eliminarlos:
Se nos pide confirmación para su eliminación. SÍ
Ahora tenemos un disco en blanco sin particiones. Estoy dispuesto a crear una sola partición.
Almacenamiento de nuestra configuración:
Una vez que el disco está listo para ser usado, podemos crear nuestro archivo de configuración primero.
Eligiendo la partición, haga clic derecho sobre la
CREAR PP:
Introduzca una descripción corta para el archivo de configuración; nombre completo de nuestro sistema,
Kerberos y LDAP;
elegir una contraseña nueva para el usuario "admin"; dirección IP de la interfaz que se utiliza para
configurar el sistema, puerta de enlace predeterminada para
las redes de acceso externo (para acceso a Internet).
Esta configuración se utiliza cada vez el sistema se inicia. Podemos optar por crear configuración
diferente de varios
los archivos que se active (Activar) para el inicio por defecto del sistema. Con BACKUP botón podemos
crear una copia de
el archivo de configuración, seleccione en el PC que estamos utilizando para navegar por la página
principal Zeroshell administrativa.
Los adaptadores de red de configuración:
Una vez preparado el disco y crea el primer archivo de configuración podemos configurar la dirección IP
del adaptador de red, por el
haciendo clic en CONFIGURACIÓN DE RED etiqueta nad:
Normalmente ETH00 es el adaptador de red interno (interfaz segura del servidor de seguridad) y ETH01
es el externo que
comunicarse con router.Using xDSL Añadir botones de IP que puede configurar las direcciones IP
estáticas para estas interfaces.
He elegido para la interfaz interna 192.168.0.75 (ETH00) y 192.168.1.1 para el externo (ETH01), ahora
me puse
gatewayusing defecto botón DEFAULT GW. Mi puerta de enlace es 192.168.1.254, ahora puedo
comprobar las rutas de la estática en
Menú del router:
Internet
Es es entender que este thopology red es muy escalable por Zeroshell, ahora podemos empezar a crear
políticas para
nuestra red interna (192.168.0.0/24), o podemos usuario de portal cautivo para crear usuario y contraseña
para los usuarios internos que
quiere usar el navegador de Internet, podemos crear el servidor virtual para compartir nuestros servicios
con las redes externas, etc
Navegación por Internet:
Para que los clientes internos el uso de conexión a Internet, debemos activar Network Address
Translation (NAT) para protegerlos.
Usando el menú router, haga clic en la etiqueta de NAT y ETH00 conjunto que se traduce por ETH01:
.
Activar autenticación:
Ahora podemos cerrar nuestro navegador y vuelva a abrirlo, nos pedirá autenticarse. A continuación he
personalizado mi
página de autenticación:
Uso de correst de usuario y contraseña:
podemos ver esta ventana emergente: podemos utilizar los recursos de Internet hasta que esta página está
abierta.
Usted puede personalizar esta página con la etiqueta autenticación con un script HTML:
En tag GATEWAY puedes ver conectados usuarios y usted puede drop 'dobladillo si necesario utilizando
botón DISCONNECT:
Servicio DNS:
Líneas Inicio xDSL uso externo DNS servidores para resolver nombres Internet. A veces, estos servidores
DNS externos se han reducido
o no funciona por alguna razón; Zeroshell puede ser también un servidor DNS! Es muy fácil de usar: haga
clic en DNS a la izquierda
.. voz y ACTIVAR bandera:
¡Hecho! ... Ahora puede configurar su cliente en esta forma (192.168.0.75 es Zeroshell ..):
El servicio DHCP:
Zeroshell puede ser también un servidor DHCP, de esta manera los clientes de nuestra red interna no
necesita direccionamiento de IP estático
Elija DHCP:
crear nuevas y elegir el interfaz de red donde Zeroshell distribuirá las direcciones IP:
y así:
Ahora debemos elegir el rango de direcciones IP disponibles para ser distribuidos:
y guardar.
Zeroshell es también nuestra puerta de enlace predeterminada y servidor DNS!
Nuestra configuración de red del cliente:
unos segundos y se puede comprobar que:
C: \ Documents and Settings \ Administrador> ipconfig / all
Configurazione di IP de Windows
Nombre de acogida. . . . . . . . . . . . . . : PIZZA
Sufijo DNS primario. . . . . . . :
Tipo de nodo. . . . . . . . . : Sconosciuto
Abilitato de enrutamiento IP. . . . . . . . . : No
Proxy WINS abilitato. . . . . . . . : No
Scheda Ethernet rete connessione alla local (LAN):
Sufijo DNS specifico per connessione:
Descrizione. . . . . . . . . . . . . : 3Com 3C920B-EMB rápido
integrado
Ethernet
Indirizzo fisico. . . . . . . . . . . : 00-26-54-0B-31-CA
Abilitato DHCP. . . . . . . . . . . . : Sì
Configurazione automatica abilitata: Sì
Indirizzo IP. . . . . . . . . . . . . : 192.168.0.25
Máscara de subred. . . . . . . . . . . . . : 255.255.255.0
Predefinito Gateway. . . . . . . . . : 192.168.0.75
Servidor DHCP. . . . . . . . . . . . . : 192.168.0.75
Servidor DNS. . . . . . . . . . . . . : 192.168.0.75
Ottenuto Lease. . . . . . . . . . . . : Venerdì 20 ottobre 2006
10.41.59
Arrendamiento Scadenza. . . . . . . . . . . : Venerdì 20 ottobre
2006 18.41.59
Las rutas estáticas a las redes remotas:
Si tenemos alguna redes remotas conectadas a través de un router, podemos establecer rutas estáticas.
Por ejemplo, si tenemos que llegar a la red remota: 192.168.50.0/24 a través del router 192.168.0.254,
podemos hacer esto usando
ROUTER y ADD:
"Metric" es el costo, la prioridad que debe seguir si hay muchas rutas diferentes para la red de un mismo
destino.
Podemos activar también RIP v2 protocolo. Se utiliza para que los routers más dinámica existente
infromations compartir acerca de
redes remotas conocidas.
Servidores Virtuales:
Es posible compartir los servicios de red interna con la red externa (Internet). Podemos, por ejemplo,
optar por publicar
un sitio web.
Router mediante, elija SERVIDOR VIRTUAL:
Tenemos que escoger la interfaz, el protocolo y el puerto de escucha para este servicio en el sistema de
Zeroshell. Entonces, debemos establecer
¿Dónde está el servicio en nuestra red segura: 192.168.0.100. Es el servidor web de publicación de
nuestra página web en el puerto 80 TCP.
Debemos estar seguros de que no ha router xDSL NAT activado. Si NAT está habilitado tenemos que
estar seguros de que las solicitudes en el puerto 80 TCP
llegar Zeroshell ETH01. Por ejemplo, en mi router 3com he puesto que cada tipo de solicitud de Internet
debe llegar a
mi Zeroshell interfaz externa:
Seguridad: control de las políticas por defecto
Utilizas el cortafuegos podemos comprobar las políticas de red por defecto en nuestro servidor de
seguridad.
Elija cadena de salida y haga clic en
Ver:
Elige ahora cadena INPUT, y haga clic en Ver, estas son las políticas por defecto de entrada:
Web Proxy transparente con antivirus y chequeo de lista
negra de Urls
Por estas razones, el chequeo de virus se realiza cada vez mas en capas superiores, antes
que virus potenciales puedan llegar los usuarios. En otras palabras, los sistemas
centralizados de antivirus se utilizan en los servidores que ofrecen un servicio en
particular. El ejemplo más extendido es el de los servidores de correo electrónico, que
tienen un sistema que analiza los mensajes entrantes y salientes a través de SMTP y
analizan los archivos adjuntos en busca de virus. En este caso, la aplicación de
verificación de antivirus en una puerta de enlace SMTP es muy natural, ya que los
correos electrónicos están obligados a pasar por ella, antes de llegar al buzón del usuario.
Para el servicio HTTP, esto no es tan insignificante, ya que un cliente potencial de
Internet se puede conectar directamente a cualquiera de los servidores Web disponibles
en Internet. La solución a este problema consiste en la introducción de un nivel de
aplicación de puerta de enlace a la red local para recoger las peticiones HTTP de clientes
y los remitirá a los servidores Web pertinentes. Este aplicación de puerta de enlace se
denomina Proxy Web y ya que es capaz de interpretar el protocolo HTTP, no sólo filtra
sobre la base de las URL sino que también puede controlar el contenido transportado
(HTML, JavaScript, Java Applet, imágenes,...) y los explora en busca de virus. Una de las
funciones más comunes de los Proxy hasta el momento han sido las cachés Web, es decir,
archivos almacenados de las páginas Web que ya han sido visitadas, con el fin de acelerar
la visualización de las mismas URL para las solicitudes posteriores. El objetivo de esto es
también reducir el consumo de ancho de banda en Internet y uno de los más conocidos
Proxy, capaz de realizar funciones de Web Cache es Squid, distribuido con licencia Open
Source.
Zeroshell no se integra con Squid, ya que no recoge las páginas Web. La tarea de un
programa de antivirus centrada en la red y el filtrado de contenidos, utilizando las listas
negras de URL, es manejado por HAVP como sistema de representación y ClamAV
como antivirus. Ambos se distribuyen bajo licencia GPL.
Para resolver este problema, Zeroshell utiliza el modo de Proxy transparente que implica
automáticamente la captura de las solicitudes de cliente en el puerto TCP 80.
Obviamente, para Zeroshell poder captar estas peticiones Web, debe ser configurado
como un Gateway de la red, de modo que el tráfico de Internet de los cliente pase a través
de ella. Zeroshell automáticamente captura las peticiones HTTP si se trata de un nivel 2
de puerta de enlace (puente entre Ethernet, WiFi o la interfaz VPN) o de la capa 3 de
puerta de enlace (enrutador). Sin embargo, es importante especificar las interfaces de red
IP o subredes a las que las solicitudes deben ser redirigidas. Esto se hace mediante la
adición de las llamadas HTTP Capturing Rules (Reglas de Capturas de HTTP), como se
muestra en la siguiente figura:
Figure 1 Configuración de las reglas de capturas Http.
Tenga en cuenta que la puesta en marcha del servicio de Proxy es muy lenta en
comparación con otros servicios, y en un hardware que no es muy rápido puede tardar
hasta 30-40 segundos. Esto se debe a la necesidad de las bibliotecas de antivirus ClamAV
de cargarse y descifrar un gran número de firmas de virus en su memoria. Para evitar el
bloqueo de la interfaz de configuración Web y puesta en marcha de las secuencias de
comandos para los intervalos de tiempo, el servicio se inicia de forma asincrónica. Por lo
tanto, cuando el Proxy está activado o configurado de nuevo, el ítem correspondiente a
estado (Status) no se muestra como Activo (verde) de inmediato, pero pasa primero por el
estado inicial (naranja) que muestra que el servicio está cargando las firmas. Para saber
cuándo comienza realmente la ejecución del Proxy, haga clic en [Administrar] para
volver a cargar la página de configuración, o simplemente haga clic en [Registros del
Proxy] para ver el mensaje de inicio del havp daemon. Durante el período de arranque
del demonio havp, las reglas de IPTABLES para la captura de peticiones HTTP son
retiradas temporalmente, permitiendo el tráfico de Internet fluya con regularidad, pero sin
que se analice en busca de virus.
Sin embargo, el registro de esta información puede ser activado mediante la modificación
del ítem [Registro de acceso] (Access Logging) a partir de "Only URL containing Virus" a
"Any Access". De esta manera, todas las URL visitadas se registran en el registro de
asociados con la dirección IP del cliente. Es necesario, antes de habilitar esta opción,
consultar la legislación local en su país para verificar que el registro de las direcciones
URL visitadas no está en contra de las leyes de privacidad nacional.
Además, es importante tener en cuenta que, tal como permite el NAT en un router de
acceso a Internet, cada solicitud de cliente externo es hecha por el propio router, en las
misma manera en que las peticiones pasan a través de un Proxy aparecen con la dirección
IP del el servidor Proxy. Esto puede causar dificultades en el rastreo de la identidad de un
usuario que ha llevado a cabo acciones ilícitas en servidores remotos. Una posible
solución a este problema, que es menos invasiva en términos de privacidad, es activar el
registro de la conexión de seguimiento (desde la interfaz Web Zeroshell [Firewall]
[Connection Tracking]). De esta manera, cualquier conexión TCP / UDP se registran en
los registros que muestra la dirección IP de origen, puerto de origen, IP de destino y
puerto de destino. Por lo tanto, no será posible rastrear el contenido de la actividad del
usuario, pero quedará un rastro de las conexiones realizadas. Una vez más, en este caso es
necesario consultar la legislación local antes de habilitar el seguimiento de la conexión.
Las listas negras y listas blancas consisten en una secuencia de Urls dispuestas en líneas
distintas. Cada línea puede corresponder a varias páginas Web cuando se utiliza el
carácter *. Para bloquear el sitio http://www.example.com se sitúa www.example.com/ *
en la lista negra, mientras que una línea como www.example.com, sin el *, sólo bloqueará
la página principal de ese sitio.
La lista blanca tiene prioridad sobre la lista negra. En otras palabras, si una página Web
corresponde a un elemento de la lista negra y, al mismo tiempo, se encuentra en la lista
blanca, se permite el acceso a la página.
Además, tenga en cuenta que el propósito de la lista blanca no es sólo permitir el acceso a
páginas que de otro modo estaría prohibido por la lista negra, sino también para
comprobar la derivación de antivirus. Por favor tome nota de esto.
Si el administrador de la LAN quiere adoptar la política de proporcionar acceso a un
número limitado de sitios, s / se puede especificar el * / * Línea en la lista negra, lo que
impedirá el acceso a todas las páginas, excepto los incluidos en la lista blanca.
Una vez seguro de que el Proxy Web captura las solicitudes como se espera, verifique
que el software de antivirus ClamAV este funcionando correctamente. Para ello, debe
comprobar por primera vez en los registros freshclam que las firmas se actualizan
regularmente. Luego, vaya a la URL http://www.eicar.org/anti_virus_test_file.htm para
comprobar si el EICAR-AV-Test virus de prueba (que se dice ser inocente por los autores)
es capturado y bloqueado.
Por último, tenga en cuenta que el Proxy no puede servir a las peticiones HTTPS (HTTP
encriptada con SSL / TLS), dado que al no tener la clave privada del servidor Web, no se
puede descifrar el contenido y la URL de esta petición es encapsulada en los túneles de
cifrado.
1:1 NAT in ZeroShell
Requirements
The version of ZeroShell used for writing this document is Release 1.0.beta11. This
document does not describe installing ZeroShell, it is assumed that the user already has a
configured, secured, tested, and working installation of ZeroShell.
Overview
This document will walk through configuring ZeroShell as a router with 1:1 NAT for servers
inside the Local Area Network (LAN) and Many:1 NAT/Masquerading for all other clients on
the LAN. The LAN servers will be connected to ETH02, the other LAN clients will be
connected to ETH00, and the Wide Area Network (WAN) will be connected to ETH01. Note
that there is no restriction that the servers have to be on a separate interface; they could
be connected with the other LAN clients on ETH00 just as easily.
This example assumes that multiple public IP addresses are available on the WAN. One IP
address will be used by ZeroShell and the Many:1 NAT for regular clients on the LAN. The
rest of the IP addresses will also be used by ZeroShell, but translated for the 1:1 NAT for
the servers. The servers are configured with private IP addresses.
In this example, the public IP addresses are assigned from the 216.0.0.129 network with a
subnet mask of 255.255.255.240. The default gateway to the Internet is located at IP
address 216.0.0.129. The LAN clients will use private addresses from 192.168.0.1 onward.
The servers will use private addresses from 192.168.1.1 onward.
Network Setup
Log into the ZeroShell web interface, and click "Setup" under "System" from the menu on
the left. Then, click the "Network" tab.
ETH00 will be used for our LAN clients, and ZeroShell will have an IP address of
192.168.0.1. To configure this, click the "Add IP" button and fill in "192.168.0.1" for the IP
and "255.255.255.0" for the Netmask.
ETH01 will be used for the WAN connection. ZeroShell's "Primary" IP will be 216.0.0.130
with mask 255.255.255.240. For 1:1 NAT, we'll use the IP addresses from 216.0.0.135
through 216.0.0.137. Add the IP addresses the same way as before.
ETH02 will be used for the servers. In order for route traffic to/from this interface,
ZeroShell must be configured with an IP on this subnet. Add the IP address "192.168.1.1"
with subnet mask 255.255.255.0 here.
When finished, the Network Setup should looks similar to the following:
The final network setup step is to configure the Default Gateway by clicking the "GATEWAY"
button at the top and entering the WAN router's IP address of 216.0.0.129.
When finished, click the "Test" button to ensure no errors were made. Then select the box
to enable the script and then click "Save" to close the script editor.
Note that the -I (Insert) option was used rather than -A (Add) to insert the rule at the
beginning of the table. This is necessary since this script is run after ZeroShell has
configured its own rules. Failure to insert these rules at the beginning of the table would
result in ZeroShell's own masquerading rules to take precedence over the 1:1 NAT
configuration.
Firewall Setup
Now that the network address translation and router is configured, the firewall should be
configured to help secure the network. The Firewall rules in ZeroShell can be very
advanced, so only a simple configuration is shown here. Note that this sample configuration
has not been production tested to ensure proper security. Also note that making errors on
the firewall rules could result in being locked out of the ZeroShell web interface.
First, we want to configure access to the ZeroShell router itself to only be allowed from the
LAN.
Under "SECURITY", click "Firewall". Select the "INPUT" chain. Click "Add" and set the Input
to "ETH00", changing nothing else, and click Confirm. This rule will permit all traffic from
the ETH00 LAN to anywhere on the box.
Next, click "Add" and set the Input to "ETH02" and click Confirm. This rule permits all
traffic from the server LAN on ETH02 to anywhere on the box.
For the last rule, click "Add", and check only "ESTABLISHED" and "RELATED" under
"Connection State", then click Confirm. This rule will permit response traffic from
established connections to the box to wherever they originated.
Click "Save" to make the new input active, then change its policy from "ACCEPT" to "DROP"
so the rules actually take affect.
The INPUT rules should now look like the following:
Now, we want to configure ZeroShell's "Forwarding" firewall rules. This is where you will
protect your servers and LAN clients from the public network. Select the "FORWARD" Chain
to show its firewall rules. Here, we will set up simple rules to permit all outgoing traffic
originating from the LAN to the Internet (WAN), and open up a few ports on our 1:1 NAT'ed
servers to be accessible from the Internet. Traffic between the two LAN ports (ETH00 and
ETH01) will be unrestricted.
Click "Add" and set the Input to "ETH00", then click Confirm. This allows unrestricted traffic
from the LAN to anywhere the ZeroShell box can route (WAN and Server LAN).
Click "Add" again and set the Input to "ETH02", then click Confirm. This allows unrestricted
traffic from the server's LAN to anywhere (WAN and Server LAN).
Click "Add" again and check the boxes for "ESTABLISHED,RELATED" under "Connection
State". This will permit two-way communication for established connections initiated by the
previous two rules.
Now, we want to open up some ports for our 1:1 NAT'ed servers so they can be accessed
from the Internet. The follow table shows which ports need opened up for this example:
Public IP Private IP Protocol Port
216.0.0.135 192.168.1.35 TCP 80
216.0.0.136 192.168.1.36 TCP 22
216.0.0.137 192.168.1.37 UDP 123
(all) (all) ICMP (ping)
Click "Add", set Input to "ETH01", Destination IP to "192.168.1.35", Protocol Matching to
"TCP", and Dest. Port to "80". Click Confirm.
Click "Add", set Input to "ETH01", Destination IP to "192.168.1.36", Protocol Matching to
"TCP", and Dest. Port to "22". Click Confirm.
Click "Add", set Input to "ETH01", Destination IP to "192.168.1.37", Protocol Matching to
"UDP", and Dest. Port to "123". Click Confirm.
Click "Add", set Input to "ETH01", Destination IP to "192.168.1.35-192.168.1.37", Protocol
Matching to "ICMP", and ICMP Type to "echo-request (ping)". Click Confirm.
Now, click "Save" to make the new rules active, and change the Policy to "DROP" so the
rules actually take affect.
The FORWARD rules should now look like the following:
Finishing Up
Configure the servers connected to ETH02 with appropriate IP addresses and set their
Default Gateway to ZeroShell's IP Address of "192.168.1.1". Do the same with the LAN
clients on ETH00, except their Default Gateway is "192.168.0.1". Or, configure ZeroShell's
DHCP servers to do the same (instructions for this is beyond the scope of this document).
Now, click on the Reboot link to restart ZeroShell to ensure everything still works after
restarting. Test both incoming connections and outgoing connections to your servers to
ensure the 1:1 NAT is working properly. Confirm that the Port Forwarding and Source NAT
table looks correct following by clicking "Router", "NAT", then "View":
Punto de acceso inalámbrico con
múltiples SSID y VLAN
El propósito de este documento es describir la implementación de un Punto de Acceso
WiFi utilizando Zeroshell en un sistema con una tarjeta de red WiFi con un chipset
Atheros. El documento se subdivide en las siguientes secciones:
¿Por qué implementar un punto de acceso inalámbrico con los módulos del
kernel de Linux de el proyecto MadWifi?
Administrar interfaces inalámbricas y múltiples SSID con el WiFi-Manager
Mapa de la LAN inalámbrica en la red VLAN con etiquetas tags
Amplíe la conexión inalámbrica geográficamente a través de OpenVPN
Zeroshell identifica a cada SSID virtual como si se tratara de una interfaz Ethernet
(ETHnn). Esto permite que operen en las redes Wi-Fi, utilizando una interfaz web, así
como las interfaces de cable. En otras palabras, en el SSID es posible:
COMMANDS
<N> New SSID <M> Modify SSID
<D> Delete SSID <I> Show Information
<C> Std/Channel/Tx-Power
<L> List Stations <S> Channel Scanning
<R> Restarting Devices <Q> Quit
>>
Como puede ver, este sistema se ilustra con un PC ALIX 2C2 Embebido con 2
interfaces WiFi con el chipset Atheros AR5413 802.11abg, capaz de operar tanto en
802.11bg como en 802.11a. En la interfaz inalámbrica wifi0 con 4 puntos de acceso
virtuales que comparten la misma frecuencia de radio, se definen cada uno con su
propia autenticación y esquema de cifrado.
En el wifi1 una única interfaz es definida en modo cliente. Esta interfaz se conecta a la
red inalámbrica con SSID llamada "WRAP-PSK", protegida por una clave
precompartida. Tenga en cuenta que con una tarjeta Wi-Fi puede tener un máximo de un
SSID que actúe como un cliente. Los otros SSID deben corresponder a los puntos de
acceso virtuales. Por otra parte, dado que todos los SSID pertenecen a la tarjeta WiFi y
comparten el mismo canal, éste coincidirá con el canal de radio de las WLAN externas.
Esto inevitablemente significa compartir el ancho de banda.
Como ya se ha insinuado, una vez que los SSID se crean y configuran con el wifi-
manager, si éstas corresponden a los centros de Acceso Virtual o conexiones de cliente,
aparecen en todos y para todos, como Ethernet (ETHnn) las interfaces que pueden ser
manipulados a través de la interfaz web Zeroshell . En el ejemplo ilustrado en la figura
siguiente, las cuatro interfaces inalámbricas Multi SSID y la interfaz de cable ETH00
son enlazadas en un BRIDGE00 único de la interfaz. (ETH00, ETH02, ETH03, ETH04,
ETH05)
Por ejemplo, supongamos que una organización tiene su LAN subdividida en 2 VLANs:
Una VLAN para permitir el acceso a los hosts de servicios y los de escritorio del
personal permanente de la organización. Esta VLAN, en la que no hay
restricciones definidas por el firewall respecto a los recursos de la red interna,
tiene un VID 1220 (VLAN ID) y debe ser accesible a través de SSID
inalámbrico a través de un llamado "Trusted Network". El acceso a este WLAN
se debe permitir sólo a los poseedores de una tarjeta inteligente o eToken con un
certificado personal X.509, esto a través de WPA-EAP con RADIUS activado
para poder responder a EAP-TLS;
Una VLAN para permitir que los clientes con computadores portátiles accedan a
Internet pero con algunas reglas de firewall que limitan el acceso a los recursos
de la red interna. Tal VLAN, cuyo VID se ha establecido como 2350, también a
través de cifrado inalámbrico con un SSID llamado "guest". Aunque el tráfico
viaja sin codificar, en esta WLAN, la autenticación se solicita al acceso desde el
portal cautivo donde se concede el acceso a través de un nombre de usuario y
contraseña temporal dado a los invitados. La decisión de utilizar el portal
cautivo para esta VLAN está motivada por la simplicidad de acceso que no
limita a los huéspedes a tener configurar su equipo WiFi para solicitar el acceso
a Internet. Esta última operación no siempre es inmediata y soportada en todos
los sistemas operativos, mientras que el portal cautivo provee acceso
independientemente del tipo de sistema, siempre que tenga un navegador web.
COMMANDS
<N> New SSID <M> Modify SSID
<D> Delete SSID <I> Show Information
<C> Std/Channel/Tx-Power
<L> List Stations <S> Channel Scanning
<R> Restarting Devices <Q> Quit
>>
Usted puede notar que no es estrictamente necesario asignar una dirección IP a los dos
puentes, mientras que la interfaz ETH00 que corresponde a la VLAN nativa, se le
asigna la dirección IP 192.168.0.75, conectándola para que ejecute las opciones de
gestión de Zeroshell.
En este caso, para completar esta tarea es suficiente activar el portal cautivo en la
sesión [Portal Cautivo] -> [Gateway] en interfaz ETH03 (SSID "guest") en el modo
Bridge.
La presentación de gráficos estadísticos para evaluar el uso del ancho de banda a Internet
se considera una característica opcional de un router; sin embargo, es importante saber
esta información para entender si en el acceso a Internet hay ineficiencias debido a la
pobre distribución de ancho de banda entre los tipos de tráficos (VoIP, Web, P2P,
FTP,...) que compiten en la utilización de la conexión a Internet.
Muchos de los enrutadores utilizan SNMP (Simple Network Management Protocol) para
exportar el valor de los contadores de tráfico entrante y saliente para cada una de las
interfaces de red. Usando software tales como MRTG (Multi Router Traffic Grapher)
posibilitan que en repetidas ocasiones, y en intervalos de tiempos regulares, se ejecuten
consultas SNMP hacia estos routers y guarden los contadores de tráfico. Una vez hecho
esto, MRTG permite el análisis gráfico, a través de un navegador, de la progresión del
tráfico entrante y saliente de las interfaces del router.
Figure 1 – Ejemplo de un grafico MRTG relacionado con la clasificación del trafico para WWW.
Zeroshell no sigue esta estrategia de exportación mediante SNMP (ver nota *), sino que
integra directamente dentro de MRTG para permitir el análisis de los parámetros que van
más allá de los obtenidos utilizando SNMP. En virtud de ello, los siguientes parámetros
pueden ser analizados directamente desde la interfaz Web Zeroshell:
• Sistema de carga
• Número de conexiones activas (TCP / UDP) desde y hacia Internet;
• Interfaz de tráfico entrante y saliente, ya sea una tarjeta Ethernet, una red VLAN
802.1Q, una VPN, un puente, un vínculo, una conexión PPPoE (ADSL por
ejemplo) o una conexión móvil de 3G (UMTS, por ejemplo / HSDPA);
• Tráfico clasificados por la modulación del tráfico en una clase determinada QoS
(VoIP, HTTP, peer to peer, ...) en relación con el tráfico general de la interfaz de
salida;
• Balance del tráfico de Internet en varias puertas de enlace WAN (Balanceo de
carga y conmutación por error) en comparación con el total de tráfico desde y
hacia Internet.
Los factores que contribuyen principalmente al uso de la CPU en orden creciente son: \
• las reglas del firewall, la clasificación QoS y el equilibrio de carga manual
• las reglas del firewall y QoS que utilizan los filtros de capa 7 para ejecutar el DPI,
cuando muchas conexiones están presentes. Tenga en cuenta que los filtros de L7
inspeccionan el contenido de los paquetes sólo en cuanto se establece una
conexión, mientras que el resto se identifican mediante el seguimiento de
conexiones (Connection Tracking). Esto pone de manifiesto que los filtros de
nivel de aplicación no cargan el sistema basándose en la banda utilizada, sino
sobre la base del número de nuevos TCP / UDP abiertos.
• Escribir el resultado del seguimiento de conexiones (Connection Tracking) en los
registros. Hacer un seguimiento de las conexiones TCP / UDP no es una
funcionalidad muy derrochadora en términos de CPU. Sin embargo, puede ser si
el sistema está configurado para registrar las conexiones (IP de origen, puerto de
origen, de destino IP, puerto de destino) en los registros.
• Captive Portal activos en una LAN con muchos clientes activos, pero aún no
autenticados. A menudo, la presencia de gusanos u otros programas que utilizan el
protocolo TCP en puertos 80 y 443 para otras solicitudes de HTTP/HTTPS
pueden empeorar la situación.
• El uso del HTTP Proxy transparente con antivirus (ClamAV) o un filtro de
contenido Web (DansGuardian). De hecho, tener que examinar el contenido de las
páginas Web inevitablemente sobrecarga la CPU. En tales casos, es necesario
también garantizar una cantidad de memoria RAM suficiente para evitar el
intercambio de discos.
VERDE indica el tráfico entrante y saliente por la puerta de enlace elegida, mientras que
el AZUL indica el tráfico total de Internet.
La relación porcentual entre el tráfico en el enlace elegido y el tráfico en general es en
mostrado con el color AMBAR.
Claves de activación
A diferencia de las otras funcionalidades Zeroshell, algunos de los gráficos estadísticos
sólo se generan si se activa mediante una clave de activación. Los siguientes gráficos no
requieren de desbloqueo:
• Sistema de carga
• Número de conexiones activas
• Trafico entrante / saliente de VPN, puente, lazos PPPoE y UMTS / HSDPA
• Clases QoS conectados a VPN, puente, lazos PPPoE y UMTS / HSDPA
Mientras que los gráficos a continuación requieren ser desbloqueos utilizando una clave
de activación:
• Trafico entrante / saliente en Ethernet / Wireless y 802.1Q e interfaces VLAN
• Clases QoS conectados a interfaces Ethernet / Wireless
• Balance de Carga para conexiones a Internet
Las claves de activación dependen de la dirección MAC de las tarjetas de red. Cada
tarjeta de red presente en el sistema requiere una clave de activación diferente para
obtener el gráfico correspondiente. Sin embargo, mediante la activación de la gráfica para
una interfaz Ethernet, se puede usar la misma clave para activar automáticamente el
gráfico relativo a la VLAN y las clases de QoS. Si múltiples SSID se definen en la misma
conexión Wi-Fi de la tarjeta de red, basta con activar el gráfico correspondiente a una
sola SSID y los otros gráficos relacionados con otro SSID automáticamente se
desbloquearan.
Como se ha mencionado antes, las claves de activación dependen exclusivamente de la
MAC de las interfaces Ethernet /Wireless y, en consecuencia, si Zeroshell está instalado
en el mismo hardware o simplemente cuando un nuevo perfil de configuración es creado,
entonces las claves de activación ya obtenidas pueden ser reutilizadas con éxito.
Las claves de activación se genera en base a los códigos de función comunicados a través
de e-mail (ver http://www.zeroshell.net/eng/activation) y pueden ser comunicados varios
códigos de función en la misma petición. Se necesita de una contribución al desarrollo de
Zeroshell para obtener las claves de activación. En la actualidad pueden ser
contribuciones como:
• Creación de un documento en formato HTML o PDF en un aspecto de la
configuración de Zeroshell. También puede ser una simple descripción de su
experiencia con Zeroshell. El autor del documento debe ser especificado y,
posiblemente, (opcional) su e-mail de referencia para permitir un contacto de los
lectores. Todas las actualizaciones para el documento debe ser hecha por el autor
de alojamiento en un espacio Web con acceso de edición. El URL del documento
estará vinculado en la sección de documentación.
• Una donación modesta a través de PayPal. Los ingresos serán utilizados para la
compra de hardware con fines de testeo y/o para cubrir los gastos de gestión.
La producción de la documentación es, sin duda la contribución más positive, pues
esperamos realmente apoyar a aquellos que desean configurar y utilizar Zeroshell. La
donación a través de Paypal sólo debe ser seleccionado cuando no tienes el tiempo para el
proyecto o la oportunidad de aportar a la documentación.
También tenga en cuenta que el mecanismo de clave de activación no influye en el
paquete MRTG cuyo código fuente se compila como disponible en su sitio oficial. La
activación se refiere a un lugar externo plug-in, escrito específicamente para Zeroshell,
por la que MRTG se configura para recopilar datos estadísticos.
Nota:
(*) Si en lugar de utilizar el paquete MRTG integrado prefiere exportar los contadores de
tráfico a través de SNMP y el uso de un paquete de control externo, instale el paquete
net-snmp compilados para Zeroshell.
CONFIGURACION DE SERVIDOR NTP Y LOGS EN ZEROSHELL
3º paso
2º paso
COMO CONFIGURAR EL EQUIPO UBIQUITI PARA QUE TOME LA HORA DEL SERVIDOR ZEROSHELL.
En mi caso:
1) El servidor Zeroshell en la tarjeta de red a través de la cual conecto el equipo ubiquiti,
tiene la dirección IP 192.168.2.1.
2) El equipo Ubiquiti tiene la dirección IP 192.168.2.8.
Entonces:
1) En el explorador de Windows, Mozilla, Crhome, Opera o cualquier otro navegador en la
barra de direcciones escribo la IP del Equipo Ubiquiti: http://192.168.2.8
2) Escribo el nombre del usuario y contraseña asignados al equipo.
3) Hago clic en la pestaña SERVICES:
4) Me ubico en el apartado NTP CLIENT y activo el Checkmark Enable NTP Client. Y en la
casilla de abajo escribo la dirección IP del servidor de Zeroshell según se muestra en la
Figura 2.
5) Hacemos clic en Change y luego en Apply.
6) Unos instantes después podemos ver en la Pestaña MAIN, como la fecha y hora del equipo
se ha actualizado. Ver Figura 3.
Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los
profesionales en seguridad informática es usado para registrar datos o información sobre
quién, qué, cuándo, dónde y por qué (who, what, when, where y why) un evento ocurre
para un dispositivo en particular o aplicación.
En mi caso:
1) El servidor Zeroshell en la tarjeta de red a través de la cual conecto el equipo ubiquiti,
tiene la dirección IP 192.168.2.1.
2) El equipo Ubiquiti tiene la dirección IP 192.168.2.8.
Entonces:
1) En el explorador de Windows, Mozilla, Crhome, Opera o cualquier otro navegador en la
barra de direcciones tipeo la IP del Equipo Ubiquiti: http://192.168.2.8
2) Escribo el nombre del usuario y contraseña asignados al equipo.
3) Hago clic en la pestaña SERVICES:
4) Me ubico en el apartado SYSTEM LOG y activo los dos Checkmark que se encuentran
debajo: Enable Log y Enable Remote Log. Luego en la casilla de abajo (Remote Log IP
Address) escribo la dirección IP del servidor de Zeroshell según se muestra en la Figura 5 y
debajo en Remote Log Port escribo el Numero del Puerto Configurado en el Zeroshell, en
este caso lo dejamos quietico en 514.
5) Hacemos clic en Change y luego en Apply. Con eso ya habremos activado el Equipo
Ubiquiti para que envie los LOGs al servidor de Zeroshell.
Un poco de Cultura….
¿Qué es un CA x.509?
Lo usa para entablar conexiones seguras SSL, para sincronizar datos vía VPN, para
expedir un certificado para la configuración de RADIUS SERVER, entre otros muchos
usos.
Si solo vamos a usar Zeroshell para probarlo y ver las diferentes funciones que tiene no
es necesario crear un CA personalizado ya que bastara con el que por default crea
zeroshell, pero si deseamos realizar una implementación de zeroshell en un ambiente
productivo o real que mejor que tener nuestros propios certificados que muestren
información sobre quienes somos realmente. (Esto no le quita el crédito a zeroshell
solo hablo de identificarnos nosotros mismos ante nuestra implementación).
Como podrán ver en el primer inicio nos dira que la conexión no esta verificada en pocas
palabras el certificado no es valido para las politicas de nuestro navegador, el movito no es que
sea dañino o falso nuestro certificado si no que el validador de mozilla de acuerdo a sus
politicas de Certificados ha leido a nuestra identidad Emisora de Certificados como no valida
pero eso no significa que estamos en problemas o que no va a funcionar, basta con hacer click
en “Entiendo los riesgos”
Al hacer clic en “Añadir Excepción” nos aparece una pantalla semejante a esta… vamos
a revisar unos cuantos datos haciendo clic sobre el botón “Ver…”
Personalizando un Certificado CA en Zeroshell. Osmosis Inc
Bien este es nuestro certificado digital el cual fue emitido por zeroshell al entablar una
conexión segura SSL , en el podemos apreciar información importante y relevante tal
es el caso quien lo emitió, y para quien lo emitió, así como la huella digital o firma del
certificado, podrán ver que por default aparece que lo emite zeroshell Example CA,
repito si a nosotros solo nos interesa probar zeroshell no tiene ningún caso hacer este
tutorial en cambio si vamos a implementar zeroshell para el ambiente en producción o
ambiente real y queremos que nuestro Certificado Digital aparezca que fue emitido
por nuestra implementación (institución, escuela, hospital), debemos personalizarlo ,
¿Cómo hacerlo?, aquí comenzamos….
Personalizando un Certificado CA en Zeroshell. Osmosis Inc
Una vez que hemos agregado la excepción de certificado y hecho login in previamente
en la interface web de zeroshell…
Una vez que hemos ingresado a “Setup” podremos ver un form de la siguiente manera:
Personalizando un Certificado CA en Zeroshell. Osmosis Inc
Personalizamos cada uno de los campos del formulario con la información que deseamos:
Por ejemplo yo quiero que mi nombre común sea Magnolias Inc. Entonces Borro los
datos actuales e introduzco mi dato.
El Key Size: lo dejamos por ahora en default o el valor de 1024 bits.
Validity (Days): se refiere a la cantidad de días en que nuestro Certificado será
valido.
Country Name: Para nuestro caso que estamos en México es MX el valor.
Satate or Province: Aquí podemos agregar un dato más sobre en que estado
nos encontramos o simplemente dejarlo en blanco.
Locality: La localidad actual.
Organization: Organización a la que pertenecemos o institución.
Organization Unit: Departamento para el cual estamos expidiendo el
Certificado
Email Address: Aquí va el mail de contacto o del administrador de la red
generalmente.
De acuerdo a nuestro Ejemplo tendriamos algo asi:
Personalizando un Certificado CA en Zeroshell. Osmosis Inc
Nos mostrara una advertencia que nos dice: PRECAUCIÓN: Si continuas con esta operaciones
se perderan todos los Certificados y Llaves Privadas ya creadas (Incluyendo HOST y Certificados
de Usuarios Tambien), y el certificado de Autoridad sera reiniciado. Aún asi deseas continuar?
Ahora nos haciendo clic en la pestaña con la leyenda “List” entramos a la lista para regenerar
algunos certificados:
Una vez que estamos en el listado de certificados hacemos clic sobre el botón “Create” para
generar el nuevo certificado al usuario “Admin”
Personalizando un Certificado CA en Zeroshell. Osmosis Inc
Para este test puede ingresar desde otra maquina de la lan conectad a zeroshell y observar los
datos del certificado:
Personalizando un Certificado CA en Zeroshell. Osmosis Inc
5. CRUCIAL: Usando el administrador de discos o otro software elimina todas las posibles
particiones que contenga dejando solo una.
Veras una lista de las unidades disponibles en tu sistema (si no las ves es que no
estas como administrador)
En el ejemplo pueden ver que PhysicalDrive1 es mi unidad usb.
10. Recibira un mensaje de alerta indicando el disco que ha escogido, si esta seguro
teclee “y”
11. La imagen se empezara a escribir en el pendrive usb, veras los bytes que lleva
escritos, ten paciencia que tarda un rato.
12. Cuando la grabacion ha finalizado el pendrive ya puede ser usado para arrancar
un pc con el zeroshell.
NOTAS:
En mis pruebas he usado varias combinaciones de software basado en windows para
grabar zeroshell:
• physdiskwrite (ganador)
Para poner en orden las ideas, vamos a suponer tener un ancho de banda
de Internet con 4 Mb/s de bajada y de 2 Mb/s de subida y asignar a las
clases de calidad (Qos) los parámetros de la Tabla 1
Garantizad
QoS Clases Protocolos Prioridad Maximo
o
VOIP SIP, H323, Skype, MSN Messenger Alta 1Mbit/s
eMule, EDonkey, KaZaA, Gnutella, 256Kbit/
P2P Baja
BitTorrent, Direct Connect s
SHELL ssh, telnet Alta
BULK ftp, smtp Baja
DEFAULT No clasificado Media
Ahora hay que crear el BRIDGE00 y agregarle las tarjetas de red ETH00 y
ETH01 de modo que el tráfico en la capa 2 pueda ser enviado entre ellas.
Sin embargo, tenga en cuenta que cuando una tarjeta se convierte en
miembro de un puente, automáticamente pierde cualquier IP y
configuración de VLAN.
Esto es un problema si estamos conectados a la interfaz grafica de
Zeroshell a través de una de las tarjetas que queremos añadir al Bridge.
Solucion:
En la consola de Zeroshell hay una opción llamada "Create a Bridge" que
permite migrar automáticamente la configuración (IPs y VLAN) de la
tarjeta de red que has elegido a la nueva configuración Bridge. Zeroshell
tarda unos 15 segundos en crear la nueva configuración, tiempo durante
el cual se pierde la conexión.
Los pasos necesarios para crear el BRIDGE00 (ETH00, ETH01) son los
siguientes:
Imagen 2
Asignación del ancho de banda global para las tarjetas
de red en modo Bridge.
La asignación del ancho de banda global para cada una de las tarjetas de
red es una operación fundamental para el buen funcionamiento de Qos.
De hecho, ya que el sistema no es capaz de estimar de forma dinámica la
disponibilidad de ancho de banda real, es necesario indicar una
estimación basada en el ancho de banda que se distribuirá a las
siguientes clases de QoS. Tenga en cuenta que si el ancho de banda real
disponible en un momento dado es inferior al estimado, la Qos en ese
momento no funcionara bien.
Los pasos necesarios para asignar el ancho de banda global para las
interfaces ETH00 y ETH01 son los siguientes:
• Crear la clase QoS “BULK” con la descripción " Large data transfer
" y establecerla a baja prioridad;
Para clasificar el tráfico interactivo en la Qos Shell que tiene una baja
latencia utiliza las características de un servidor ssh que escucha en el
puerto TCP 22 y el telnet en el puerto TCP 23. Se necesitan cuatro
reglas, ya que el clasificador debe clasificar los paquetes con puerto de
origen y destino iguales a estos valores (22 y 23). Este es un ejemplo de
estas reglas.
• Para clasificar la mayor parte del tráfico generado por las
transferencias de correo electrónico se utiliza la característica de
que un servidor SMTP escucha en el puerto 25/tcp (ver la imagen);
• Aunque el FTP utiliza el puerto 21/tcp para inercambiar los
comandos, las transferencias tienen lugar en puertos aleatorios y
por lo tanto la manera más fácil de clasificar es la clase BULK, es
mediante el uso de la capa 7 del filtro (ver la imagen).
Para cada tarjeta de red en la cual Qos esta activada, usted puede ver
las clases Qos asociadas y para cada clase puede ver la configuración
(prioridad, máximo ancho de banda y ancho de banda garantizado) así
como la cantidad de bytes que se envían fuera de la clase y el tipo, es
decir, el número de bits por segundo que se transmiten de la clase.
Además, es posible mostrar el gráfico sobre el tráfico saliente
clasificado por tipo de tráfico.
Configuración de un cliente OpenVPN en Windows, Linux, Mac OS
X y Windows Mobile para Pocket PC
El propósito de este breve documento es guiar a configurar el cliente para obtener acceso a su red
local a través de OpenVPN. Vamos a considerar la interfaz de usuario principal de OpenVPN para
Windows, Linux, Mac OS X, Windows Mobile para Pocket PC y poner fin al uso de OpenVPN desde la
línea de comandos sin interfaz gráfica de usuario. Esta última posibilidad es útil porque el comando
OpenVPN, Convocada por sistema (ya sea un comando de shell de Unix del sistema de Windows),
acepta los mismos parámetros y se comporta de la misma manera, independientemente de la
plataforma. Por otra parte, el comando OpenVPN se puede utilizar en scripts para automatizar el inicio
automático de la VPN.
Nuestro objetivo es tener acceso a un servidor VPN con Zeroshell construido y configurado con los
parámetros por defecto. Para lograr este servidor será suficiente, por lo tanto, una vez en una red de
servidores Zeroshell, simplemente habilitar el servicio OpenVPN activar la casilla de Habilitado en el
[VPN] -> [l] Zeroshell interfaz Web. Por defecto, el servicio de nuestro servidor OpenVPN escuchara
en el puerto 1194/TCP con encriptación TLS / SSL y compresión lzo habilitado. La autenticación de
usuarios se hará con nombre de usuario y contraseña, pero también la varieremos de su configuración
para poner la autenticación con certificados digitales X.509.
Para más detalles sobre la configuración de un servidor OpenVPN, que están fuera del alcance de este
documento, puede consultar la guía "Un servidor con OpenVPN Zeroshell.
Éstas son las secciones que conforman el resto de esta guía. Tenga en cuenta que la primera de ellas,
“archivo de configuración de OpenVPN” es común a otras secciones y es independiente de la interfaz
gráfica de usuario o el sistema operativo que utilice.
#================================================= ===========================#
# Deja que la siguiente entrada es necesaria si desea nombre de usuario y
contraseña. #
# Comentario si desea utilizar la autenticación con certificados X.509. #
#================================================= ===========================#
-auth user-pass
#================================================= ===========================#
# No importa el tipo de autenticación, siempre debe especificar un #
# Archivo en formato PEM, que contiene el certificado de la Certificación #
# Autoridad que firmó el certificado del servidor OpenVPN. #
# Se puede obtener este certificado, haga clic en el enlace en la página # CA
# Nombre de ZeroShell. #
#================================================= ===========================#
ca CA.pem
#================================================= ===========================#
# Si desea utilizar la autenticación X.509, debe especificar el archivo #
# Contiene el certificado y su clave privada en formato PEM. #
# Usted puede unirse al certificado y la clave privada en el mismo archivo. #
#================================================= ===========================#
, Client.pem cert
; Client.pem clave
#================================================= ===========================#
# No debería ser necesario configurar los siguientes parámetros #
#================================================= ===========================#
comp-lzo
verb 3
silenciar 20
resolv-retry infinito
nobind
cliente
dev tap
persisten-clave
persisten-tun
Para cada parámetro que podría ser de interés para el usuario, el archivo de configuración contiene un
comentario. Sin embargo, sólo hay dos parámetros que usted necesita definitivamente cambiar para
poder conectarse a un servidor construido con OpenVPN Zeroshell:
ca CA.pem
Parámetro ca indica un archivo en formato PEM que contiene el certificado X.509 de la Autoridad de
Certificación que firmó el certificado del servicio del servidor OpenVPN. Para obtener este certificado,
simplemente, haga clic en el enlace en la página de acceso CA Zeroshell (véase el Figura).
Figura.
Observe que los OpenVPN GUI no dará ningún apoyo a la creación o modificación de archivos de
configuración. Sólo permite la conexión, desconexión y requiere nombre de usuario y contraseña
cuando sea necesario. Este archivo debe ser editado manualmente.
OpenVPN GUI para Windows
Para instalar OpenVPN GUI para Microsoft Windows XP 32-o 64 bits, haga lo siguiente:
Al hacer clic en el botón derecho del ratón sobre el icono de la barra de tareas de OpenVPN aparece
un menú con varias opciones útiles que se enumeran a continuación y hablan por sí solas: Conectar,
Desconectar, Mostrar el estado, Ver Log, Editar, Configurar, Configuración de proxy. En particular, si
usted experimenta problemas de conexión y útil la opcion Ver Log para determinar la causa del fallo.
Pero si se realiza la conexión, entonces la terminal 2 del icono es verde, pera llegar a la red LAN
remota o Internet, puede que quiera usar el comando ipconfig / all
He aquí un ejemplo:
Si tiene problemas para conectarse, puede ser útil consultar los registros de OpenVPN para determinar
la causa del problema,. Para ello sólo tiene que seleccionar el icono de la Tunnelblick [Detalles].
Si desea verificar que la dirección IP que utiliza la VPN, pertenece realmente a la red LAN remota está
conectado, abra una terminal y Mac OS X en el shell del sistema, escriba el comando:
ifconfig tap0
Kvpnc Linux
Kvpnc Linux es una interfaz que controla la mayor parte de clientes VPN disponibles: Cisco VPN,
IPSec, PPTP, OpenVPN, L2TP. Es muy amplio y flexible, de modo que también tiene soporte para
tarjetas inteligentes Obviamente, en este contexto, el documento de instalación y configuración única
en OpenVPN. Hay paquetes precompilados para la mayoría de distribuciones de Linux como RPMs
para SuSE y Fedora. En cuanto a Ubuntu y Kubuntu (o Debian otros derivados), puede instalar kvpnc
con OpenVPN simplemente con los comandos:
Tenga en cuenta que a diferencia de otras interfaces gráficas de usuario, el paquete no incluye la
kvpnc OpenVPN en cambio, se instalan por separado. A fin de mantener la discusión lo más
independiente posible de la distribución de Linux en particular, compilar los fuentes directamente
kvpnc, pero si hay un paquete binario para su distribución, se invita a utilizarlos.
Desde kvpnc utiliza la biblioteca Qt, la presencia de estas bibliotecas y de cualquier archivo es un
requisito previo para la compilación. En los pasos siguientes, vamos a suponer que OpenVPN ya está
instalado. Si no, véase el párrafo Compilación e instalación de OpenVPN.
Ahora se procede con la instalación y configuración de kvpnc:
De esta manera, kvpnc tendrá los privilegios de root que necesita para crear la interfaz virtual
Ethernet tap0 y agregar rutas estáticas a la ruta del tráfico de la VPN;
• Importar el perfil para conectarse a un servidor VPN Zeroshell con el siguiente comando:
Pulse [Aplicar] y luego [Aceptar] en el Administrador de perfiles y [Perfil] -> [Guardar perfil ...]
guardar el perfil y cerca de kvpnc con el elemento de menú [Archivo] -> [Salir];
• A continuación, ejecute el comando / usr / sudo / bin / kvpnc y pulse [Connect] para conectarse
a VPN Zeroshell. En este punto se requiere de usuario y contraseña (ver Nota *) Y si la
autenticación es satisfactoria, la conexión VPN se establece con la red remota.
Para comprobar que la dirección IP que está utilizando la VPN, lo que realmente pertenece a la red
LAN remota está conectado, simplemente abra un intérprete de comandos y escriba el comando:
Cualquier falta de consulta a los registros de acceso para conectarse \ Archivos de programa \
OpenVPN \ log \ zeroshell.log. Por último, para verificar que el tráfico a la red remota o Internet es en
realidad encapsulada en el túnel de VPN encriptado, debe realizar una traceroute y comprobar que
cumple con el primer salto pertenece a la red LAN remota (el valor predeterminado es Zeroshell
192.168.250.254). Sin embargo, Windows Mobile no se ha trazado de forma nativa y por ello es
necesario instalar una utilidad externa. El software libre es útil para ceNetTools que, además de
traceroute También le permite realizar comandos Ping y el comando Whois.
La línea de mando de OpenVPN
Si el sistema que está utilizando no tiene un interfaz gráfico para OpenVPN o la manera en que desea
automatizar el inicio de la conexión VPN a través de los scripts de inicio, debe utilizar el comando
directamente OpenVPN. Sólo tienes que escribir openvpn hombre que están disponibles para realizar
una serie de parámetros que pueden influir en el comportamiento de la VPN. Estos parámetros se
pueden especificar directamente en la línea de comandos precedidos por un guión doble (--), o se
inserta en un archivo de configuración. Salvo unos pocos casos, siempre debe utilizar el archivo de
configuración porque es más fácil de leer que una línea de comandos agobiados por numerosos
parámetros. No es el alcance de este documento responde a los parámetros de OpenVPN, en parte
porque las páginas de manual que viene con el comando hombre están bien detallados. Ver sólo los
pasos para conectarse a un servidor construido con OpenVPN Zeroshell:
• Descarga desde el sitio http://openvpn.net el paquete que contiene el código fuente de la última
versión estable disponible;
• Extraiga el contenido del paquete fuente utilizando el comando tar de la siguiente manera:
tar xvfz openvpn-2.0.9.tar.gz
• Introduzca el directorio directorio openvpn-2.0.9 a través de comandos
cd openvpn-2.0.9
• Ejecute el sistema de control para la producción de Makefile con el comando:
. / Configure - prefix = / usr /
Desde la instalación del sistema de directorio / Usr /, Este comando debe ejecutarse con
privilegios de administrador.
Notas
(*) La forma en que se validan las credenciales del usuario depende de la configuración del servidor
OpenVPN. Zeroshell le permite añadir dominios de autenticación múltiples, cada uno de los cuales
pueden ser autenticados en el KDC de Kerberos 5 (local, externo o por medio de la autenticación), o
un servidor RADIUS externo. Uno de estos dominios es el valor predeterminado, lo que significa que el
usuario que especifica el nombre de usuario no está obligado a declararlo explícitamente. En otros
casos, el nombre de usuario debe ser en forma nombre de usuario @ dominio (fulvio@example.com
por ejemplo). Tenga en cuenta que el dominio no es sensible a mayúsculas, porque si es un
Kerberos V, Zeroshell lo convierte automáticamente a mayúsculas.
Elige ahora cadena FORWARD y haga clic en Ver, estas son las políticas para conseguir a través del
firewall: