Author Topic: Configuraciones VPN (Read 5233 times)

vendetta · « **on:** December 04, 2011, 03:11:15 am »

Hola a todos:

Poco a poco he estado aprendiendo a usar Zentyal.
El punto donde me encuentro ahora es la configuración de VPN's

Mi servidor tiene 2 interfaces externas y 2 internas
Las 2 interfaces externas son PPoE
Las interfaces internas son 192.168.1.254 y 192.168.100.254
Levanté un servidor VPN de nombre Balam con dirección VPN 192.168.160.0/24
El protocolo es UDP en el puerto 1194
Autorización de cliente por nombre común deshabilitado
Traducción de dirección de red (NAT) deshabilitado
Conexiones cliente-cliente habilitado
Permitir túneles Zentyal-Zentyal deshabilitado
Se le asignó un certificado llamado vpn-Balam en la autoridad de certificación
La interfaz de escucha es la eth0 que es la interfaz externa predeterminada

En el dashboard ya tengo un demonio VPN Balam ejecutándose en a dirección pública de eth0
La dirección de interfaz VPN es 192.168.160.1 en tap1

En la autoridad de certificación he creado un certificado llamado ClientesVPN
Los archivos de configuración para el cliente son de tipo Windows
El certificado para clientes es ClientesVPN
En dirección del servidor le escribí plataformabalam.dyndns.org que es el dominio dinámico gestionado en el mismo zentyal.

El servidor tiene activos otros servicios con el mismo dominio dinámico como son servidor web, redirección de puertos para escritorios remotos, etc.

Al intentar una conexión de cliente desde un punto remoto, no se logra la conexión.
El cliente al parecer dice que ha fallado la autenticación.
En los registros del firewall se indica que se están rechazando conexiones UDP en el puerto 1149.

Según entiendo en las reglas de filtrado de paquetes no necesitan hacerse cambios adicionales para estas conexiones.

Adjunto captura de pantalla del cliente VPN

Estoy haciendo algo mal?
Hay que agregar servicios y/o reglas de filtrado?

Saludos

vendetta · « **Reply #1 on:** December 04, 2011, 03:55:22 am »

Usando la opción de túneles IPSec tampoco logro arrancar el demonio
En la configuración he puesto lo siguiente:

Dirección IP Local: 192.168.1.254
subred local: 192.168.1.0/24

Dirección IP remota: 192.168.2.1
subred remota: 192.168.2.0/24

En la pestaña autenticación:

fase1
cifrado IKE: aes-256
autenticación IKE: sha-1
IKE keylife: 28800

fase2
cifrado ESP: aes-256
autenticacion ESP: sha-1
grupo ESP DH: 2
vida de clave ESP: 3600
habiitar PFS: si

con esta configuración en el dashboard, en el cuadro de estado de los módulos, IPSec, aparece DETENIDO. Si doy click en ARRANCAR, me indica que fue reiniciado correctamente, pero el estado no cambia.

en las direcciones locales y/o remotas tendria que poner los dominios dinámicos que tengo en ambas redes en lugar de las direcciones que yo he usado?
el servicio quedara ejecutándose hasta que se establezcan las conexiones?

Escorpiom · « **Reply #2 on:** December 04, 2011, 06:16:21 am »

Esto me paso a mi tambien ahora dias.
Necesitas abrir una consola. Lo puedes hacer por ejemplo con putty (SSH) o en la misma maquina.

Code: [Select]

sudo service ipsec stop
luego esto

Code: [Select]

sudo service ipsec start

Ahora debe aparecer iniciado el modulo en la pagina de administración de Zentyal.
No tengo claro si esto es un bug, pero ahora que veo tu post, no puede ser coincidencia.

Saludos.

vendetta · « **Reply #3 on:** December 04, 2011, 07:18:31 am »

Perfecto!!!
IPSec ejecutándose... falta probar conectividad con la otra subred...
OpenVPN sigue igual....

El lunes actualizo el estado...
Gracias y saludos.

FerminNS · « **Reply #4 on:** December 05, 2011, 10:50:19 am »

Hola,

comprueba que en Cortafuegos > Filtrado de paquetes > Reglas añadidas por servicios de Zentyal

te aparece una linea que pone --protocol udp --destination-port 1194 ACCEPT

Prueba también a desactivar el modulo de vpn, guardar cambios y activarlo de nuevo.

vendetta · « **Reply #5 on:** December 05, 2011, 08:27:00 pm »

Todas las reglas necesarias están en el firewall... deshabilité los módulos y los levanté nuevamente y nada que funciona...

jsalamero · « **Reply #6 on:** December 08, 2011, 12:07:07 pm »

Prueba a cambiar el protocolo del OpenVPN de UDP a TCP, o bindear a una de las interfaces, seguramente sea ese el problema.

acon · « **Reply #7 on:** January 02, 2012, 07:42:05 pm »

A mí tambien me salia lo del servicio IPSEC parado.
Con service ipsec restart ya está arriba, pero no funciona el tunel.
Mi escenario es muy sencillo: Dos subredes con IP estatica publica y dos subredes privadas 192.168.x diferentes.
Lo he puesto en marcha muchas veces a mano con setkey/racoon, pero quiero migrar a tuneles ipsec administrador por zentyal por facilidad de administración.
La verdad es que no hay mucho que tocar, he puesto las direcciones correspondientes en cada lado, pero nada.
Con ipsec verify obtengo:

Code: [Select]

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.23/K2.6.32-37-server (netkey)
Checking for IPsec support in kernel                            [OK]
NETKEY detected, testing for disabled ICMP send_redirects       [FAILED]

  Please disable /proc/sys/net/ipv4/conf/*/send_redirects
  or NETKEY will cause the sending of bogus ICMP redirects!

NETKEY detected, testing for disabled ICMP accept_redirects     [FAILED]

  Please disable /proc/sys/net/ipv4/conf/*/accept_redirects
  or NETKEY will accept bogus ICMP redirects!

Checking for RSA private key (/etc/ipsec.secrets)               [OK]
Checking that pluto is running                                  [OK]
Pluto listening for IKE on udp 500                              [OK]
Pluto listening for NAT-T on udp 4500                           [OK]
Two or more interfaces found, checking IP forwarding            [OK]
Checking NAT and MASQUERADEing
Checking for 'ip' command                                       [OK]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]

El archivo /var/log/auth.log esta lleno de esto:

Code: [Select]

Jan  2 19:40:47 gila sudo:     ebox : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/var/lib/zentyal/tmp/pBdG14q_GX.cmd
Jan  2 19:40:47 gila sudo:     ebox : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/var/lib/zentyal/tmp/A0t2gPFRcE.cmd
Jan  2 19:40:47 gila sudo:     ebox : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/var/lib/zentyal/tmp/tzEu8Nca_v.cmd
Jan  2 19:40:47 gila sudo:     ebox : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/var/lib/zentyal/tmp/V_um6eN0Jd.cmd
Jan  2 19:40:47 gila sudo:     ebox : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/var/lib/zentyal/tmp/TWBZ_Juil4.cmd
Jan  2 19:40:47 gila sudo:     ebox : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/var/lib/zentyal/tmp/WvplzDHSem.cmd
Jan  2 19:40:48 gila sudo:     ebox : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/var/lib/zentyal/tmp/lIpdNmr86j.cmd
Jan  2 19:40:48 gila sudo:     ebox : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/var/lib/zentyal/tmp/nUqxSKDYna.cmd
Jan  2 19:40:56 gila sudo:     ebox : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/var/lib/zentyal/tmp/EafqbgmIOW.cmd

Una ayudita?

acon · « **Reply #8 on:** January 03, 2012, 06:23:28 pm »

Por mi parte ya me funciona. A modo de referencia, decir que el problema consistia en que hay que añadir una regla desde internet a zentyal y desde internet a redes internas, peritiendo el trafico a la otra red en cada site (tanto la Ip wan como la subred interna).
Con estas reglas, ya puedo comunicarme desde cualquier nodo de una red con cualquier nodo de la otra.
No he podido conectarme con otros nodos donde tengo racoon/setkeys, pero son a extinguir por lo que no pierdo más tiempo.

vendetta · « **Reply #9 on:** January 04, 2012, 05:23:20 pm »

Podrías indicarnos que reglas son las que usaste?

acon · « **Reply #10 on:** January 04, 2012, 06:06:53 pm »

En cada site, he creado un objeto que contiene la dirección publica y la subred del contrario.
Con ese objeto, montas dos reglas de firewall. Una desde redes externas a zentyal y otra desde redes externas a redes internas.
En esas reglas, permites el trafico para ese objeto a todos los destinos y todos los servicios y seleccionas equivalencia inversa.
Con esto yo puedo hacer ping desde cualquier nodo de una red a cualquier nodo de la otra.
Una vez comprobado que funciona, ya puedes afinar las reglas para que no todos accedan a todo.

vendetta · « **Reply #11 on:** January 04, 2012, 06:37:29 pm »

OK, gracias por el dato.
Yo tengo un problema de conexión por IPSec, por que en un site tengo un Zentyal y en el otro tengo un router Draytek que puede hacer tuneles IPSec en modo cliente, pero no logro la conexión.
Saludos

acon · « **Reply #12 on:** January 04, 2012, 07:16:18 pm »

Uf, eso puede ser complicado. Zentyal no te permite muchas variaciones sobre la configuración de openswan.
Empieza buscando sobre tuneles entre openswan y draytec:
http://www.codexsoftware.co.uk/blog/computers/openswan-lan-to-lan-ipsec-tunnel-to-draytek-2820/

Cuando consigas un archivo configuración de openswan que funcione con tu router, quizas puedas implementar las plantillas necesarias para que zentyal te genere lo que necesites en el archivo de openswan.
Suerte

vendetta · « **Reply #13 on:** January 04, 2012, 07:22:46 pm »

De nuevo gracias. Si ya me había topado antes con esa página, pero no he intentado con esa opción.
Veremos que sucede

Cookies usage

Author Topic: Configuraciones VPN (Read 5233 times)

vendetta

Configuraciones VPN

vendetta

Re: Configuraciones VPN

Escorpiom

Re: Configuraciones VPN

vendetta

Re: Configuraciones VPN

FerminNS

Re: Configuraciones VPN

vendetta

Re: Configuraciones VPN

jsalamero

Re: Configuraciones VPN

acon

Re: Configuraciones VPN

acon

Re: Configuraciones VPN

vendetta

Re: Configuraciones VPN

acon

Re: Configuraciones VPN

vendetta

Re: Configuraciones VPN

acon

Re: Configuraciones VPN

vendetta

Re: Configuraciones VPN