ZeroShell    Forum
   Feed Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      ¿Qué es esto?
      Imágenes
      Licencia
      Anuncios
      Lista de correo
      Forum
      Documentación
      FAQ
      Hardware
      Download
      Actualización on-line
      Kerberos Tutorial  
      Aviso legal
      Contacto


  Más detalladamente:
      Gráficos
      Net Balancer
      Router UMTS
      Antivirus proxy
      Punto de acceso WiFi
      OpenVPN cliente
      Servidor OpenVPN
      QoS
      OpenDNS
      Kerberos 5
      NIS y LDAP
      Certificados X.509
      RADIUS
      Portal Cautivo
      VPN
      Firewall





Router VPN Host-a-LAN utilizando OpenVPN

El propósito de este documento es describir cómo configurar una puerta de enlace OpenVPN para el Host-a-LAN VPN (red privada virtual). Las secciones en las que el cómo-a se divide son las siguientes:

¿Por qué utilizar OpenVPN como puerta de enlace VPN?

Zeroshell fue capaz de actuar como puerta de enlace VPN para las conexiones de host-a-LAN ya está empezando con su primer lanzamiento. Sin embargo, sólo el VPN L2TP/IPSec con el apoyo. Esta combinación de túneles, el primero (IPSec) autenticado por el IKE con certificados X.509 y la segunda (L2TP) autenticado con credenciales de usuario y contraseña contra el local KDC Kerberos 5, ha mostrado sus límites en breve. Muchas de las cuestiones de L2TP/IPSec, que se han resuelto mediante el uso de OpenVPN, se enumeran a continuación:
  • No es posible evitar el despliegue de un certificado X.509 y la clave privada relacionada con cualquier cliente de VPN. Este problema se puede resolver la construcción de una PKI (Infraestructura de Clave Pública) para firmar y administrar certificados X.509. Zeroshell tiene el módulo de Autoridad de certificación X.509, pero en cualquier caso, su gestión podría tomar demasiado tiempo para algunas organizaciones
  • Después de la autenticación X.509, no es posible evitar la autenticación en segundo lugar con nombre de usuario y contraseña. Este doble autenticación, en algunos casos, podría considerarse una pérdida de tiempo, especialmente cuando el certificado se almacena en una SmartCard y para desbloquear la clave privada, el código PIN que se necesita ya;
  • El L2TP/IPSec clientes VPN no son fácilmente configurables también en el caso en que el sistema operativo incluye soporte nativo para este tipo de VPN;
  • O bien el cliente llega a Internet a través de un router NAT o el servidor VPN tiene una dirección IP privada, el protocolo IPSec tiene algunos problemas de autenticación por el hecho de que la puerta de enlace NAT modifica las cabeceras IP. La solución a este tipo de problemas consiste tanto en el uso de los routers NAT de no normalizados VPN pass-through técnicas o en el NAT-T (NAT Transversal), que permiten encapsular los paquetes de IPSec en el flujo UDP (puerto 4500). El NAT-T es un protocolo estándar, pero los clientes VPN necesidad de negociar el uso del mismo con la puerta de enlace VPN sólo cuando no es en realidad un dispositivo NAT entre ellos.
Para evitar los problemas relacionados con el uso de L2TP/IPSec, comenzando con el lanzamiento 1.0.beta7 de Zeroshell, es posible configurar el uso de OpenVPN para actuar como puerta de enlace VPN para las conexiones de la roadwarrior. Tenga en cuenta que, Zeroshell ya estaba usando OpenVPN para hacer posible VPN de sitio a sitio, ya sea en modo de ruta o un bridge y con la posibilidad de transportar las VLAN 802.1Q a través de Internet. La estabilidad y la flexibilidad demostrada en la VPN LAN-to-LAN ha empujado en la dirección de la utilización de este software también para los host-a-LAN. Las ventajas en el uso de OpenVPN en roadwarrior VPN son:
  • El servicio de OpenVPN es muy configurable y fácil utilizando la interfaz web (ver la imagen);
  • Además de la autenticación de cliente X.509 que exige que cualquier usuario tiene un certificado personal y la clave privada relacionada, utilizando OpenVPN es posible autenticarse con nombre de usuario y contraseña, ya sea en un servidor RADIUS externo o en contra de un externo y lo local KDC Kerberos 5 (ver la nota *). La capacidad de última hace posible la autenticación de los usuarios de un dominio de Microsoft Active Directory.
  • Como se puede ver en el documento de configuración Cliente OpenVPN para Windows, Linux, Mac OS X y Windows Mobile para Pocket PC, una interfaz gráfica de usuario OpenVPN se puede instalar en los sistemas operativos más utilizados;
  • Cuando OpenVPN está configurado para utilizar los dispositivos TAP (que son software de interfaz Ethernet), que encapsula las tramas Ethernet en el túnel SSL cifrado. La ventaja en el uso de una VPN Ethernet es que, además del modo enrutado en la que la puerta de enlace VPN actúa como una capa de 3 router, es posible salvar las interfaces Ethernet física con las VPN. De esta manera, no sólo el protocolo IP se pueden enviar a través de la VPN, pero también otra capa tres protocolos como SPX/IPX de NetWare, AppleTalk y NetBEUI.
    Porque en modo de bridge, la emisión de Ethernet se transmiten también a través de la VPN, es posible utilizar, para los clientes de VPN remotos, el mismo servidor DHCP utiliza para entonces LAN.
  • En última instancia, el enfoque de OpenVPN parece sólida, porque no sólo utiliza algoritmos de cifrado más fuerte disponible en las bibliotecas de OpenSSL, sino también a los desarrolladores son cuidadosos acerca de la calidad del código. Esto hace que OpenVPN un software seguro y estable mediante la reducción de la presencia de agujeros de seguridad.
OpenVPN interfaz web
OpenVPN interfaz web. Haga clic en la imagen para ampliarla.

Predeterminado de configuración de VPN host-a-LAN con OpenVPN

La configuración por defecto de VPN host-a-LAN permite iniciar el servicio lo más fácil posible. De hecho, con el fin de conectarse a Zeroshell de VPN, haga clic en el pabellón habilitado en el [VPN][Host-a-LAN (OpenVPN)] en la sección (véase el ilustración) para iniciar el proceso openvpn que escucha las conexiones entrantes. Para la instalación del cliente rápida, use la zeroshell.ovpn archivo de configuración disponibles en la sección de descargas. Los parámetros especificados en este archivo de instalación del cliente refleja la puerta de enlace VPN configuración por defecto y sólo la dirección IP y el nombre de host para conectarse a necesitar ser cambiado. Para más información sobre la configuración del cliente VPN, consulte el siguiente Cómo se hace.
Características por defecto de configuración, junto con las razones de esta elección, se enumeran a continuación. Echando un vistazo a la ilustración que corresponde a la configuración inicial de OpenVPN puede ser útil como un resumen.
  • OpenVPN le permite seleccionar el protocolo UDP o TCP transporte en la que se encapsula en el túnel SSL cifrado. Zeroshell utiliza TCP por defecto ya que rápidamente se renegocia la conexión VPN si está fuera de servicio por problemas de conectividad. Con UDP por el contrario, cuando el servicio se ha reducido, el cliente y el servidor sólo vuelva a intentar la conexión después de un cierto número de segundos establecido por el --ping-restart parámetro. Sin embargo, cabe señalar que cuando se utiliza TCP como el transporte del túnel para las conexiones que, a su vez, puede ser TCP o UDP, hay una casualidad mayor que cuando se utiliza UDP. La razón de esto se encuentra en el hecho de que TCP, un protocolo orientado a la conexión, ejecutar controles de integridad si VPN encapsulación es redundante, ya que la integridad de datos es de nueva controlada por los flujos que cruzan VPN. No obstante, se ha visto que esta sobrecarga es insignificante y el potencial de rendimiento con TCP es casi lo mismo que aquellos con UDP. Otro factor determinante en el uso de TCP fue la consideración del hecho de que los puertos TCP se debe menos obstruye con frecuencia en servidores de seguridad de los UDP.
  • Además del protocolo, el puerto en el que se aceptan las conexiones de cliente también se puede seleccionar. De forma predeterminada, Zeroshell utiliza el puerto 1194 ya que este es el oficial asignado por IANA a OpenVPN.
  • La autenticación se configura de manera que sólo los nombres de usuario y contraseñas de los usuarios locales se autentican Zeroshell. Autenticación con certificados digitales X.509 o RADIUS remoto o servidores de Kerberos 5 no es lo suficientemente intuitiva para ser incluido en la configuración por defecto.
  • Dado que la autenticación de cliente con X.509 está desactivado por defecto, el servidor OpenVPN requiere un certificado a fin de establecer un canal cifrado con los clientes VPN. Por defecto, este certificado es el que genera automáticamente Zeroshell en el primer arranque.
  • De forma predeterminada, se ejecuta Zeroshell OpenVPN en modo de enrutamiento de direcciones IP en la subred 192.168.250.0/255.255.255.0, y puerta de enlace predeterminada y DNS 192.168.250.254 (sí mismo). Además, la fuente de NAT está habilitado por defecto para evitar tener que configurar las rutas estáticas o habilitar RIP versión 2 del protocolo en los routers para llegar a los clientes conectados en VPN.
  • Por último, la compresión y el cifrado del tráfico lzo están habilitadas. Sin embargo, estas dos características no se puede establecer mediante la interfaz web y, por lo tanto, no se puede desactivar.
En este punto, después de haber echado un vistazo a la configuración inicial de VPN host-a-LAN, ahora vamos a ver cómo se modifica el comportamiento Zeroshell a nuestras necesidades. Es obvio que OpenVPN software tiene una configuración muy flexible gracias a sus numerosos ajustes, pero que la interfaz web Zeroshell sólo permite un número limitado de ellos para ser editado. En el intento de evitar el problema, la página de configuración incluye una línea de comandos de campo Parámetros de configuración donde se pueden introducir directamente en el proceso de openvpn.

OpenVPN autentificación con nombre de usuario y contraseña

Usando el cuadro de selección de autenticación (véase ilustración) el método de autenticación se pueden seleccionar con nombre de usuario y contraseña sólo, certificado digital X.509 o ambos. Para la autenticación con nombre de usuario y contraseña, las fuentes se pueden utilizar para verificar las credenciales. Zeroshell selecciona el proveedor de autenticación correcta basada en el dominio indicado en el nombre de usuario, que debe estar en formato usuario @ dominio. Si el usuario no indica el dominio, Zeroshell utiliza el dominio predeterminado cuya configuración se describen más adelante y que en principio coincide con la base de datos de usuarios locales. Las fuentes de autenticación puede ser Kerberos 5 servidores, realm Kerberos de autenticación (relación de confianza) con locales KDC o servidores RADIUS externos. La Ilustración continuación se muestra cómo configurar dominios de autenticación.
Autenticación de OpenVPN
Las fuentes de Autenticación de OpenVPN.

Haga clic en el botón [+] en el marco de autenticación de contraseña para abrir un formulario que se utiliza para configurar el dominio de autenticación.

Dominio Kerberos 5

Se trata de un entorno Kerberos 5. Escriba el nombre en el campo de nombres de dominio y seleccione externos Kerberos 5 o de confianza Kerberos 5. En el primer caso, las credenciales son simplemente verificar tratando de adquirir un TGT (Ticket de concesión de vales) para el usuario. En el segundo caso, además de TGT adquisición, la adquisición de un vale de servicio es válido también intentó explotar la relación de confianza entre el dominio local de Zeroshell y el externo. Es obvio que este segundo caso ofrece un mayor nivel de seguridad debido a la verificación de la autenticidad del servidor externo de Kerberos, pero requiere una configuración más expertos ya que la relación de confianza tiene que establecer en ambos Zeroshell y la externa KDC.
Recuerde que en esta fase, sólo el nombre de dominio se especifica, pero no la autoridad de los servidores Kerberos para este reino. La forma en que Zeroshell sabe que KDC para ponerte en contacto para verificar las credenciales del usuario remoto que desea conectarse en la VPN se encuentra en la forma activada por [Kerberos 5][Reinos]. Aquí, el medio externo, con la lista de servidores Kerberos pertinentes se pueden agregar o descubrimiento automático que supone el uso de los registros DNS SRV específica para Kerberos se puede habilitar.
Si desea permitir que los usuarios del dominio de Microsoft Active Directory para ser autenticado en OpenVPN, sólo tiene que recordar que un servidor de Kerberos se ejecuta en cada controlador de dominio Windows 2000/2003 capaz de autenticar a los usuarios. Por lo tanto, sólo tiene que indicar el dominio de Active Directory como Kerberos 5 Exteriores Reino y agregar el reino con la lista de controladores de dominio en forma [Kerberos 5][Reinos]. Desde Directorio Activo DNS administrar los registros SRV para Kerberos, detección automática puede ser simplemente permitido en lugar de decir los controladores de dominio.
Por último, en el marco de autenticación de contraseña, tenga en cuenta que automáticamente autoriza a ninguna de confianza Kerberos 5 se marca. Si está activado, todos los usuarios de dominios que tienen una relación de autenticación de cruz pueden ser autenticados en VPN sin tener que agregar cada uno de estos dominios como se describe anteriormente.

Dominio RADIUS

Si los usuarios deben ser autenticados por un servidor RADIUS externo, el nombre de dominio debe ser introducido y seleccionado RADIUS Proxy de dominio. Desde OpenVPN utiliza el mecanismo de proxy para consultar FreeRADIUS local que solicita tipo de autenticación RADIUS a la autoridad, primero compruebe que se está ejecutando y agregar el servidor RADIUS externo a la lista de servidores proxy que se encuentran en [RADIO][Proxy]. El servidor RADIUS externo secreto compartido se debe especificar en esta lista.
Recuerde que la parte de dominio de la @ del nombre de usuario puede ser necesario eliminar de acuerdo a la configuración del servidor RADIUS externo, cuando se solicite la autenticación. En este caso, al agregar el servidor RADIUS en [RADIO][Proxy], desactivar el pabellón n º Franja.
Si desea delegar un servidor RADIUS para reunirse directamente o delegar en otro servidor para cualquier solicitud de autenticación RADIUS que no está bajo los dominios definidos explícitamente, añadir una radio por defecto al seleccionar por defecto en el cuadro Territorio tipo.
Por último, al igual que la autenticación Kerberos 5, el marco incluye una autenticación de contraseña automáticamente autorizar a un proxy RADIUS bandera de dominio Cuando este indicador está activado, la autenticación de proxy se intenta, aunque el dominio no esté expresamente autorizado.

Después de haber visto la configuración del servidor para la autenticación con nombre de usuario y contraseña, hay que señalar que la opción de autenticación de usuario de paso se deben definir en el archivo de configuración VPN cliente o en la línea de comandos openvpn para que el cliente solicita las credenciales de VPN.

OpenVPN autentificación con certificados digitales X.509

Autenticación con certificados digitales X.509, donde cada usuario que quiere conectarse en VPN necesita un certificado digital y la clave privada correspondiente, se puede solicitar con o sin autenticación con nombre de usuario y contraseña en función de si un certificado X.509 + Contraseña o Sólo X. 509 Certificado está seleccionado en la casilla de verificación de autenticación.
En el primer caso, si la autenticación X.509 tiene éxito, una segunda autenticación se ejecuta con Kerberos 5 o RADIUS como se describió anteriormente. Generalmente, cuando este tipo de autenticación se utiliza la doble, el certificado digital X.509 no es el usuario, pero un certificado de host asignado a la máquina. Esta identificación de usuario máscaras (ya que varios usuarios pueden conectarse desde el mismo sistema) y por lo tanto el nombre de usuario y la contraseña solicitada.
En el segundo caso, los certificados de personal asignado al usuario se utilizan cuando el usuario se identifica por el nombre común del certificado (campo CN). Esto hace que las solicitudes de credenciales adicionales superfluos.
Para obtener un certificado de cliente (ya sea personal asignado al usuario o host asignado a la máquina) para ser reconocidos como válidos por la puerta de entrada OpenVPN, dos condiciones deben cumplirse: la primera es que la Autoridad de Certificación (CA, para abreviar) que firmó el certificado está en el archivo Zeroshell confianza entidades emisoras de certificados, en segundo lugar es que esta entidad emisora ​​está autorizada para verificar el acceso de VPN.
Para cumplir estos dos requisitos, consulte la ilustración continuación y complete los pasos siguientes:

Configuración de la autenticación con certificados digitales X.509
Configuración de la autenticación con certificados digitales. Haga clic en la imagen para ampliar.

  • Haga clic en el [Autenticación] en el marco de configuración X.509. Como puede ver, tres certificados de autoridad de certificación se cargan. Dado que todos los certificados digitales firmados por estos CA se consideran auténticos, sólo los correspondientes a la Autoridad de Certificación comprueba están autorizados para la conexión VPN. En nuestro caso, estos son los certificados expedidos por el ejemplo Zeroshell CA.
  • Haga clic en [Administrador de entidades emisoras de certificados de confianza] y de importación el certificado de la Autoridad de Certificación que desee autorizar en el formulario en formato PEM (Base-64 de cifrado) Si usted tiene una lista de certificados revocados (CRL) para la publicación de certificados revocados, puede cargar que siguiendo el mismo procedimiento de CA de importación. Gracias a la CRL, certificados revocados no tendrá acceso a la pasarela de VPN.
  • Volviendo a la forma de autenticación de OpenVPN X.509, se puede ver que el recién importados CA se considera una fuente fiable de certificación. Para autorizar las conexiones VPN para los clientes que tengan un certificado expedido por esta Autoridad de Certificación, simplemente marque la casilla de control y haga clic en [Guardar] para guardar.

VPN en modo de ruta o bridge

A partir de la version 1.0.beta7 Zeroshell, se puede ver que la interfaz VPN99 virtual se crea automáticamente y se configura durante el inicio. Este es un dispositivo TAP es decir, un software de interfaz Ethernet con el que OpenVPN conectar con el túnel SSL cifrada y permite la gestión del kernel como si se tratara de cualquier otro tipo de tarjeta de red Ethernet. Esto significa que esta interfaz se puede asignar una dirección IP y configurar el enrutamiento adecuadamente o que sea parte de un puente, junto con las interfaces Ethernet. En función de si se opta por la posibilidad de primero o segundo (donde VPN99 es miembro de un bridge), las conexiones VPN será en ruta o en el bridge.
Es obvio que si enrutados se selecciona el modo, la dirección IP asignada a la interfaz VPN99 debe coincidir con la puerta de enlace predeterminada asignada a los clientes VPN. Esto no tiene que hacer manualmente desde Zeroshell asigna automáticamente la dirección IP a VPN99 cuando el servicio de red privada virtual se configura.
Por último, es importante tener en cuenta que la forma OpenVPN está configurado en Zeroshell, los clientes conectados de forma simultánea en VPN están aislados unos de otros y por lo tanto no se pueden comunicar a no ser a través de la puerta de enlace. Esta elección fue forzada por los criterios de seguridad con la que, por ejemplo, queremos evitar que un cliente VPN de compartir su interfaz virtual y rastrear el tráfico no dirigido a él. Sin embargo, si usted cree que los clientes VPN deben comunicarse entre sí, simple agregar --client-to-client a la interfaz web de cuadro de texto Parámetros de línea de comandos. Esta configuración permitirá que la visibilidad en la capa 2 por el proceso de openvpn y no en el kernel que permite a los clientes a ver unos a otros. Desde el kernel no controla esta comunicación, no hay esperanza de configurar el Firewall (Netfilter) para evitar cualquier tipo de tráfico entre los clientes de la red privada virtual.

VPN estadísticas y mensajes de registro


VPN estadísticas
VPN estadísticas. Haga clic en la imagen para ampliar.


OpenVPN logss
VPN mensajes de registro. Haga clic en la imagen para ampliar.


Notas

(*)La forma en que los usuarios se autentican dependen de la configuración del servidor OpenVPN. Zeroshell apoya un sistema de autenticación de varios dominios en los que tienes que configurar la fuente de autenticación que puede ser un KDC Kerberos 5 (local, externo y de confianza) o un servidor RADIUS externo. Uno de estos dominios de autenticación se establece que el dominio predeterminado. Los usuarios del dominio por defecto no es necesario especificar el nombre de usuario en forma de nombre de usuario @ dominio (por ejemplo, fulvio@example.com). Observe que el nombre de dominio no es sensible, porque si el dominio está configurado para ser un territorio Kerberos V, se convierte automáticamente a mayúsculas.



    Copyright (C) 2005-2012 by Fulvio Ricciardi