|
|
Redes virtuales en Linux con vpnd
(28798 lectures)
Por Miguel Ángel Calderón
MAC
()
Creado el 19/03/2001 10:49 modificado el 19/03/2001 10:49
|
En este artículo explicamos brevemente como configurar una red virtual en linux con el programa vpnd. Importante: Si quieres que vpnd te funcione con kernels 2.4.x bája el código de la homepage y no uses paquetes binarios a menos que sean muy recientes. |
Pagina1/1 |
Nota: Recientemente ha aparecido un parche para vpnd que soluciona problemas con 2.4.x. Si vas a usar este kernel asegúrate de bajarte el código de la homepage y no utilices paquetes binarios recompilados hace tiempo. La versión del programa no ha cambiado, sigue siendo la 1.1.0 con lo que es fácil pensar que tenemos la versión correcta cuando no es así. Por ejemplo el paquete de Debian actual (fecha: 21 de Junio del 2001) no funciona correctamente.
Este fantástico programa con licencia GPL te permite montar enlaces seguras sobre TCP montando un dispositivo serie virtual que te proporciona la posibilidad de enrutar todo el tráfico entre dos subredes. Su configuración no es compleja pero requiere varios pasos a tener en cuenta:
- Soporte de SLIP en el kernel:
SLIP (serial line) support
[*] CSLIP compressed headers
[*] Keepalive and linefill
[*] Six bit SLIP encapsulation
- Creación de la clave de sesión:
Para crear la clave de sesión hay que ejecutar el comando
vpnd -m /etc/vpnd/vpnd.key donde /etc/vpnd/vpnd.key es el PATH donde se copiará la clave de sesión generada. La clave de sesión ha de ser común a los dos miembros de la comunicación, da igual quien la genere. La clave debería ser proporcionada al otro extremo a través de un canal seguro, por ejemplo dentro de un email cifrado con GnuPG, aunque eso depende de lo interesados que estemos en la confidencialidad de la información transmitida, recordemos que vpnd nos proporciona la funcionalidad de interconectar redes virtuales, que sean en sí seguras es una opción que incluso se puede desactivar.
Una vez que los dos miembros tienen la clave de sesión podemos dedicarnos a la configuración del cliente y del servidor. Recordemos que vpnd comunica los miembros o extremos mediante TCP, por tanto uno de los dos hará de servidor y otro de cliente (o iniciador de la conexión)
- Fichero de configuración en el cliente:
mode client
# Dirección IP y puerto de la máquina cliente
client w.x.y.z 2001
# Dirección IP y puerto de la máquina servidor
server a.b.c.d 2001
# Dirección IP privada del cliente
local W.X.Y.Z
# Dirección IP privada del servidor
remote A.B.C.D
#
# Opciones generales
#
autoroute
keepalive 10
noanswer 3
keyfile /etc/vpnd/vpnd.key
pidfile /var/run/vpnd.pid
randomdev /dev/urandom
mtu 1600
- Fichero de configuración en el servidor:
mode server
# Dirección IP y puerto de la máquina servidor
server a.b.c.d 2001
# Dirección IP y puerto de la máquina cliente
client w.x.y.z 2001
# Dirección IP privada del cliente
local A.B.C.D
# Dirección IP privada del servidor
remote W.X.Y.Z
#
# Opciones generales
#
autoroute
keepalive 10
noanswer 3
keyfile /etc/vpnd/vpnd.key
pidfile /var/run/vpnd.pid
keyttl 120
randomdev /dev/urandom
mtu 1600
La instalación de vpnd es sencilla, en su página puedes encontrar el tgz tanto en fuentes como en binarios, sin embargo tanto en Debian como en cualquier distribución que use rpms puedes encontrar paquetes ya montados. Como no decir que en debian la cosa puede ser tan sencilla como ejecutar apt-get install vpnd , siempre que tengas configurado tu apt para que busque paquetes en las secciones non-US.
Este artículo se basa en los ejemplos de configuración de vpnd que vienen con el paquete debian y desde luego no podría haberlo realizado sin la ayuda de Zebub ;-)
Saludetes.
|
|
|
|
|
|
|---|
Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos
| 1. Re:Redes virtuales en Linux con vpnd (20/03/2001 18:00, #963)
Por: Zebub |
| Gracias majete! | No es pot respondre
|
2. Re:Redes virtuales en Linux con vpnd (30/03/2001 02:28, #1021)
Por: israel villegas soto |
puesn estudiar linux me parace una cosa facinante
es por ello que te exorto a que te sigas preparando mas para tus conferencias | No es pot respondre
|
3. hola amigos nesesito ayuda (05/05/2001 21:57, #1139)
Por: hugo |
| sabes me parese muy bien que ustedes que entienden linux opine que es un sistema operativo muy bueno pero saben a mi me gustaria saber este S.O. y por eso les pido que me apoyen en esto grasia por todo | No es pot respondre
|
4. Re:Redes virtuales en Linux con vpnd (22/06/2001 17:01, #1675)
Por: antonio (http://213.96.21.150) |
¿Que modificaciones hay que hacer en la configuración del cortafuegos para que funcione?
¿Cuales son las lineas de rutado para comunicar las dos subredes?
Pregunto esto porque he intentado implementar una vpn con vpnd (con Mandrake 7.2) y no he llegado a hacerla funcionar, supongo que por errores en estos dos conceptos. Agradeceria indicaciones al respecto de estas dos cuestiones que entiendo son bastante habituales para quien pretenda implementarlas. | No es pot respondre
|
5. Re:Redes virtuales en Linux con vpnd (25/06/2001 09:50, #1687)
Por: MAC (http://miguel.mine.nu:8888) |
Hola Antonio!!
Lo primero que me gustaría saber es si puedes hacer un ping entre los dos estremos (los dos puntos del enlace montado por vpnd) usando las direcciones IPs privadas. Si lo consigues lo demás no tiene que ser un problema.
El filtrado y enrutado se trata igual si unes dos subredes con vpnd que si las unes mediante routers directos. El filtrado no ha de impedir la comunicación TCP para el canal usado para establecer el tunel cifrado. Después has de tratar convenientemente todo el tráfico mediante las IPs privadas. No se como tratar las preguntas que me haces, se necesita un tutorial general de redes en tal caso, no uno específico de Vpnd. Si das más datos específicos de tu configuración me será más fácil ayudarte con un ejemplo. De cualquier manera con un buen tutorial de redes que te deje claro los conceptos deberías ser capaz de entender como aplicar filtrado y enrutado a vpnd.
Saludos.
-MAC
P.D: Mejor ponme tu ejemplo y seguiremos a partir de él.Ah!!! y no olvides que si usas VPND con kernels 2.4.x es vital que uses un código actual. Los paquetes binarios de hace meses te darán problemas. | No es pot respondre
|
6. Re:Redes virtuales en Linux con vpnd (25/06/2001 10:07, #1688)
Por: MAC (http://miguel.mine.nu:8888) |
Como refuerzo a este artículo y que no salgan dudas sobre conceptos generales de redes aquí os dejo la dirección de un pequeño documento sobre conceptos generales de redes (gracias a Javi Polo por hablarme de él... ;):
En castellano, mantenido por los compañeros del INFSLUG ;-) (Un saludo a ellos también...)
http://www.insflug.org/COMOs/conceptos-de-redes-COMO/conceptos-de-redes-COMO.html
Y bueno, la versión inglesa para los que desean información de primera mano:
http://netfilter.samba.org/unreliable-guides/networking-concepts-HOWTO/index.html
Saludetes
- MAC | No es pot respondre
|
7. Re:Redes virtuales en Linux con vpnd (30/06/2001 18:08, #1781)
Por: Antonio (http://213.96.21.150) |
Continuando con el tema y siguiendo las sugerencias de MAC, voy a enviar la configuración particular
que tengo. Aunque será algo largo, creo que al final resultará bastantte didáctico para el interesado
en el tema.
El ping entre los dos extremos no me funciona (no se si por la mala configuracion de vpnd o por efecto
del rc.firewallque no lo permite). De todos modos con esta configuracion si puede hacerse ping al
exterior sin ningun problema.
Respecto a las configuraciones, el servidor esta conectado a Internet mediante ADSL con una IP fija.
Igualmente tiene otra tarjeta de red que lo conecta a la red interna (con direccion 192.168.0.2). La
distribucion que tiene es la Mandrake 7.2 y el nucleo es el que trae por defecto.
El cliente se conecta mediante cable (Menta) con asignación dinámica de direccion IP. Igualmente tiene
otra tarjeta de red para la red interna (con direccion 192.168.1.2). Cabe indicar aqui que la tarjeta
interna esta configurada con el nombre ibenet.casa.es mientras que la externa, que obtiene la IP por dhcp,
se nombra como ibenet.menta.net. Esto no me causa ningun problema para el uso quehabitualmente hago, pero
lo menciono por si resulta relevante.
En ambos lados esta configurado un cortafuegos mediante ipchains, en el fichero rc.firewall. El del cliente
es el que indico a cotinuación:
****** Aqui empieza el fichero rc.firewall del cliente *******
#!/bin/sh
# Mandrake-Security : if you remove this comment, remove the next line too.
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Cortafuegos para conexiones a internet con PPP e IP dinámica
# /etc/ppp/firewall se lanza desde /etc/ppp/ip-up
# GarZa-1999 garzalin@worldonline.es
# Interfaces
ANYWHERE="any/0" # Todas las IPs
IPADDR=$IPLOCAL # IP local asignada por el ISP
EXTERNAL_INTERFACE="eth1" # Interfaz PPP (ppp0)
LOCAL_INTERFACE="eth0" # tarjeta de red
LOOPBACK_INTERFACE="lo"
# Direcciones
LOCALNET="192.168.1.0/24" # rango IPs red local
LOOPBACK="127.0.0.0/8"
CLASS_A="10.0.0.0/8" # rango IPs reservadas para redes privadas
CLASS_B="172.16.0.0/12" # rango IPs reservadas para redes privadas
CLASS_C="192.168.0.0/16" # rango IPs reservadas para redes privadas
MULTICAST="224.0.0.0/4" # Clase D. rango IPs experimental
RESERVED_NET="240.0.0.0/5" # reserved: 240 through 247
BROADCAST_SRC="0.0.0.0"
BROADCAST_DEST="255.255.255.255"
ISP_SERVER1="212.78.128.11" # DNS primaria del ISP
ISP_SERVER2="212.78.128.12"
#IP_LUIS="x.x.x.x0" # IP autorizada a utilizar servicios
# Puertos
PRIVPORTS="0:1023" # Puertos reservados a root
UNPRIVPORTS="1024:65535" # Puertos no reservados
AUTH_PORT="113"
SOCKS_PORT="1080" # (TCP) socks
OPENWINDOWS_PORT="2000" # (TCP) openwindows
NFS_PORT="2049" # (TCP/UDP) NFS
XWINDOW_PORTS="6000:6063" # (TCP) X windows
SSH_PORTS="1020:1023" # Puertos SSH
#--------------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
#---------------------------------------------------------------
# Si la direccion IP se asigna de forma dinamica por un servidor DHCP,
# los nombres de servidor se encuentran en /etc/dhcpc/resolv.conf. Si se usa la
# secuencia de comandos de ejemplo ifdhcpc-done se actualiza automáticamente y
# se agrega a /etc/dhcpc/hostinfo-$EXTERNAL_INTERFACE o
# /etc/dhcpc/dhcpcd -$EXTERNAL_INTERFACE.info.
# Si se usa la secuencia de comandos de ejemplo ifdhcpc-done, las siguientes
# definiciones de NAMESERVER (una por servidor, hasta 3) se omitirán
# aquí correctamente.
# La dirección IP, $IPADDR, se define por DHCP.
if [ -f /etc/dhcpc/hostinfo-$EXTERNAL_INTERFACE ]; then
. /etc/dhcpc/hostinfo-$EXTERNAL_INTERFACE
elif [ -f /etc/dhcpc/dhcpcd-$EXTERNAL_INTERFACE.info ]; then
. /etc/dhcpc/dhcpcd-$EXTERNAL_INTERFACE.info
DHCP_SERVER=$DHCPSIADDR
else
echo "rc.firewall: DHCP no esta configurado."
ipchains -F
ipchains -P input DENY
ipchains -P output DENY
ipchains -A input -i $LOOPBACK_INTERFACE -j ACCEPT
ipchains -A output -i $LOOPBACK_INTERFACE -j ACCEPT
ipchains -A input -i $LAN_INTERFACE_1 -j ACCEPT
exit 1
fi
#--------------------------------------------------------------------------
# Estos modulos son necesarios para el enmascaramiento
# de sus respectivos servicios.
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_vdolive
/sbin/modprobe ip_masq_cuseeme
/sbin/modprobe ip_masq_quake
#----------------------------------------------------------------------------
# Borro todas las reglas existentes
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward
# Deniega la entrada, salida y reenvío de paquetes
/sbin/ipchains -P input DENY
/sbin/ipchains -P output REJECT
/sbin/ipchains -P forward REJECT
# Deniega la salida de fragmentos de paquetes fragmentados
/sbin/ipchains -A output -f -i $LOCAL_INTERFACE -j DENY
# Acepta tráfico para el inferface loopback
/sbin/ipchains -A input -i $LOOPBACK_INTERFACE -j ACCEPT
/sbin/ipchains -A output -i $LOOPBACK_INTERFACE -j ACCEPT
# Denienga la entrada de paquetes cuya dirección de origen sea nuestra IP
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -s $IPADDR -l -j DENY
# Deniega la entrada y salida de paquetes cuya dirección de origen y destino corresponda a una red privada
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -s $CLASS_A -j DENY
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -d $CLASS_A -j DENY
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -s $CLASS_A -j REJECT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -d $CLASS_A -j REJECT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -s $CLASS_B -j DENY
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -d $CLASS_B -j DENY
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -s $CLASS_B -j REJECT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -d $CLASS_B -j REJECT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -s $CLASS_C -j DENY
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -d $CLASS_C -j DENY
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -s $CLASS_C -j REJECT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -d $CLASS_C -j REJECT
# Deniega la entrada y salida de paquetes cuya dirección de origen sea loopback
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -s $LOOPBACK -l -j DENY
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -s $LOOPBACK -l -j REJECT
# Deniega la entrada de paquetes cuya dirección de origen y destino sea broadcast
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -s $BROADCAST_DEST -l -j DENY
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -d $BROADCAST_SRC -l -j DENY
# Deniega la entrada y salida de paquetes cuyo origen sea una IP experimental
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -s $MULTICAST -l -j DENY
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -s $MULTICAST -l -j DENY
# Deniega la entrada y salida de paquetes cuyo destino sea una IP experimental excepto a UDP.
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE ! -p udp -d $MULTICAST -l -j DENY
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE ! -p udp -d $MULTICAST -l -j DENY
# Deniega la entrada a paquetes cuya dirección de origen sea una IP reservada
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -s $RESERVED_NET -l -j DENY
# Deniega la salida a paquetes cuya dirección de destino sea una IP reservada
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -d $RESERVED_NET -l -j DENY
# Previene de ataques DoS basados en ICMP
# To prevent denial of service attacks based on ICMP bombs, filter
# incoming Redirect (5) and outgoing Destination Unreachable (3).
# Note, however, disabling Destination Unreachable (3) is not
# advisable, as it is used to negotiate packet fragment size.
# For bi-directional ping.
# Message Types: echo-reply (0), echo-request (8)
# To prevent attacks, limit the src addresses to your ISP range.
#
# For outgoing traceroute.
# Message Types: INCOMING port-unreachable (3, 3), time-exceeded (11)
# default UDP base: 33434 to base+nhops-1
# For incoming traceroute.
# Message Types: OUTGOING port-unreachable (3,3), time-exceeded (11)
# To block this, deny OUTGOING 3 and 11
#
# Other control messages.
# Message Types: source-quench (4), parameter-problem (12)
# 0: echo-reply
# 3: destination-unreachable: fragmentation-needed, host-unknown, etc.
# 4: source-quench
# 5: redirect
# 8: echo-request
# 11: time-exceeded
# 12: parameter-problem
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p icmp -s $ANYWHERE source-quench -d $IPADDR -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR source-quench -d $ANYWHERE -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p icmp -s $ANYWHERE parameter-problem -d $IPADDR -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR parameter-problem -d $ANYWHERE -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p icmp -s $ANYWHERE destination-unreachable -d $IPADDR -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR fragmentation-needed -d $ANYWHERE -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR destination-unreachable -d $ISP_SERVER1 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR destination-unreachable -d $ISP_SERVER2 -j ACCEPT
# Response to outgoing traceroute
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p icmp -s $ANYWHERE time-exceeded -d $IPADDR -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p icmp -s $ANYWHERE port-unreachable -d $IPADDR -j ACCEPT
# Response to incoming traceroute
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR time-exceeded -d $ISP_SERVER1 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR port-unreachable -d $ISP_SERVER1 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR time-exceeded -d $ISP_SERVER2 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR port-unreachable -d $ISP_SERVER2 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR echo-request -d $ANYWHERE -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p icmp -s $ANYWHERE echo-reply -d $IPADDR -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p icmp -s $ISP_SERVER1 echo-request -d $IPADDR -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p icmp -s $ISP_SERVER2 echo-request -d $IPADDR -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR echo-reply -d $ISP_SERVER1 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR echo-reply -d $ISP_SERVER2 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 3 -d $ISP_SERVER1 -j ACCEPT -l
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 3 -d $ISP_SERVER2 -j ACCEPT -l
# Block incoming IP Spoofing
# Turn on Source Address Verification
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for f in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $f
done
fi
#Turn on SYN COOKIES PROTECTION (Thanks Holger!)
if [ -e /proc/sys/net/ipv4/tcp_syncookies ]
then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi
# Deniega entrada de paquetes de puertos utilizados por trollanos
#
# Back Orifice (logged)
/sbin/ipchains -A input -p tcp -s $ANYWHERE -d $IPADDR 31337 -j DENY -l
/sbin/ipchains -A input -p udp -s $ANYWHERE -d $IPADDR 31337 -j DENY -l
# NetBus (logged)
/sbin/ipchains -A input -p tcp -s $ANYWHERE -d $IPADDR 12345:12346 -j DENY -l
/sbin/ipchains -A input -p udp -s $ANYWHERE -d $IPADDR 12345:12346 -j DENY -l
# Trin00 (logged)
/sbin/ipchains -A input -p tcp -s $ANYWHERE -d $IPADDR 1524 -j DENY -l
/sbin/ipchains -A input -p tcp -s $ANYWHERE -d $IPADDR 27665 -j DENY -l
/sbin/ipchains -A input -p udp -s $ANYWHERE -d $IPADDR 27444 -j DENY -l
/sbin/ipchains -A input -p udp -s $ANYWHERE -d $IPADDR 31335 -j DENY -l
# Deniego entrada de paquetes para los puertos especificados
# Cierro servicios de mi ordenador
# ----------------------------------------------------------
# Deniega entrada de paquetes cuyo destino sea un puerto reservado a root 0-1023
/sbin/ipchains -A input -p tcp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR $PRIVPORTS -l -j DENY
/sbin/ipchains -A input -p udp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR $PRIVPORTS -l -j DENY
# Servicio desconocido
/sbin/ipchains -A input -p tcp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 1024 -j DENY
/sbin/ipchains -A input -p udp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 1024 -j DENY
# Squid
/sbin/ipchains -A input -p tcp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 3128 -j DENY
/sbin/ipchains -A input -p udp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 3128 -j DENY
# wwwoffle
/sbin/ipchains -A input -p tcp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 8080 -j DENY
/sbin/ipchains -A input -p udp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 8080 -j DENY
# MySQL
/sbin/ipchains -A input -p tcp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 3306 -j DENY
/sbin/ipchains -A input -p udp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 3306 -j DENY
# X11
/sbin/ipchains -A input -p tcp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 6000 -j DENY
/sbin/ipchains -A input -p udp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 6000 -j DENY
# web500gw (cliente LDAP)
/sbin/ipchains -A input -p tcp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 8888 -j DENY
/sbin/ipchains -A input -p udp -i $EXTERNAL_INTERFACE -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 8888 -j DENY
# Acepto entrada de paquetes para los puertos especificados
# Permito que accedan a servicios que presta mi ordenador
# ---------------------------------------------------------
# cliente TELNET (23)
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -s $IP_LUIS $UNPRIVPORTS -d $IPADDR 23 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR 23 -d $IP_LUIS $UNPRIVPORTS -j ACCEPT
# cliente HTTP (80)
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -s $IP_LUIS $UNPRIVPORTS -d $IPADDR 80 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR 80 -d $IP_LUIS $UNPRIVPORTS -j ACCEPT
# cliente FTP (20:21)
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -s $IP_LUIS $UNPRIVPORTS -d $IPADDR 20:21 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR 20:21 -d $IP_LUIS $UNPRIVPORTS -j ACCEPT
# cliente X o VNC (6000:6063)
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -s $IP_LUIS $UNPRIVPORTS -d $IPADDR $XWINDOW_PORTS -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $XWINDOW_PORTS -d $IP_LUIS $UNPRIVPORTS -j ACCEPT
# Permitir acceso remoto de cliente al servidor SSH local
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -s $ANYWHERE $UNPRIVPORTS -d $IPADDR 22 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp ! -y -s $IPADDR 22 -d $ANYWHERE $UNPRIVPORTS -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -s $ANYWHERE $SSH_PORTS -d $IPADDR 22 -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp ! -y -s $IPADDR 22 -d $ANYWHERE $SSH_PORTS -j ACCEPT
# Acepto entrada y salida de paquetes para acceder a servicios
# que prestan otros ordenadores
# ----------------------------------------------------
# TELNET client (23)
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 23 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 23 -d $IPADDR $UNPRIVPORTS -j ACCEPT
# DNS client (53)
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p udp -s $IPADDR $UNPRIVPORTS -d $ISP_SERVER1 53 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p udp -s $ISP_SERVER1 53 -d $IPADDR $UNPRIVPORTS -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ISP_SERVER1 53 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ISP_SERVER1 53 -d $IPADDR $UNPRIVPORTS -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p udp -s $IPADDR $UNPRIVPORTS -d $ISP_SERVER2 53 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p udp -s $ISP_SERVER2 53 -d $IPADDR $UNPRIVPORTS -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ISP_SERVER2 53 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ISP_SERVER2 53 -d $IPADDR $UNPRIVPORTS -j ACCEPT
# Acceso a servidores HTTP client (80)
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 80 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 80 -d $IPADDR $UNPRIVPORTS -j ACCEPT
# HTTPS client (443)
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 443 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 443 -d $IPADDR $UNPRIVPORTS -j ACCEPT
# POP client (110)
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 110 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 110 -d $IPADDR $UNPRIVPORTS -j ACCEPT
# NNTP NEWS client (119)
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 119 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 119 -d $IPADDR $UNPRIVPORTS -j ACCEPT
# FINGER client (79)
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 79 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 79 -d $IPADDR $UNPRIVPORTS -j ACCEPT
# SMTP client (25)
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 25 -d $IPADDR $UNPRIVPORTS -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 25 -j ACCEPT
# FTP client (20, 21)
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 21 -d $IPADDR $UNPRIVPORTS -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 21 -j ACCEPT
# Permitir acceso cliente a servidores SSH remotos (22)
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 22 -d $IPADDR $UNPRIVPORTS -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 22 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 22 -d $IPADDR $SSH_PORTS -j ACCEPT
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $SSH_PORTS -d $ANYWHERE 22 -j ACCEPT
# NORMAL mode data channel
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -s $ANYWHERE 20 -d $IPADDR $UNPRIVPORTS -j ACCEPT
# NORMAL mode data channel responses
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp ! -y -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 20 -j ACCEPT
# PASSIVE mode data channel creation
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE $UNPRIVPORTS -j ACCEPT
# PASSIVE mode data channel responses
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE $UNPRIVPORTS -d $IPADDR $UNPRIVPORTS -j ACCEPT
# RealAudio / QuickTime client
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d $ANYWHERE 554 -j ACCEPT
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $ANYWHERE 554 -d $IPADDR $UNPRIVPORTS -j ACCEPT
# IRC irc.supercable.es
# /sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -s $IPADDR $UNPRIVPORTS -d 212.79.128.19 $UNPRIVPORTS -j ACCEPT -l
# /sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s 212.79.128.19 $UNPRIVPORTS -d $IPADDR 113 -j ACCEPT -l
# /sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s 212.79.128.19 $UNPRIVPORTS -d $IPADDR 1080 -j ACCEPT -l
# Activa el acceso de la red local a la máquina firewall
/sbin/ipchains -A input -i $LOCAL_INTERFACE -j ACCEPT
/sbin/ipchains -A output -i $LOCAL_INTERFACE -j ACCEPT
# Reenvío y enmascaramiento de IP
/sbin/ipchains -A forward -i $EXTERNAL_INTERFACE -s $LOCALNET -j MASQ
# Activa registro log para paquetes denegados
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -d $IPADDR -j DENY -l
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p udp -d $IPADDR -j DENY -l
/sbin/ipchains -A input -i $EXTERNAL_INTERFACE -p icmp -d $IPADDR -j DENY -l
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -d $IPADDR -j DENY -l
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p udp -d $IPADDR -j DENY -l
/sbin/ipchains -A output -i $EXTERNAL_INTERFACE -p icmp -d $IPADDR -j DENY -l
**** Aqui termina rc.firewall ***************
El fichero vpnd.conf del cliente es:
******* Aqui empieza vnpd.conf del cliente *************+
mode client
client 0.0.0.0
server a.b.c.d 2001
local 192.168.2.1
remote 192.168.2.2
autoroute
keepalive 10
noanswer 3
keyfile /etc/vpnd.key
pidfile /var/run/vpnd.pid
keyttl 120
randomdev /dev/urandom
mtu 1600
********* Aqui termina vpnd.conf del cliente *******
En el servidor, el fichero rc.firewall es preacticamente el mismo con alguna pequeña modificacion para permitir el acceso a
los servicios que presta. El fichero vpnd.conf del servidor es:
mode server
server a.b.c.d 2001
client 0.0.0.0
local 192.168.2.2
remote 192.168.2.1
autoroute
keepalive 10
noanswer 3
keyfile /etc/vpnd.key
pidfile /var/run/vpnd.pid
keyttl 120
randomdev /dev/urandom
mtu 1600
******* Aqui termina vpnd.conf del servidor *********
Lógicamente a.b.c.d es la direccion IP del servidor que se conecta a Internet.
Bueno, la cuestion a la que me referia en el comentario anterior son:
¿Que ha de modificarse el rc.firewall (si es que ha de modificarse algo)?; ¿Se debe permitir el acceso al puerto 2001?; ¿Se debe
autorizar expresamente el forward para las redes 192.168.0.0, 192.168.1.0 y 192.168.2.0?; ¿Se debe premitir el trafico entre la
direccion a.b.c.d y las redes 192.168.0.0, 192.168.1.0 y 192.168.2.0?. En general no se cuales son las reglas de filtrado que
deben tenerse en cuenta.
Igualmente supongo que las rutas entre las redes 192.168.0.0, 192.168.1.0 y 192.168.2.0 deben establecerse de alguna manera. Tampoco
se si tambien ha de tenerse en cuenta la direccion IP a.b.c.d de alguna manera.
Bueno, aunque ha quedado un posteo bastante extenso, confio que al final resulte de utilidad
Saludos a todos | No es pot respondre
|
8. Re:Redes virtuales en Linux con vpnd (02/07/2001 10:22, #1818)
Por: MAC (http://miguel.mine.nu:8888) |
Hola Antonio... veamos si puedo ayudarte ahora... mucho mejor esto de dar datos...
-----
> ¿Que ha de modificarse el rc.firewall (si es que ha > de modificarse algo)?
Tan solo con permitir el tráfico al puerto 2001 bastaría para ver como se establece el canal sobre las
dos máquinas que tienen vpnd. Como puedes saber que la conexión se ha realizado con éxito? en /var/log/daemon.log (en caso de Debian, Mandrake no se cual debe tener, tendrás que mirar el /etc/syslog.conf para ver a que fichero manda el syslog la información destinada al grupo daemon) puedes ver los mensaje que reporta el vpnd, cuando se produce una conexión te lo indica, y si se ha establecido la sesión también, de igual forma si se produce un error. Cuando tengas esto ya habremos pasado el primer punto oscuro. Si esto falla porqué no se producen conexiones pues verifica lo del firewall y el puerto 2001 o las direcciones IPs que tienes especificadas en el fichero vpnd.conf. Si esto falla por otra razón puede ser que te falte algo en el kernel respecto al slip... u otras cosas. El vpnd tiene una FAQ que nos ayudó mucho a Josep y a mi.
> ¿Se debe permitir el acceso al puerto 2001?
Si, por supuesto si no tienes abierto este puerto no
se realizará ni siquiera la conexión...
¿Se debe autorizar expresamente el forward para las redes 192.168.0.0, 192.168.1.0 y 192.168.2.0?
Por supuesto. Veo que tienes activado el forwarding con ese echo 1 ...
Además tienes que tener unas rutas que le indiquen a los dos routers donde están las dos subredes que ellos no separan. Veamos. Si P1 es uno de los dos ordenadores del vpnd, y este está unido a la subred SR1 con 192.168.0.x y P2 (el otro) está unido a la SR2 con 192.168.1.x y usas la subred 192.168.2 para unir los dos equipos tienes que decirle a P1 que la ruta para llegar a SR2 es P2 y decirle a P2 que la ruta a SR1 es P1... entiendes? además a los dos firewalls les has de indicar que el tráfico a estas direcciones IPs privadas ha de estar permitidos para los interfaces internos (no para los que conectan a inet) por ejemplo los slips y los ethernet internos.
> ¿Se debe premitir el trafico entre la direccion > a.b.c.d y las redes 192.168.0.0, 192.168.1.0 y > 192.168.2.0?.
Exacto!!! antes de que sigamos metiéndonos en detalles sobre el filtrado (he visto que es bastante complejo) me gustaría que miraras lo del log para ver si te dice que vpnd ha establecido la conexión... además deberías ver los dos interfaces slip con "ifconfig" cuando el enlace privado esté en marcha.
Empieza por esto vale?
- MAC
Saludetes. | No es pot respondre
|
9. Re:Redes virtuales en Linux con vpnd (13/07/2001 10:21, #1976)
Por: Ear3ndil (http://surf.to/emulinux) |
Hola....una preguntilla, se supone que slip, que usa vpnd, es punto a punto. Entonces ¿Es posible con vpnd montar una vpn con mas de dos extremos con vpnd? ¿Alguien lo sabe? En la doc parece dar a entender que si, pero no explica muy bien como.
Gracias:) | No es pot respondre
|
10. Re:Redes virtuales en Linux con vpnd (13/07/2001 10:32, #1978)
Por: MAC (http://miguel.mine.nu:8888) |
Hola Ear3ndil!!!
Para montar una VPN entre varias máquinas has de montar varios enlaces punto a punto (como tu muy bien
dices el SLIP es P2P) entre ellas. Por poner un ejemplo si tienes 3 máquinas (o 3 subredes) conectadas a internet y deseas montar una VPN entre ellas necesitas que por ejemplo una reciba dos enlaces y cada una de las otras dos la inicie, de manera que en una máquina tendrás dos demonios vpnd corriendo, con dos ficheros vpnd.conf diferente, y para conectar entre si las otras dos el tráfico será enrutado por la máquina que mantiene los dos enlaces punto a punto.
Otra alternavita también serías que montes un canal entre cada dos máquinas y establezcas las rutas apropiadas para optimizar tráfico de manera que para comunicar dos de ellas no se necesite ocupar ancho de banda de la tercera.
- MAC
Saludetes. | No es pot respondre
|
11. Re: Redes virtuales en Linux con vpnd (04/09/2001 18:19, #2603)
Por: Biohazard |
| Estoy tratando de montar el vpnd en dos servidores linux Redhat 7.1, pero cuando pongo el primer comando que dan en esta pagina me sale "can't gather random information" que es este error???
por favor ayuda.... | No es pot respondre
|
12. Re: Re: Redes virtuales en Linux con vpnd (05/09/2001 08:43, #2610)
Por: MAC (http://miguel.mine.nu:8888) |
Esto creo que se debe a los dispositivos del kernel para capturar información aleatoria que servirá para las claves de cifrado de la información que transmites. Creo que hay dos posibilidades, usar /dev/random o /dev/urandom ... la segunda es más segura porqué el kernel espera a tener un cojunto de información lo suficiente aleatoria, y la primera no.Si el kernel no puede garantizarlo al menos te da un conjunto bastante próximo. Para el caso no estamos ante un grave problema de seguridad, así que haz pruebas con los dos dispositivos porqué creo que el problema está ahí.
Creo que si tu sistema está muy activo (caso de sistemas workstation, por el uso del teclado y el ratón) el kernel tiene suficiente información que mezclar y no tendrás problemas, pero si es el caso de dos routers dedicados creo que es normal. Respecto a esto creo que se debatió algo al respecto en la lista de Vpnd, creo que había un fallo que producía esto, y para eso salióun parche, por eso te recomiendo que o busques un paquete de vpnd más reciente o que tú mismo bajes los fuentes de la homepage y lo compiles. Si tus máquinas están dedicadas a routing y usas /dev/urandom puede que vpnd baje su rendimiento, si te pasa esto la recomendación es usar /dev/random.
Saludetes. MAC | No es pot respondre
|
13. Re: Re: Redes virtuales en Linux con vpnd (10/04/2002 21:02, #5617)
Por: Luis Guzmán |
| hola,
Soy Luis, estoy instalando una vpn con vpnd en RedHat 7.1 y tengo el mismo problema "Failed to gather to random data", cuando hago vpnd -m /etc/vpnd.key. Probe con /dev/random y /dev/urandom
Gracia. | No es pot respondre
|
14. Re: Re: Redes virtuales en Linux con vpnd (02/03/2003 20:11, #12532)
Por: Tomás |
| Tenfo Red Hat 7.3 y he compilado el nucleo añadiendo soporte SLIP, pero existe algún RPM en RedHAt de Vpnd?
¿ Donde lo puedo descargar? Miles de gracias, Estoy parado esperando a alguien que me de un empujoncito, probé con CIPE pero ¿Noes lo mismo o si?
SOS | No es pot respondre
|
|
|
|
15. Redes virtuales en Linux con vpnd (10/11/2001 22:37, #3286)
Por: pingu |
holas:
Es posible usar solo un vpnd server que permita la coneccion de unos 10 o mas vpnd client ???
segn lo que vi le podria asignar diferentes puertos pero no una forma de decirle a que conecion corresponde
gracias | No es pot respondre
|
16. Re: Redes virtuales en Linux con vpnd (16/01/2002 09:36, #4354)
Por: MAC (http://miguel.mine.nu) |
| Perdona el retraso en la respuesta! se ve que no me llegó el mensaje :-m
Veamos, tal como explico en otro mensaje anterior, vpnd no permite más que un cliente por fichero de configuración, si pretendes dar acceso a varios clientes con este soft debes arracar el mismo número de servidores con distintos ficheros de configuración, no hay otro sistema de momento, creo que vpnd sigue en desarrollo y mejorando, aunque no a un ritmo muy dinámico, pero por la lista de correo estas cosas se están informando, cambios para soportar algo parecido.
Saludetes.
-MAC | No es pot respondre
|
|
17. Re: Redes virtuales en Linux con vpnd (14/01/2002 22:20, #4318)
Por: El cobarde anónimo |
| Hola, si mira keria consultar un problema k tenia.
Mira somos 2 amigos y tenemos una adsl cada uno con un
router, entonces en el router hemos hecho nat del puerto
2001 al 2001 de uno de los ordenadores de la red interna
.Hasta aqui yo pense que ya iba a funcionar, pero cuando
arrancamos nos sale:
server socket failed, reason=2.
Estaria mu agradecido si me pudieseis ayudar.
Un saludo | No es pot respondre
|
18. Re: Redes virtuales en Linux con vpnd (15/01/2002 16:23, #4332)
Por: El cobarde anónimo |
| hola me gustaria que pondrias mas informacion lo
debido para seber mas acerca de la informaciòm.
gracias chau. | No es pot respondre
|
19. Re: Redes virtuales en Linux con vpnd (16/01/2002 09:43, #4355)
Por: MAC (http://miguel.mine.nu) |
| Hola!
Reason=2 está relacionado con problemas en el establecimiento del canal cifrado, bien puede ser porqué no teneis la misma clave privada o que no genera las claves de sesión correctamente. Si es lo primero deberíais comprobarlo de alguna manera, como la habeis intercambiado? podríais hacer un "sum" de los archivos para ver si dan el mismo resultado.
Si se trata de lo siguiente puede ser debido a la versión que teneis de vpnd, junto con el uso del /dev/urandom... podeis probar a usar el /dev/random en su lugar, a ver que pasa... sinó probad la última versión de vpnd que podeis conseguir en la web, aunque parezca que no cambia, si lo hace, los parches importantes se incluyen.
Saludetes - MAC | No es pot respondre
|
|
20. Re: Redes virtuales en Linux con freeswan (19/01/2002 23:03, #4416)
Por: Alex |
| Como hago para implementar una vpn con freeswan en suse linux 7.0, tengo dos pc una con dirección ip fija enrutable a internet y la otra con ip din´nmica de un proveedor quiero conectar estas dos pc. luego una vez conectadas con freeswan verificar la instalación haciendo ping y telnet sin sifrado y luego con cifrado freeswan. | No es pot respondre
|
21. Re: Redes virtuales en Linux con vpnd (31/01/2002 09:14, #4601)
Por: Jose Luis |
| Tengo dos maquinas linux con dos ip fijas validas conectadas permanentemente a internet. Tengo funcionando el ipip tunneling. Por motivos de seguridad quisiera cambiar a este metodo que encripta. Es posible montar todo este tinglado con interfaces eth? Al parecer solo es para sl. Que se tendria que modificar.
Gracias | No es pot respondre
|
22. Me lio un poco, ayudita (26/04/2002 13:13, #5871)
Por: El cobarde anónimo |
| Me parece un metodo genial esto del vpn, pero me lio al configurarlo.
A ver, lo que tengo es un linux redhat 7.2 con 2 tarjetas de red, una con dir 192.168.0.1 y la otra con 192.168.1.1
Lo que quiero hacer es que cualquier usuario que se conecte por la de 192.168.1.1 que tenga una clave valida vea a la red 192.168.0.0
Entonces, como tengo q configurar cada interfaz para que haga esto.
Hay que decirle de algun modo que la red de destino es la 192.168.0.0, es obligatorio decirle las ip de cada cliente.
No se, me lia un poco, os agradeceria que me comentarais algo al respecto. Muchas gracias a todos. | No es pot respondre
|
23. RedHat 7.2 con Spedy ADSL (04/09/2002 05:07, #8129)
Por: el novato |
| es posible montar una vpn si las dos maquinas tienen salida a internet por el spedy de telefonica que no otorga direcciones fijas? gracias ademas es posible si el servidor si tiene un direccion fija y el cliente no | No es pot respondre
|
|
24. Re: Redes virtuales en Linux con vpnd (30/10/2002 19:24, #9587)
Por: Laverdu (http://www.verdeoliva.net) |
Muchas gracias por el articulo, una vez que lo lei, me puse manos a la obra con un compañero ambos con adsl, para crear
nuestra vpn.
Desgraciadamente, no hemos tenido exito, por lo que si fueras tan amable, me gustaria me confirmaras si lo que hemos hecho esta bien y no tengo los conceptos equivocados.
Yo actuaba como servidor, generé la clave y se la envie, comprobamos con md5sum que la clave coincidia.
Los valores generales los dejamos tal como los describes. Y en el tema de direcciones IP:
mode server
server a.b.c.d 2001 #mi IP publica
client e.f.g.h 2001 #la IP publica del cliente
local 10.3.0.2 #IP local ficticia del servidor
remote 10.3.0.1 #IP local ficticia del cliente
Hemos creado local y remote dentro de una misma subred, pero las IP's estan en redes distintas a la de la LAN de cada uno, tanto en mi caso cuya IP local es 192.169.1.2 como en la del cliente, cuya IP local es 172.16.0.5.
Inicialmente pusimos 'autoroute', pero nos daba un error,
en mi caso 'socket server failed,reason=2' en la del cliente
'peer.....,reason=2'.
Despues probamos con 'peerroute'
En el lado del servidor vpnd:
peerroute
route1 e.f.g.0 255.255.255.0 10.3.0.1
En el lado del cliente:
peerroute
route1 a.b.c.0 255.255.255.0 10.3.0.2
Y se mantenia el error.
Que es lo que nos falta ? Hace falta de forma manual utilizar 'route add' para indicarle la relacion entre la ip local y la ip ficticia asignada al interfaz sl0 ?
Te agradeceria tu ayuda, ya que estoy picado con el tema, y
no llego a ninguna solucion.
Un cordial saludo.
Laverdu | No es pot respondre
|
25. Re: Redes virtuales en Linux con vpnd (14/10/2003 02:01, #17478)
Por: El cobarde anónimo (http://www.linux.com) |
| señor linus me parese que bulma, es un lugar que no cuenta con la informacion nesesaria ya que no es muy explicito y no le muestra lo nesesario al usuario de una manera consisa y entendible | No es pot respondre
|
26. Re: Redes virtuales en Linux con vpnd (26/01/2007 19:55, #38090)
Por: Anònim |
| señor linux diras en todo caso, maricon.... a usar sistema privativo niña.. | No es pot respondre
|
|
27. Re: Redes virtuales en Linux con vpnd (25/11/2003 21:43, #18251)
Por: Anónimo |
la verdad siempre que busco en esta pagina, no me ayuda para nada, creo que la informacion no es precisa ni adecuada al tema que desea uno encontrar.
gracias | No es pot respondre
|
28. Re: Redes virtuales en Linux con vpnd (01/11/2004 10:51, #24037)
Por: Anónimo |
| En mi caso, la información que he leido en esta página me ha resultado precisa y exacta para configurar vpnd. | No es pot respondre
|
29. Re: Redes virtuales en Linux con vpnd (07/06/2005 13:16, #27027)
Por: Anònim |
| Para mi ha sido de mucha ayuda, supongo que dices eso porque eres un usuario de Windorcho, que quieren porquerias graficas y asistentes que no sirven para nada | No es pot respondre
|
|
|
|
|
|
|---|
|
|
|
|
Calificacion
 
Vots: 26 |
Danos tu opinion:
|
|
|
|
|
|
|
|
