Notas del Autor Este HOWTO est dedicado a Ufuk Altinkaynak, su equipo y los muchos otros que contribuyeron

con su tiempo y sus conocimientos para ayudar que ZERINA y las conexiones OpenVPN en IPCop se convirtieran en una realidad. No se puede olvidar a las muchas personas que trabajan duro y que han creado IPCOP y OpenVPN. Sin su dedicacin y trabajo duro, no tendramos estos maravillosos productos de primera clase. Cualquier marca aqu se destina slo con fines de referencia y para ayudar a las personas con posibles problemas especficos y sus soluciones. Todas las marcas comerciales mencionadas aqu siguen siendo propiedad de sus respectivos titulares y/o propietarios. Este documento se proporciona sin garantas escritas de comercializacin o idoneidad a la precisin y se basa en el Howto de Net2Net original escrito por Ufuk. Por favor envenme un e-mail con cualquier correccin o agregado y como me de el tiempo lo aadir a este documento. Mi agradecimiento a todo el mundo. drott@ibdozing.com Introduccin ZERINA es una implementacin de OpenVPN para el firewall IPCOP. La versin actual de ZERINA implementa y usa slo las caractersticas de enrutamiento de OpenVPN para crear conexiones de red VPN. Aunque OpenVPN tiene soporte nativo para las redes puenteadas, las implementaciones actuales de IPCOP 1.4.xx no tienen soporte en el ncleo. Este HOWTO explicar cmo crear una conexin net2net basada en OpenVPN entre 2 mquinas IPCOP utilizando ZERINA en unos minutos. Una conexin net2net es una conexin entre dos redes separadas fsicamente que un dispositivo, como un router, se utiliza para unirlas con el fin de establecer conexiones tipo intranet. En nuestro caso los routers son proporcionados por el IPCOP con el paquete ZERINA instalado y configurado correctamente. ZERINA para IPCOP proporciona una muy agradable GUI de gestin y mantenimiento de OpenVPN. ZERINA se implementa actualmente en dos paquetes separados, la versin estable para implementaciones Road Warrior y la versin Alpha de Net2Net y Road Warrior. La actual implementacin Net2Net est todava en desarrollo. Preliminares Mientras que esta gua est dirigida fundamentalmente a establecer conexiones net2net entre maquinas con IPCOP, ZERINA puede ser usado para crear conexiones OpenVPN entre cualquier sistema operativo que soporte OpenVPN y IPCOP. Explicar cmo hacer esto est fuera del alcance de este HOWTO, pero el sitio Web de OpenVPN es un buen lugar para comenzar con este tipo de implementaciones. Hay una serie de medidas preparatorias que deben tomarse antes de establecer una conexin Net2Net o cualquier conexin VPN con ZERINA.

El primer requisito es 2 mquinas IPCOP corriendo la ms actual compilacin. En segundo lugar, hay que descargar e instalar la ltima implementacin Alpha de ZERINA Net2Net. Si su IPCOP no es la versin ms actual, este puede ser fcilmente actualizado a la ltima versin y debe hacerse antes de siquiera intentar instalar y configurar ZERINA. ZERINA no se instalara correctamente y/o no puede funcionar correctamente si no se est usando la versin correcta de ZERINA para IPCOP. Como IPCOP se actualiza constantemente, las nuevas versiones de ZERINA se pondrn a disposicin, ya sea al mismo tiempo o poco despus. Asegrese de que antes de realizar las actualizaciones de IPCOP, compruebe en el Sitio Web de ZERINA por cualquier informacin que pueda afectar a IPCOP y/o versiones presentes de ZERINA. En el ejemplo de este HOWTO, IPCOP est configurado de la siguiente manera. Adems cada mquina debe tener un mnimo de dos interfaces de red. La interfaz GREEN est conectada a la Lan interna y la interfaz RED est conectada a Internet. ZERINA puede soportar conexiones VPN en las interfaces ORANGES y BLUE, pero que no se discute en este HOWTO. El proceso de configurar el soporte Net2Net en las interfaces ORANGES y BLUE slo requiere que se adapte a lo que se discute aqu sobre lo bsico respecto a conexiones Net2Net. IPCOP A (Hamburgo) tiene dos interfaces: RED 192.168.61.2/255.255.255.0 GREEN 192.168.191.3/255.255.255.0 IPCOP B (Paris) tiene dos interfaces: RED 192.168.61.3/255.255.255.0 GREEN 192.168.85.2/255.255.255.0 CLAVE: NOTA que las interfaces GREEN estn en redes diferentes y deben estar en distintas redes. Para que una red VPN funcione debe tener nmeros diferentes en uno de los primeros tres grupos de octetos. Si las interfaces GREEN pertenecen a la misma red, entonces estn tratando de establecer un puente de red y esto no est actualmente soportado y cualquier intento de crear una conexin VPN fracasar. CLAVE: Otro concepto importante es que el IPCOP A es el servidor y el IPCOP B es el cliente. ZERINA utiliza el lado del servidor para crear y generar un archivo de exportacin/configuracin que se utiliza para configurar el extremo opuesto el IPCOP B simplemente cargara el resultante de los paquetes de configuracin. CLAVE: Para aquellos interesados en conexiones IPCOP hacia mquinas no IPCOP con OpenVPN este archivo de exportacin es lo que se necesita para dicha implementacin. Contiene toda la informacin necesaria para unirse a maquinas NO-IPCOP en funcionamiento. Esa conexin no est actualmente soportada por el equipo de desarrollo de ZERINA. Visite el sitio Web de OpenVPN, es un buen lugar para buscar ideas y hacer preguntas sobre la manera de hacer esto. CLAVE: El ejemplo mostrado aqu supone una direccin de IP esttica de su proveedor de Internet. Esta es la forma ms rpida y cmoda de implementar y mantener cualquier VPN. Pero si usted no tiene una direccin IP esttica entonces tendr que utilizar las caractersticas DYDNS de IPCOP para establecer una cuenta con uno de los proveedores de servicios de DNS dinmicos.

Si usted posee una direccin IP fija siempre puede referirse mquina por mquina con esta direccin IP. Si no tendr que seleccionar un nombre que es nico. Debe recordar utilizar este nombre cuando comience con la configuracin de ZERINA. SUGERENCIA: Si utiliza un nombre y usted tiene direcciones IP estticas, puede poner la direccin IP y el nombre que le corresponda en el archivo /etc/hosts de su IPCOP. Esto har que la resolucin de nombres y otras cosas un poco ms rpido cuando se conecta entre mquinas IPCOP. Tambin puede referirse a ellos por el nombre de host que es un poco ms simple y puede ser ms corto que tener que escribir la direccin IP. Esta gua est dirigida principalmente para establecer conexiones net2net entre mquinas IPCOP, ZERINA puede ser usado para crear conexiones OpenVPN entre cualquier sistema operativo que soporte OpenVPN e IPCOP. Explicar cmo hacer esto est fuera del alcance de este HOW-TO, pero el sitio Web de OpenVPN es un buen lugar para comenzar con este tipo de implementaciones. Instalacin y configuracin Una vez que tenga su IPCOP en funcionamiento y con una conexin a Internet establecida tendr que acceder a la administracin Web y modificar varios parmetros. La interfaz de administracin en nuestro ejemplo para el IPCOP A se puede llegar escribiendo: http://192.168.61.2:81 Haga clic en el botn Conectar e ingrese la contrasea para el usuario admin. Recuerde que se distingue entre maysculas y minsculas. Si est utilizando IE7 y/o Vista le aparecer una advertencia de seguridad dicindole que el certificado no es de confianza y que no debera ir este sitio. No haga caso de este mensaje y haga clic en la opcin ir a este sitio de todos modos. Es posible que tambin le avise de enviar un informe a Microsoft como que es un sitio no legtimo. Por favor no hagan eso. Todo lo que har es aumentar el riesgo de que inadvertidamente usted bloquee el acceso a su propio cortafuego. SUGERENCIA: habilitando y teniendo las conexiones Roadwarrior en funcionamiento antes de instalar el paquete de ZERINA Net2Net le permitir configurar ZERINA desde cualquier lugar y no es necesario tener acceso directo a la consola ya sea del IPCOP A B. SUGERENCIA: Para reducir los problemas que usted se enfrentar con IE7 y Vista, es posible considerar establecer sus mquinas IPCOP A y B en la lista de confianza. Una vez hecho esto usted recibir una advertencia de que el certificado no es de una autoridad de confianza. Eso est bien, ya que es su cortafuego y es de confianza. Si no est trabajando directamente desde la consola de su IPCOP tendr que permitir el acceso SSH para el IPCOP A. La interfaz de administracin se divide en una serie de pestaas. Las fichas que vamos a estar interesados son la siguiente: SISTEMA SERVICIOS VPN Con el fin de permitir el acceso SSH a su IPCOP, haga clic en la pestaa Sistema y luego haga clic en Acceso SSH, asegurarse de que la opcin de acceso SSH est activada. Si no es as marque el checkbox y haga clic en Guardar. El acceso SSH para aquellos que no estn familiarizados con

Linux/Unix es el servicio que le permitir el acceso remoto a la consola de su IPCOP A para poder realizar la instalacin inicial del software de ZERINA. Todas las configuraciones y caractersticas de ZERINA son realizadas y controladas a travs de la interfaz Web proporcionada por IPCOP. ADVERTENCIA DE SEGURIDAD: Asegrese de que cuando instal su IPCOP haya utilizado contraseas adecuadas y cuando termine la instalacin de ZERINA usted desactive el acceso SSH. Esto reduce el riesgo de que el servicio SSH pudiera utilizarse para obtener acceso a su IPCOP y comprometer su red. Si necesita volver a habilitar el acceso por SSH puede hacerlo fcilmente utilizando su navegador Web favorito y conectarse a su IPCOP y rehabilitarlo. Ahora tenemos que configurar el Servidor Horario. IPCOP puede sincronizar su reloj con cualquier servidor NTP ya sea interno a su red o externo. Es muy importante asegurarse de que los relojes en sus IPCOP son correctos y estn bien sincronizados. La mayora de las organizaciones pequeas y los usuarios domsticos no tendrn un servidor en su casa. Verifique con su proveedor de Internet y averige la direccin IP o el nombre de su Servidor de Hora. Si no tienen un servidor de hora, hay muchos servidores pblicos y usted puede encontrar uno en ntp.org. Para configurar los servicios de horarios, usted haga clic en la pestaa Servicios, seleccione Servidor de Horario. Una serie de opciones se presentarn. Revise las siguientes opciones, Usa un Network Time Server, Actualizar hora. En las opciones 1 y 2 de Usa un Network Time Server deber ingresar el nombre de algn servidor de hora como ntp.ntpmyisp.com o la direccin IP. Haga clic en Guardar y luego haga clic en Cambiar Hora Ahora. Esto tardar algn tiempo, hasta 5 minutos, dependiendo de la capacidad de respuesta del servidor. Usted debe notar un pequeo icono de rotacin durante el proceso de actualizacin. Si la actualizacin se ha realizado correctamente, ver una pantalla que indica la fecha de la ltima sincronizacin de hora. CLAVE: El hecho de no tener sus IPCOP o las maquinas con los relojes no sincronizados puede dar lugar a todo tipo de problemas. Todo tiene que ver con la fecha y hora de creacin de sellos y de la caducidad de los mismos, estos estn embebidos en los certificados que son creados. Si la fecha u hora de un certificado es del futuro, entonces el certificado o bien dejar de cargar o no es autenticado. El Servidor de Hora esta ahora configurado. Podemos proceder con la primera parte de la instalacin inicial del paquete Net2Net de ZERINA. Voy a suponer que la persona que realiza el trabajo lo hace desde una mquina Windows y no accede al IPCOP A o B directamente a travs del teclado local. Usted necesitar dos programas, PuTTY y WinSCP. Ambos pueden ser descargados libremente desde Internet. PuTTY es la implementacin SSH para la plataforma Windows y est disponible para descargar en la pgina oficial. Al descargar PuTTY gurdelo en el escritorio, por lo que es fcil de encontrar. WinSCP es un muy buen GUI que hace que sea muy fcil copiar el paquete descargado de ZERINA al IPCOP A y B. Descargar ambos paquetes e instalar WinSCP antes de seguir adelante. El siguiente paso es conectarse por SSH a su IPCOP mediante el uso de PuTTY. Ejecutar PuTTY y poner en el cuadro de direccin IP la direccin de su IPCOP o el nombre de host. En nuestro caso es 192.168.191.2, asegrese de que la opcin SSH este tildada y deber cambia el nmero de puerto a 222. Pulse ingresar y se le presentarn varias indicaciones. Si esta es la primera vez que se ha utilizado SSH para acceder a su IPCOP le preguntara a usted que la clave no es de confianza y si esta bien en confiar en ella. Haga clic en OK y se le presenta un cuadro negro de dilogo que solicita un usuario de inicio de sesin. El nombre de usuario ser root, presione enter y luego le pedir su contrasea.

Una vez que haya conectado con xito usted estar en el directorio home de root. De conformidad con el orden lo que hay que hacer es crear un directorio para instalar ZERINA. Yo nombro el directorio con el nombre del paquete y con el nmero de versin. Utilizaremos el siguiente comando para crear el nuevo directorio: mkdir ZERINA-0.9.13alpha Esto crear un directorio en el directorio raz de inicio del usuario llamado ZERINA-0.9.13alpaha. Dejando el SSH abierto, regrese a su escritorio de Windows, y ejecute WinSCP. Si no ha instalado WinSCP hgalo ahora. Ejecute WinSCP y tal y como hizo con SSH, ingrese en la casilla la misma direccin IP del IPCOP, el puerto es 222 el mismo que se utiliz para SSH. Ahora puede copiar fcilmente el paquete descargado de ZERINA al recin creado directorio de instalacin que se encuentra en el directorio home del usuario. Encuentre el paquete descargado ZERINA y arrastrar y suelte el archivo en el directorio ZERINA-0.9.13alpha. Por favor, recuerde que el nombre cambiar a medida que cambie de versin. Haga clic de nuevo en su sesin SSH, e introduzca el siguiente comando. cd ZERINA-0.9.13alpha A continuacin, introduzca el comando ls para mostrar los archivos que estn en este directorio. Usted debe ver un archivo en este momento. ZERINA-0.9.13Alpha.tar.gz Escriba el siguiente comando: tar -xzvf ZERINA-0.9.13Alpha.tar.gz Ahora pulse la tecla del tabulador y se completa el resto de la lnea, de un espacio y pulse enter. Ahora el paquete ser descomprimido y colocado en este directorio. El ltimo paso es ejecutar el paquete de instalacin. El paquete de instalacin se ejecuta introduciendo el siguiente comando: ./install

Un nmero de cosas deben suceder y vers varios mensajes, el ltimo indicando que se ha instalado ZERINA ahora es necesario configurar el software a travs de la interfaz Web de administracin de IPCOP. Si se trata de una actualizacin, aparecer un mensaje sobre la deteccin de la instalacin anterior y el uso de mdulo de actualizacin para este proceso. Si todo ha ido bien, puede salir del PuTTY y del WinSCP. Abra su navegador favorito y acceda a la interfaz Web de administracin de IPCOP. Si ha vista la pestaa VPN antes de instalar ZERINA notara que slo haba una opcin, ahora debera ver una segunda opcin que dice OpenVPN.

Interfaz de administracin Si no ve la opcin OpenVPN debe salir de su navegador y, en el caso de IE vaya a Panel de Control, Opciones de Internet, y elimine todos los archivos temporales y las cookies. Abra nuevamente su navegador y vaya a la pestaa VPN y usted debe ahora ver la opcin OpenVPN. Haga clic en ella. La primera pgina que se muestra es lo que vamos a llamar Pgina de Administracin. Desde aqu debe configurar OpenVPN para satisfacer sus necesidades especficas y para vigilar su servidor OpenVPN. La Pgina de Administracin est dividida en 4 secciones 1. 2. 3. 4. Autoridades Certificadoras Servidor Roadwarrior Estado y control del cliente Roadwarrior Estado y control de conexiones Net to Net

1. Autoridades Certificadoras: Esto es lo primero que tendremos que configurar ya sea para una conexin Net2Net o una Roadwarrior. 2. Servidor Roadwarrior: no es necesario para una conexin Net2Net. Sin embargo, si usted tiene una configuracin preexistente de Roadwarrior tendr que recordar el Protocolo y el puerto de destino que esta usa. Recuerde que la configuracin Roadwarrior puede coexistir con la configuracin Net2Net. El nico requisito es que deben estar corriendo en diferentes combinaciones de puerto/protocolo o cualquier combinacin de puerto/protocolo no utilizado. Ejemplo: si el cliente Roadwarrior est corriendo en el puerto 1194 con el protocolo UDP para nuestra configuracin Net2Net vamos a usar el puerto 1194 y el protocolo TCP. 3. Estado y control del cliente Roadwarrior: esta parte no es necesaria para las configuraciones Net2Net. 4. Estado y control de conexiones Net to Net: es lo que tendremos que configurar y se explica ms adelante.

Autoridades Certificadoras

En una nueva instalacin OpenVPN no habr certificados creados. Si no tiene los certificados preexistentes el primer paso es, entonces, generar el certificado raz y anfitrin. Aunque por defecto el servicio VPN de IPCOP tiene su propia capacidad PKI, se decidi que sera mejor la utilizacin de una PKI separado a fin de evitar posibles interacciones. El primer paso necesario para poder aceptar y autenticar las conexiones es contar con un certificado raz y de anfitrin. Tendremos que crearlo ahora. Si usted tiene una configuracin Roadwarrior ya existente entonces no ser necesario generar los certificados. Para generar los certificados Raz/Anfitrin pulse el botn Generar Certificados Raz/Anfitrin La seccin Autoridades Certificadoras tambin proporciona varias funciones importantes de gestin de certificado. Permite una bsqueda de otros certificados que usted pueda tener y quiere instalar en lugar de tener que generar uno nuevo. Sube e instala un certificado de autoridad de certificados de una 3 fuente. Lista los certificados revocados. Usted va a utilizar esto para revocar certificados. Un caso en el que utilizara esto es en CA que ha visto comprometida. Generar los Certificados de Raz/Anfitrin Una vez que haya pulsado el botn Generar Certificados de Raz/Anfitrin se aparecer una pantalla donde hay una serie de campos para ingresar datos.

Nombre del Campo Nombre de la Organizacin Nombre del IPCop Su direccin de E-mail Su departamento Ciudad Estado o Provincia Pais

Descripcin Escriba el nombre de su organizacin Este campo contiene la IP de la placa RED o el nombre de su mquina. No es necesario llenarlo, aqu va el contacto de e-mail No es necesario llenarlo, aqu va el nombre de su departamento No es necesario llenarlo, aqu va el nombre de su Ciudad No es necesario llenarlo, aqu va el nombre de su Estado o Provincia Elija su pas

Ejemplo Hamburg ipcop1.localdomain it@myhost.com IT Hamburg Hamburg Germany presione

Botn de generacin del Si todos los datos necesarios (punto 1,2,3) certificado fueron ingresados, puede oprimir el botn para iniciar el proceso de generacin de los certificados Rebusqueda del archive Esto es opcional, ya sea para generar un PKCS12 certificado nuevo o puede cargar uno ya existente si ya dispone de certificados que desea utilizar, entonces puede subirlo, busque aqu la ubicacin del certificado, el certificado tiene que estar en formato PKCS12. Contrasea del archivo Esto es opcional, ingrese aqu la PKCS12 contrasea del archivo PKCS12. Suba el archivo PKCS12 Esto es opcional, presione el botn para comenzar a subir el archivo

suba el PKCS12

archivo

Contrasea archive PKCS12 presione

del

El formulario "Generar Certificado de Raz/Anfitrin" completo debera verse de la siguiente manera:

Una vez que todos los datos necesarios se han ingresado presionaremos el botn Generar Certificado de Raz/Anfitrin. Dependiendo del hardware usado en su IPCOP, el proceso puede tardar bastante tiempo. Adems de la generacin de los certificados, tambin se generar un archivo dh (Diffie Hellman). OpenVPN tambin requiere archivos dh. Por favor, sea paciente. Despus de la generacin exitosa de los Certificados de raz/anfitrin necesarios la pgina de Administracin de OpenVPN se abrir y en la seccin Autoridades Certificadoras aparecer algo como esto:

Agregando una nueva conexin El proceso es bastante sencillo, hay que ir a la seccin Estado y Control de Conexiones Net to Net y haga clic en el botn Agregar.

La pantalla de tipo de Conexiones Net to Net se muestra. En esta pantalla se puede seleccionar dos opciones. Seleccione la opcin Red Privada Virtual (VPN) de Red a Red y el asistente se ejecutara ahora. Esta opcin se seleccionar nicamente en el IPCOP A. Este es el primer paso en la creacin de una conexin red a red y es durante este proceso que va a introducir la informacin para generar la conexin para el IPCOP A y cuando est completo habr generado y creado un archivo descargable que le permitir una muy rpida configuracin del IPCOP B. Por el momento, no necesitamos preocuparnos por esto ahora. La pantalla de Conexiones privadas Red a Red es mostrada. Esta pantalla se divide en dos Secciones: Conexin y Autenticacin. Cada seccin tiene un nmero de entradas como las siguientes:

Nombre del Campo Nombre

Descripcin Hamburg

Ejemplo

Ingrese el nombre de la conexin. Este debe ser nico Act As Hay dos opciones, pero para conexiones Net2NET debe seleccionar esta Open VPN Server. Host/IP para VPN Ingrese la direccin IP de la interfaz RED Local del IPCOP A Sub-red Local Ingrese la direccin IP de la interfaz GREEN del IPCOP A. Solo los tres primeros octetos ya que el cuarto es usualmente 0. Sub-red OpenVPN Este campo normalmente ya est completado pero si usted tiene que utilizar una direccin IP diferente modifquelo de

Open VPN Server

192.168.61.2 192.168.191.0/255.255.255.0

10.142.81.0/255.255.255.0

acuerdo a sus necesidades. Asegrese de no crear un conflicto con una direccin IP ya existente en la red Lan o la conexin fallar. Esta debe ser una direccin nica y ms que nada no debe ser routable. Protocolo OpenVPN por la Norma RFC utiliza el puerto 1194 y el protocolo TCP o UDP. Puede usar cualquier conjunto de protocolo/puerto. El nico requisito es que si usted tiene una conexin Roadwarrior ya existentes tienen que ser diferentes combinaciones de puerto/protocolo. Compresin LZO Es un algoritmo de Compresin Dinmica que puede mejorar el rendimiento. Aade un solo byte para el paquete de datos y no comprimir los datos a menos que se pueden comprimir. MTU Mxima Unidad de Transmisin. Esto puede ser ajustado para que la conexin tenga la menor cantidad de paquetes fragmentados al volver. Normalmente es 1400 pero puede ser otro nmero, dependiendo del MTU de tu conexin a Internet. Observacin Esto es opcional, y puede utilizarse para describir con ms detalle las conexiones cuando usted tiene ms de una. Activo Esta casilla habilita y deshabilita una conexin. Editar los ajustes Esto es opcional, pero mostrar otras avanzados una vez opciones que controlan el comportamiento terminado de su conexin. ADVERTENCIA El cambio de estas opciones o alguna de las opciones existentes de una conexin net2net en funcionamiento podra causar algn fallo. Usted debe realizar cambios simultneamente en ambos IPCOP. Si estn alejados entre s, entonces debe tener una manera de poder controlar remotamente el IPCOP B sin depender del software de ZERINA. Host/IP remoto Direccin IP de la interfaz RED del IPCOP B Subnet remota Direccin IP de la interfaz GREEN del IPCOP B. Puerto de destino Por las normas RFC este es el 1194, pero puede ser cualquier puerto disponible no utilizado. El puerto de destino debe coincidir entre el IPCOP A y el B. Encriptacin Configuracin de Cifrado para la conexin VPN. OpenVPN soporta cualquier mtodo de cifrado soportado por OpenSSL. BFCBC-Blowfish es muy bueno y rpido pero si quieres niveles ms altos de encriptacin

UDP

Chequear

1400

Conexin OpenVpn Hambur <-> Paris Chequear para habilitar Dejar deschequeado

entre

192.168.61.3 192.168.85.0/255.255.255.0 1194

BF-CBC

Cargar certificado solicitado

un

Cargar certificado

un

Generar Certificado

Nombre del archivo Nombre completo del usuario o nombre del Sistema Direccin E-mail del usuario Departamento del usuario Nombre de la Organizacin

entonces puedes intentar lo siguiente: AES-192-CBC o AES-256-CBC. Le permite cargar una solicitud de certificado sin firmar y tener la Certificacin de Autoridades Raz/Anfitrin del IPCOP A cargado sin firmar. En el item #19 es donde usted introduce la ruta y el nombre del archivo. Esto le permite importar un certificado firmado para usar con esta conexin. CLAVE: Las conexiones deben utilizar los certificados firmados por el mismo CA. Si no estn firmados por el mismo CA la conexin VPN no se establecer. En el item #19 es donde usted introduce en la ruta y el nombre del archivo. Tendremos que generar un certificado para usar en los dos extremos de la conexin. Tendremos que completar los campos 2026, pero no completar los puntos 27 y 28. ADVERTENCIA: ZERINA Net2Net en este momento no soporta el uso de las conexiones protegidas por contraseas. Nombre del archive usado por cualquiera de las opciones #17 o #19. Nombre de la conexin (este debe ser descriptivo).

No Usado

No Usado

Seleccione el botn de radio

No Usado ParisHH

28

Esto es opcional, pero es una buena idea completarlo. Esto es opcional, pero es una buena idea completarlo. Esto debera estar ya completado. Esta informacin es heredado del Certificado de Host. Ciudad Esto debera estar ya completado. Esta informacin es heredado del Certificado de Host. Estado o Provincia Esto debera estar ya completado. Esta informacin es heredado del Certificado de Host. Pas Esto debera estar ya completado. Esta informacin es heredado del Certificado de Host. Contrasea del Por ahora djelo en blanco archivo PKCS12 Confirmacin de Por ahora djelo en blanco la contrasea del archivo PKCS12

Buena idea completarlo Buena idea completarlo Hamburg

Hamburg

Hamburg

Germany

Dejar en blanco Dejar en blanco

Cuando haya completado todos los campos deber ver algo como esto. Pero adaptado a sus necesidades en particular.

El ltimo paso en el proceso es pulsar el botn Guardar, situado en la parte inferior. Esto tardara unos segundos para que los datos sean guardados y ZERINA crear el archivo zip necesario para usar con el IPCOB B. Descarga del paquete cliente Despus de haber guardado la configuracin para el IPCOP A, ZERINA volver a la pgina de administracin. Usted debe ver una conexin Net2Net nueva en la seccin Estado y Control de Conexiones Red a Red.

Aqu se muestra una serie de informacin muy til. Adems de decirnos acerca de la conexin y su nombre tambin nos dice por cunto tiempo es vlido. A su vez nos proporciona las herramientas necesarias para gestionar el estado de la conexin.

El campo del estado de la conexin puede tener tres opciones: 1. El estado CERRADO es la condicin para nuevas conexiones. Siempre ser Rojo. Esto significa que la conexin no est activa por el momento. 2. El estado CERRADO en azul significa que la conexin est Deshabilitada y la casilla de verificacin estar sin marcar. 3. El estado ABIERTO en verde significa que la conexin est abierta y activa. En la seccin Estado y control de conexiones Red a Red debe aparecer el siguiente icono o el estilo anterior de OpenVPN, con el prisma. Cuando el Mouse este encima de este se le notificar que puede descargar el paquete cliente. El resultado de la descarga ser utilizado por el IPCOP B para crear la conexin. Al hacer clic en este icono se le mostrar las opciones de descarga para que usted elija la forma de descargar el paquete cliente. Se le mostrar la siguiente pantalla:

Dependiendo de su navegador, en este caso se usa FireFox, se mostrar una opcin para que seleccione si desea descargar y guardar archivo zip en el disco local o en algn otro medio. Algunos navegadores, como IE 6 y 7 en XP y Vista mostraran un mensaje de advertencia acerca si de desea descargar este tipo de archivo. Si usted es curioso en cuanto al contenido del archivo HamburgParris.zip del IPCOP A; notar que hay dos archivos. Ellos son ParisHH.p12 y el archivo .conf de OpenVPN. El archivo .conf tiene una serie de datos dentro. La sintaxis del archivo .conf es opcin-valor. Si usted est interesado en saber ms acerca de lo que significan y cmo afectan a su red, por favor visite www.openvpn.net y luego vaya a la pgina de documentacin. El manual para 2.0.x es de aproximadamente 44 pginas. dev tun tun-mtu 1400 proto udp port 1194 ifconfig 10.142.81.2 10.142.81.1 remote 192.168.61.2

tls-client pkcs12 ParisHH.p12 route 192.168.80.0 255.255.255.0 keepalive 10 60 cipher BF-CBC comp-lzo verb 3 #192.168.85.0 255.255.255.0 Para aquellos curiosos. El archivo Openvpn.conf del IPCOP A contiene la siguiente informacin: dev tun tun-mtu 1400 proto udp port 1194 ifconfig 10.142.81.1 10.142.81.2 remote 192.168.61.3 tls-server ca /var/ipcop/ovpn/ca/cacert.pem cert /var/ipcop/ovpn/certs/servercert.pem key /var/ipcop/ovpn/certs/serverkey.pem dh /var/ipcop/ovpn/ca/dh1024.pem route 192.168.85.0 255.255.255.0 keepalive 10 60 cipher BF-CBC comp-lzo verb 3 #192.168.80.0 255.255.255.0 Estamos casi listos para la creacin de una conexin Net2Net con ZERINA. Ahora tenemos que dirigir nuestra atencin al IPCOP B. La direccin IP para IPCOP B es 192.168.85.2. Vamos a usar de nuevo PuTTY y WinSCP como lo hicimos antes para el IPCOP A. Subir un paquete cliente de ZERINA Se presume que ya hemos instalado el software de ZERINA. As que ahora slo tenemos que seguir los pasos que hicimos antes para generar el Certificado raz y anfitrin. En nuestro ejemplo esto es lo que ingresamos para el Certificado de Autoridad de Pars HH.

Vamos a Generar Certificados de Raz/Anfitrin.

Una vez que hemos generado el Certificado Raz/Anfitrin debemos ver que aparece en la pgina de administracin en la parte de Autoridades Certificadoras.

El siguiente paso consiste en importar el archivo que guardamos del IPCOP A. Tendremos que ir a la seccin Estado y control de conexiones Red a Red y seleccione Agregar.

Cuando seleccione Agregar se mostrar una pantalla con dos opciones, sin embargo a diferencia de las pasos realizados en el IPCOP A seleccionaremos upload a ZERINA Net-to-Net package.

Haga clic en el botn Examinar para buscar el archivo que desea subir. Una vez que haya encontrado el archivo haga clic en el botn Agregar.

Usted est a punto de aadir la informacin de la conexin y podr revisar el resultado de la importacin. Si lo desea, puede comprobar que todo coincide con lo que usted ha introducido. Una causa comn de fracasos de la conexiones es la direccin IP incorrecta de alguno de los IPCOP o que estas estn en conflicto.

Al hacer clic en Aprobado, se iniciar el proceso de importacin del archivo zip. Cuando el proceso de importacin se complete ser llevado a la pgina de administracin y en la seccin Estado y Control de Conexiones Red a Red ver que el estado es CERRADO en azul. Simplemente marque la casilla vaca que esta debajo de Accin

Una vez que haya tildado esta casilla, el estado debe cambiar a ABIERTO si todo fue correctamente introducido. Una diferencia a sealar aqu es que en el IPCOP B no hay opciones en la parte de Accin. No es necesario ya que la importacin de certificados no es desde el IPCOP B en A y los controles ms importantes para el IPCOP B son Habilitar, Deshabilitar la conexin y para eliminar la conexin cuando ya no es necesaria. Observe tambin en Observacin dir imported. Se trata de una forma rpida de dar a conocer la mquina que usted est conectado. En este caso es el IPCOP B, ya que siempre la importacin ser al IPCOP B. En el IPCOP A se dar cuenta que el Estado tambin es ABIERTO. Ahora tiene un tnel abierto y podemos probarlo. Hay varias formas de determinar el estado de una conexin. Una de las maneras ms fciles es utilizar el comando ping o usar el navegador para ir a la pgina de administracin del IPCOP. En cualquier caso, la direccin IP es 192.168.85.2. Si puede navegar o hacer ping a esta direccin IP con xito el tnel est abierto. La ltima prueba es hacer un ping o ver si se puede acceder a los recursos de red que no sean del IPCOP B.

Archivos de Log ZERINA integra la funcin de Logging con las funciones de Logging de IPCOP. Usted puede utilizar estos registros para obtener una informacin ms detallada sobre la situacin de una conexin y puede ayudarle a localizar algn problema que pueda tener. Desde las pestaas de men del IPCOP notar que una dice LOGS, haga clic en ste y, a continuacin, seleccione Registros de Sistema. Desde el men desplegable seleccione OpenVPN. En el archivo de log ver una serie de entradas.

Si bien esto es slo un ejemplo, un IPCOP puede tener mltiples conexiones Net2Net. La nica limitacin es su creatividad y sus necesidades. En este documento no cubriremos las Opciones Avanzadas. Estas se contemplarn en los documentos seguidos a este, donde se explicarn la mayora de las opciones que hay realmente, para las personas que necesiten configuraciones avanzadas. Las personas promedio, no necesitarn tocar estas opciones. Sin embargo, voy a tocar varios items de inters de la pantalla de Opciones Avanzadas. La primera es la opcin Redirect-Gateway def1. Esta opcin puede aumentar la seguridad, pero tiene algunas implicaciones para el DHCP y los clientes Windows. Lo que esto hace es obligar que todo el trfico pase por que tnel y esto puede ser lo usted quiere si tiene polticas para controlar donde la gente puede navegar. El inconveniente es que va a hacer la conexin net2net ms lenta. Aqu se da una descripcin ms detallada a partir de la pgina 2.0.x de OpenVPN.
--redirect-gateway [local] [def1]

(Experimental) ejecuta automticamente los comandos de ruteo para que todo el trfico saliente IP sea redireccionado a travs de la VPN. Esta opcin lleva a cabo tres pasos: (1) Crea una ruta esttica para la direccin - -remote que har un fordward a la puerta de enlace preexistente. Esto se hace para (3) no crear un bucle de enrutamiento.

(2) Borra la puerta de enlace por defecto. (3) Establece la direccin final de la VPN como la nueva puerta de enlace por defecto (derivados ya sea de --route-gateway o del segundo parmetro para ifconfig cuando --dev tun esta especificado) Cuando el tnel esta cado, todos los pasos anteriores se invierten de manera que la ruta por defecto original se restablece. Se debe aadir la bandera local OpenVPN si ambos servidores estn directamente conectados a travs de una subred, como con la tecnologa inalmbrica. La bandera local har que el paso 1 anterior sea omitido. Aadir la bandera def1 para anular la puerta de enlace por defecto mediante el uso de 0.0.0.0 / 1 y 128.0.0.0 / 1 en lugar de 0.0.0.0 / 0. Esto tiene la ventaja de sobrescribir pero no borrar la puerta de enlace por defecto original. El uso de la bandera def1 es muy recomendable, y en la actualidad est previsto convertirse en una caracterstica por defecto de OpenVPN 2,1. Otra opcin es Keppalive (ping/ping-restart). Esto est establecido en 10/60 pero se puede experimentar con diferentes valores. Algunas personas sugieren 10/100. Esto es lo que se dice acerca de este valor en la pgina de OpenVPN. Ping remoto sobre el canal de control TCP/UDP de paquetes si no se han enviado por lo menos en n segundo (especifique - - ping en ambos lados para que los paquetes sean enviados en ambas direcciones, como los ping OpenVPN no hacen eco como los ping de IP) Cuando se utiliza el modo seguro en uno de los OpenVPN (donde --secret, --tls-server, o --tls-client estn especificados) los paquetes del ping son criptogrficamente seguros. Esta opcin tiene dos usos: (1) Compatibilidad con el estado de los cortafuegos. El ping peridico asegurar que una regla de estado del cortafuego permite a los paquetes UDP OpenVPN pasar tiempos perdidos. (2) Proporcionar una base para probar la existencia de los pares a travs de la opcin --ping-exit.
--ping-exit n

Causa que OpenVPN salga despus de pasar n segundos sin la recepcin de un ping u otro paquete de control remoto. Esta opcin puede combinarse con --inactive, --ping y --ping-exit para crear dos niveles de inactividad de desconexin. Por ejemplo:
openvpn [options...] --inactive 3600 --ping 10 --ping-exit 60

Cuando se usa en ambos lados har que salir a OpenVPN dentro de 60 segundos si se desconecta, pero va a salir despus de una hora si no hay intercambio de datos en el tnel.
--ping-restart n Similar a --ping-exit, pero desencadena un reiniciado SIGUSR1 despus de n segundos sin pasar recepcin de un ping u otro paquete de control remoto.

Esta opcin es til en casos en que el lado remoto tiene una direccin IP dinmica y un bajo TTL y se utilizan DNS para rastrear la direccin IP utilizando servicios como http://dyndns.org/ + un cliente DNS dinmico como ddclient. Si el lado remoto no puede ser alcanzado, un reinicio se desencadenara, causando que el nombre de host utilizado con remote se re-resuelto (si --resolv-retry es especificado) En modo de servidor, --ping-restart, --inactive o cualquier otro tipo de seal generada internamente siempre se aplicar a instancias de objetos de cliente individuales, nunca al servidor mismo. Tenga en cuenta tambin que en modo de servidor cualquier seal generada internamente que normalmente causa un reinicio, provocar el borrado del cliente en lugar instancia objeto. En modo de cliente, el parmetro --ping-restart est ajustado por defecto a 120 segundos. Este valor por defecto se mantendr hasta que el cliente tire un valor a remplazar desde el Server, basado en la configuracin de --keepalive en el servidor. Para deshabilitar los 120 segundos por defecto, configure en el cliente --ping-restart en 0. Vea las seales de la seccin a continuacin para obtener ms informacin sobre SIGUSR1. Tenga en cuenta que el comportamiento de SIGUSR1 puede ser modificado por las opciones --persist-tun, --persist-key, --persist-localip, y --persist-remote-ip. Tambien note que --ping-exit y --ping-restart se excluyen mutuamente y no pueden utilizarse juntas. --keepalive n m Una directiva de ayuda diseada para simplificar la expresin de --ping y --ping-restart en las configuraciones de modo servidor. Por ejemplo, --keepalive 10 60

Esta es una traduccin de la gua en ingls para establecer conexiones Net2Net que est en la pgina oficial de ZERINA. Trate de adaptar lo ms posible la traduccin para que no haya diferencias con respecto a la original. Por favor cualquier error en la misma hganmelo saber por medio de un correo electrnico a la direccin que muestro a continuacin: richard07_x@yahoo.com.ar Por ahora esta es la nica forma que encontr de contribuir a ZERINA espero que les sea de utilidad.