Dudas con Shorewall y autenticación de usuarios móviles.

Archivado
Muy buenas, tras éste largo título hay una necesidad y muchas dudas al respecto. Os presento el escenario en cuestión:

Tengo instalados varios sistemas que actúan de firewall. Como SO tengo Debian Sarge y habitualmente kernel 2.6 (menos en uno que tengo 2.4).

Para facilitarme el trabajo de editar reglas y demás para iptables uso Shorewall 2.2.3-2(lo recomiendo va de coña). Y he añadido varias funcionalidades más con P3scan 2:2.1-2(conector pop) + spamassassin 3.0.3-2sar + clamav 0.88.7-0vo. El sistema funciona de maravilla, pero me empiezo a encontrar con la necesidad de autenticar portátiles que se encuentran fuera de las empresas (desde conexiones de hoteles o desde casa mismo) y no sé como autenticarlos.

Necesito una pista, ni que sea, para poder llevar a cabo lo de la autenticación de usuarios remotos. He encontrado el siguiente link para kernels 2.4, pero no para 2.6 y se habla de IPsec. ¿pueden ir por ahí los tiros?

Un saludete y gracias.
Puedes usar una VPN con algún tipo de encriptación (IPSEC, SSH,...) o RADIUS.

Un saludo.
Si quieres sencillez, OpenVPN.

Si quieres maximo rendimiento, ponte IPSEC, va incluido en el kernel 2.6, pero tendras qe leer MUCHO si quieres un sistema seguro, no un sistema que parezca seguro.
yo el ipsec solo lo recomiendo a gente que pueda dedicarle muchas horas de trabajo ya que es una solucion muy fiable pero que requiere mucho mantenimiento sobre todo con los clientes Windows, ademas si quieres utilizarlo detras de un router con nat puedes tener muchos quebraderos de cabeza.
Pufff pues veo que lo de ipsec no es una buena solución. No tengo muchas ganas de meterme en ese tipo de envolaos.
Empezaré a mirarme lo de OpenVPN y os comento a ver que tal. Un saludo y gracias!!!!
Exacto, instalar Ipsec en un cliente windows puede llegar a ser un pequeño infierno, yo he probado OpenVPN en MacOS y en linux, y solo es instalar, y tocar 2 cosas del archivo de config por defecto. Si quieres combinarlo con RADIUS, o LDAP, te tocara leer un poquito mas :).
en mi empresa usamos OpenVPN tanto en windows como en mi caso, linux y va de lujo, instalarlo es un momento siempre que el auth-pam no te de por culo (auth-pam para autenticación contra linux aparte de los cert's) y el HOWTO oficial es impresionante, de lo más facil y comprensible que he leido nunca.

Lo único es que no sé si hay algún gateway hard que te permita acceder a una openvpn, si alguno lo sabéis decirmelo :S
He ecncontrado bastante documentación al respecto y parece ser una buena solución para mi caso. De momento se instalará en un SBS2003 (Win2003 server vaya) y los clientes serán, en la mayoría de casos, winXP. Lo único es que pasará a través del firewall que os he comentado antes; pero creo que no será problema. Os digo algo en cuanto lo tenga.

Un saludete y gracias de nuevo.
dodger escribió:en mi empresa usamos OpenVPN tanto en windows como en mi caso, linux y va de lujo, instalarlo es un momento siempre que el auth-pam no te de por culo (auth-pam para autenticación contra linux aparte de los cert's) y el HOWTO oficial es impresionante, de lo más facil y comprensible que he leido nunca.

Lo único es que no sé si hay algún gateway hard que te permita acceder a una openvpn, si alguno lo sabéis decirmelo :S
Si te refieres a dispositivos con OpenVPN embebido. Creo que he leido sobre alguno, pero la verdad no recuerdo cual :S.
Ya he montado mi primera VPN con OpenVPN entre dos máquinas con Windows (ambas con el XP SP2) y con un firewall entre las redes (sólo hace DNAT al servidor de la vpn). He tenido que leer bastante porque no tenía nada claro el concepto, pero al final ha salido algo bastante majo. Como primera prueba me vale de momento.

La única pega que tengo de momento es el siguiente. No puedo añadir en el script de configuración, tanto del cliente como del servidor, la entrada correspondiente en la tabla de rutas. La línea está sacado del HOWTO para linux de la propia página de openvpn y es:
# Our up script will establish routes
# once the VPN is alive.
up up.cmd

donde up.cmd contiene:
route add direccion_red_otra_maquina mask máscara que toque puerta_de_enlace

El error:
C:\Archivos de programa\OpenVPN\config>route add 10.0.0.0 mask 255.255.255.0 10.3.0.1
Error en la adici¢n de la ruta: El ¡ndice de interfaz es err¢neo o la puerta de enlace no est en la misma red que la interfaz. Compruebe la Tabla de direcciones IP para la m quina.

De momento esta ruta la añado a mano y miraré de solucionarlo de alguna manera, pero molaría que pudiese ser transparente y automático (sobre todo para el lado del cliente).

¿qué me queda por probar?. Conectar más de una máquina a la vez y poco más. Con esto, de momento, me vale. Un saludete a todos.

PD: casi se me olvida, gracias compadres!!!!
[barret] [oki] [barret] [oki] [barret] [oki]
lee el error y comprueba esa mascara de red ;)
No creo que el problema sea la máscara. Tenemos una clase A, pero con máscara de la clase C (yo no lo puse). Al ponerla a mano (la misma que en el ejemplo anterior) funciona correctamente. Es como si hasta que no asigna la IP al adaptador TUN/TAP no puede enrutarlo.
Si no es la máscara, es la IP (sería 10.3.0.0), pero obviamente una de las dos está mal.

Un saludo.
El error es claro, el triplete red/mascara/Ip no coincide, alguna de las tres esta mal, da igual lo que tu creas.
Sertinell escribió:El error es claro, el triplete red/mascara/Ip no coincide, alguna de las tres esta mal, da igual lo que tu creas.

Gracias por tu amigable respuesta sertinell Oooh Oooh parece que te haya dicho algo contra tí chico y no era mi intención. La línea la he sacado de la documentación oficial de openvpn para windows el link en la sección Setting up routing.

Lo que hace esa línea es especificar que para acceder a la red destino 10.0.0.0/24 debe hacer el próximo salto en la 10.3.0.1 (dirección de la máquina en la VPN), ¿no?.Documentación route windows

Si la pongo a mano funciona. Se ven ambas máquinas, haciendo ping a la IP de la VPN como a la IP de la LAN y se ven los recursos compartidos de windows. Pero igualmente miraré de buscar por qué no funciona en el script. Un saludo.
Hombre...

Que pusieras la salida de un ipconfig en windows de cada una de las maquinas, y que es lo que quieres hacer de manera concreta, y que explicaras exactamente como esta la red ahora mismo, ayudaria a ayudarte.

Por otro lado ... No veo por que debe molestarte una respuesta clara y concisa :). Es todo lo que podia ayudarte con esos errores.
Güenooooo a ver si os puedo pasar más info esta vez:

La ip de la LAN del servidor es 10.0.0.84/24.
La ip del servidor en la red VPN es 10.3.0.1/30
El archivo de configuración del equipo que hace de servidor VPN:


port 1194
proto udp
dev tun

ca ca.crt
cert openserver.crt
key openserver.key
dh dh1024.pem

server 10.3.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client

push "route 10.0.0.0 255.255.255.0"
push "dhcp-option WINS 10.0.0.2"
push "dhcp-option DNS 10.0.0.2" ip del DNS de la LAN
push "dhcp-option DOMAIN dominio.local"

keepalive 10 120
comp-lzo
max-clients 4
persist-key
persist-tun
status openvpn-status.log
verb 3


La ip de la lan del cliente es 172.16.1.22
La ip de la VPN del cliente se la da por DHCP el servidor VPN, ¿no? y es 10.3.0.6/30 (siempre le da esta).
Su archivo de configuración es:

client
proto udp
dev tun

remote ip_pública servidor vpn 1194
resolv-retry infinite
nobind

persist-key
persist-tun

ca ca.crt
cert client.crt
key client.key

comp-lzo
verb 3


Dudas:
- ¿por qué si en server pongo 10.3.0.0 y 24 bits de máscara el DHCP le da 30 bits de máscara?

- Veo que siempre da la misma ip al cliente 10.3.0.6, incluso si conecto dos máquinas a la vez!!!

- Una vez establecida la conexión el cliente puede ver al servidor, pero, ¿debería poder ver el resto de máquinas de la LAN del servidor?¿se puede hacer eso?

Un saludo y gracias compadres!!!!!
tienes un fallo en la config, no quieres usar el modo client-to-client. Creo qe quieres usar el modo server-client, ¿con infraestructura ? necesitas simular 1 red lan completa al otro lado del servidor con los clientes OpenVPN ?. En la documentacion aparece todo. Mira la documentacion de la ultima version, estas mirando una documentacion obsoleta en algunos casos.

El servidor pone una mascara de 30 para permitir solo 2 IP's, por que no necesita mas (una para el y otra para el cliente).
Es que tengo un problema de concepto del copón. Me miraré bien la documentación, el HOWTO 2.0 a ver si saco algo más en claro, como mínimo para poder preguntar con más exactitud (entiendo que ofrezco pocos datos, pero es que tengo un lio del copón).

necesitas simular 1 red lan completa al otro lado del servidor con los clientes OpenVPN

En principio si. Lo que quieren es poder acceder a los datos de los servidores de la LAN desde cualquier sitio.

El servidor pone una mascara de 30 para permitir solo 2 IP's, por que no necesita mas (una para el y otra para el cliente).

Pero, ¿pueden haber varios clientes concurrentemente no?

¿con infraestructura ?

No sé a qué te refieres. ¿qué es?¿si es enrutado o bridge?

Un saludo y mil gracias de nuevo.
infraestructura se refiere a qe los clientes podran conectarse entre ellos.
Merci, lo desconocía por completo. A las preguntas que he lanzado antes puedo contestarme a algunas gracias al HOWTO-2.0.

Si quiero x clientes, en Win, tengo que crear x dispositivos TUN/TAP y crear un archivo de configuración para cada uno con un puerto específico para cada uno para poder lanzar x instancias de openvpn.

Seguiré leyendo y ya os; te contaré. Un saludo.
20 respuestas
Archivado
Volver a Software libre