1 |
chiguire 07/12/25 16:16:15 |
2 |
|
3 |
Added: vpnc-howto.xml |
4 |
Log: |
5 |
first spanish translation (thx sergio rodriguez) |
6 |
|
7 |
Revision Changes Path |
8 |
1.1 xml/htdocs/doc/es/vpnc-howto.xml |
9 |
|
10 |
file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/vpnc-howto.xml?rev=1.1&view=markup |
11 |
plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/vpnc-howto.xml?rev=1.1&content-type=text/plain |
12 |
|
13 |
Index: vpnc-howto.xml |
14 |
=================================================================== |
15 |
<?xml version='1.0' encoding='UTF-8'?> |
16 |
<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/vpnc-howto.xml,v 1.1 2007/12/25 16:16:15 chiguire Exp $ --> |
17 |
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd"> |
18 |
|
19 |
<guide link="/doc/en/vpnc-howto.xml" lang="es"> |
20 |
|
21 |
<title>Cómo vpnc en Gentoo </title> |
22 |
|
23 |
<author title="Autor"> |
24 |
<mail link="dhaskew@×××××××××.net">David H. Askew</mail> |
25 |
</author> |
26 |
<author title="Colaborador"> |
27 |
<mail link="swift@g.o">Sven Vermeulen</mail> |
28 |
</author> |
29 |
<author title="Colaborador"> |
30 |
<mail link="opfer@g.o">Christian Faulhammer</mail> |
31 |
</author> |
32 |
<author title="Traductor"> |
33 |
<mail link="srinclan@×××××.com">Sergio D. Rodríguez Inclan</mail> |
34 |
</author> |
35 |
|
36 |
<abstract> |
37 |
Este documento detalla la manera de conectar su estación de trabajo a |
38 |
un concentrador Cisco VPN utilizando vpnc para administrar la |
39 |
conexión. |
40 |
</abstract> |
41 |
|
42 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
43 |
<!-- See http://creativecommons.org/licenses/by-sa/2.5 --> |
44 |
<license/> |
45 |
|
46 |
<version>1.2</version> |
47 |
<date>2007-11-07</date> |
48 |
|
49 |
<chapter> |
50 |
<title>Introducción</title> |
51 |
<section> |
52 |
<body> |
53 |
|
54 |
<p> |
55 |
Si usted está leyendo éste documento, entonces probablemente tiene la |
56 |
necesidad de conectar a la red de su oficina desde su hogar o durante |
57 |
un viaje. Muchas compañías utilizan concentradores Cisco 3000 VPN para |
58 |
los requerimientos de su VPN, y puedo apostar que la mayoría de los |
59 |
novatos en Linux piensan que están forzados a usar Windows para |
60 |
conectarse a ellas. Bien, éste documento es para informarles que |
61 |
conectarse a una VPN Cisco es posible y con un poco de suerte será |
62 |
capáz de configurar un tunel funcional usando su Gentoo de sobremesa o |
63 |
portátil. |
64 |
</p> |
65 |
</body> |
66 |
</section> |
67 |
|
68 |
<section> |
69 |
<title>Qué es éste documento</title> |
70 |
<body> |
71 |
|
72 |
<ul> |
73 |
<li>Una guía de las capacidades básicas de <c>vpnc</c></li> |
74 |
<li>Una discusión de los problemas de DNS y ruteo relativos a las |
75 |
VPNs</li> |
76 |
<li>Ejemplos del manejo de sesiones VPN</li> |
77 |
<li>Consejos y trucos útiles (esperemos)</li> |
78 |
</ul> |
79 |
</body> |
80 |
</section> |
81 |
|
82 |
<section> |
83 |
<title>Qué no es éste documento</title> |
84 |
<body> |
85 |
|
86 |
<ul> |
87 |
<li>Una guía a profundidad de tecnologías de encriptación/VPN</li> |
88 |
<li>Una explicación característica por característica de |
89 |
<c>vpnc</c></li> |
90 |
</ul> |
91 |
</body> |
92 |
</section> |
93 |
|
94 |
<section> |
95 |
<title>Supuestos</title> |
96 |
<body> |
97 |
|
98 |
<p> |
99 |
Las suposiciones hechas hasta ahora son: |
100 |
</p> |
101 |
|
102 |
<ul> |
103 |
<li>Tiene Gentoo instalado</li> |
104 |
<li>Tiene acceso a Internet</li> |
105 |
<li>Desea conectarse a un concentrador Cisco 3000 VPN</li> |
106 |
<li>Sabe cómo configurar, compilar e instalar un núcleo nuevo</li> |
107 |
</ul> |
108 |
</body> |
109 |
</section> |
110 |
</chapter> |
111 |
|
112 |
<chapter> |
113 |
<title>Configuración del Núcleo</title> |
114 |
<section> |
115 |
<body> |
116 |
|
117 |
<p> |
118 |
Para que que Linux sea capaz de abrir una conexión VPN el <e>soporte |
119 |
del manejador del dispositivo universal TUN/TAP</e> debe estar activo |
120 |
en el núcleo. ¿Qué es eso y por qué lo necesito? El párrafo siguiente |
121 |
tiene una explicación relativamente directa del diálogo de |
122 |
configuración del núcleo: |
123 |
</p> |
124 |
|
125 |
<pre caption="CONFIG_TUN"> |
126 |
TUN/TAP provee recepción y transmisión de paquetes para programas del |
127 |
espacio de usuario. Ésto puede verse como un simple dispositivo |
128 |
Punto-a-Punto o Ethernet, el cuál en vez de recibir paquetes de un |
129 |
medio físico, los recibe de un programa de espacio de usuario y en ves |
130 |
de enviar paquetes vía medios físicos los escribe al espacio del |
131 |
programa del usuario. |
132 |
|
133 |
Cuando un programa abre /dev/net/tun, el manejador crea y registra |
134 |
el dispositivo de red correspondiente tunX o tapX. Después un programa |
135 |
cierra los dispositivos superiores, el manejador automáticamente eliminará |
136 |
el dispositivo tunXX o tapXX y todas las rutas correspondientes a él. |
137 |
</pre> |
138 |
|
139 |
<p> |
140 |
Desde la versión 0.4.0-r1, el ebuild de <c>vpnc</c> probará qué |
141 |
dispositivo TUN/TAP está activo. Si no, actívelo en la configuración |
142 |
de su núcleo como módulo o acoplado al núcleo, recompile y reinicie. |
143 |
</p> |
144 |
|
145 |
<p> |
146 |
Puede verificar por si mismo si el núcleo tiene soporte TUN/TAP con el |
147 |
siguiente comando: |
148 |
</p> |
149 |
|
150 |
<pre caption="Verificando la configuración del núcleo"> |
151 |
# <i> grep "TUN" /usr/src/linux/.config</i> |
152 |
CONFIG_INET_TUNNEL=m |
153 |
# CONFIG_INET6_TUNNEL is not set |
154 |
# CONFIG_IPV6_TUNNEL is not set |
155 |
<comment>(TUN/TAP enabled as a module)</comment> |
156 |
CONFIG_TUN=m |
157 |
# CONFIG_8139TOO_TUNE_TWISTER is not set |
158 |
</pre> |
159 |
|
160 |
<p> |
161 |
Como puede ver arriba, <c>CONFIG_TUN=m</c> está compilado como |
162 |
módulo. Si está deshabilitado en su configuración, actívelo en el |
163 |
núcleo que ha elegido, recompile, instale, reinicie y vuelva a éste |
164 |
documento antes de seguir con los pasos a continuación. |
165 |
</p> |
166 |
|
167 |
<pre caption="Localización en el diálogo de configuración del núcleo"> |
168 |
Device Drivers ---> |
169 |
Networking support ---> |
170 |
[*] Universal TUN/TAP device driver support |
171 |
</pre> |
172 |
|
173 |
<p> |
174 |
Si compiló el soporte TUN/TAP directamente en el núcleo, debería ver |
175 |
una salida de <c>dmesg</c> como la siguiente: |
176 |
</p> |
177 |
|
178 |
<pre caption="Verificando la salida de dmesg"> |
179 |
# <i>dmesg | grep TUN</i> |
180 |
Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky |
181 |
</pre> |
182 |
|
183 |
<p> |
184 |
Si compiló el soporte TUN/TAP como módulo, primeramente debe cargar el |
185 |
módulo <c>tun</c>: |
186 |
</p> |
187 |
|
188 |
<pre caption="Cargar módulo tun"> |
189 |
# <i>modprobe tun</i> |
190 |
# <i>lsmod</i> |
191 |
Module Size Used by |
192 |
tun 7296 0 |
193 |
</pre> |
194 |
|
195 |
<p> |
196 |
Ahora el módulo <c>tun</c> está cargado, verifique la salida de |
197 |
<c>dmesg</c>. Debería ver algo como ésto: |
198 |
</p> |
199 |
|
200 |
<pre caption="Verificacando la salida de dmesg"> |
201 |
# <i>dmesg | grep TUN</i> |
202 |
Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky |
203 |
</pre> |
204 |
</body> |
205 |
</section> |
206 |
</chapter> |
207 |
|
208 |
<chapter> |
209 |
<title>Instalar el Software Necesario</title> |
210 |
<section> |
211 |
<body> |
212 |
|
213 |
<p> |
214 |
Ahora que tiene configurado el núcleo, necesita instalar |
215 |
<c>net-misc/vpnc</c>: |
216 |
</p> |
217 |
|
218 |
<pre caption="Instalando vpnc"> |
219 |
# <i>emerge -av net-misc/vpnc</i> |
220 |
</pre> |
221 |
</body> |
222 |
</section> |
223 |
</chapter> |
224 |
|
225 |
<chapter> |
226 |
<title>Configuración de Ejemplo</title> |
227 |
<section> |
228 |
<body> |
229 |
|
230 |
<p> |
231 |
Para que las secciones siguientes sean más entendibles, necesitamos |
232 |
una configuración de ejemplo para trabajar. Para propositos de éste |
233 |
ejercicio asumimos que tiene una red local de varias |
234 |
computadoras. Todas las computarores están en la red |
235 |
192.168.0.0/255.255.255.255. La LAN en questión pasa por una máquina |
236 |
Gentoo usando iptables como cortafuegos, DHCP, DNS de cacheo, etc... y |
237 |
enmascara la LAN a través de una dirección IP pública que recibe de un |
238 |
ISP. También tiene una estación de trabajo en su LAN por la cuál ustéd |
239 |
desea ser capáz de conectar por VPN con su oficina. |
240 |
</p> |
241 |
|
242 |
<p> |
243 |
La configuración de ejemplo de nuestra estación de trabajo se ve así: |
244 |
</p> |
245 |
|
246 |
<pre caption="La configuración de nuestra estación de trabajo"> |
247 |
<comment>(Configuración del Servidor de Nombres)</comment> |
248 |
# <i>cat /etc/resolv.conf</i> |
249 |
nameserver 192.168.0.1 |
250 |
|
251 |
<comment>(Configuración de la Red)</comment> |
252 |
# <i>cat /etc/hosts</i> |
253 |
127.0.0.1 desktop localhost |
254 |
192.168.0.1 router |
255 |
192.168.2.2 mediacenter |
256 |
|
257 |
<comment>(Configuración del Interfaz)</comment> |
258 |
# <i>ifconfig -a</i> |
259 |
eth0 Link encap:Ethernet HWaddr 00:11:2F:8D:08:08 |
260 |
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0 |
261 |
inet6 addr: fe80::211:2fff:fe8d:808/64 Scope:Link |
262 |
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1 |
263 |
RX packets:3657889 errors:0 dropped:0 overruns:0 frame:0 |
264 |
TX packets:2305893 errors:0 dropped:0 overruns:0 carrier:0 |
265 |
collisions:0 txqueuelen:1000 |
266 |
RX bytes:2193722103 (2092.0 Mb) TX bytes:1415104432 (1349.5 Mb) |
267 |
Interrupt:185 Memory:fac00000-0 |
268 |
|
269 |
lo Link encap:Local Loopback |
270 |
inet addr:127.0.0.1 Mask:255.0.0.0 |
271 |
inet6 addr: ::1/128 Scope:Host |
272 |
UP LOOPBACK RUNNING MTU:16436 Metric:1 |
273 |
RX packets:35510 errors:0 dropped:0 overruns:0 frame:0 |
274 |
TX packets:35510 errors:0 dropped:0 overruns:0 carrier:0 |
275 |
collisions:0 txqueuelen:0 |
276 |
RX bytes:16023838 (15.2 Mb) TX bytes:16023838 (15.2 Mb) |
277 |
|
278 |
<comment>(Información de ruteo)</comment> |
279 |
# <i>netstat -r</i> |
280 |
Kernel IP routing table |
281 |
Destination Gateway Genmask Flags MSS Window irtt Iface |
282 |
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 |
283 |
loopback desktop 255.0.0.0 UG 0 0 0 lo |
284 |
default router 0.0.0.0 UG 0 0 0 eth0 |
285 |
</pre> |
286 |
</body> |
287 |
</section> |
288 |
</chapter> |
289 |
|
290 |
<chapter> |
291 |
<title>Configurando vpnc</title> |
292 |
<section> |
293 |
<body> |
294 |
|
295 |
<p> |
296 |
Ahora tiene <c>vpnc</c> instalado y también un ejemplo con el cual |
297 |
trabajar, discutamos la configuración básica de <c>vpnc</c>. El |
298 |
archivo de configuración de la conexión de <c>vpnc</c> puede ser |
299 |
ubicado en un par de lugares, dependiendo de cuántos perfiles desee |
300 |
configurar. Por defecto, <c>vpnc</c> busca primeramente en |
301 |
<path>/etc/vpnc/default.conf</path> sus configuraciones de |
302 |
conexión. Si no encuentra ese archivo, busca a |
303 |
<path>/etc/vpnc.conf</path>. Ésta configuración seguirá un perfíl |
304 |
simple de ejemplo y usará el archivo de configuración localizado en |
305 |
<path>/etc/vpcn.conf</path>. Asegúrese de <e>no</e> tener el archivo |
306 |
<path>/etc/vpnc/default.conf</path>. |
307 |
</p> |
308 |
|
309 |
<pre caption="El archivo de ejemplo /etc/vpnc.conf"> |
310 |
IPSec gateway vpngateway.domain.org |
311 |
IPSec ID group_id |
312 |
IPSec secret group_password |
313 |
Xauth username network_signon |
314 |
Xauth password network_password |
315 |
</pre> |
316 |
|
317 |
<p> |
318 |
El archivo de configuración de ejemplo anterior será modificado para |
319 |
reflejar los valores apropiados para su configuración. La opción de |
320 |
puerta de enlace <c>vpngateway.domain.org</c> puede ser un nombre de |
321 |
dominio completamente calificado o una dirección IP. El ID y opciones |
322 |
secretas debería darselas un administrador de la red. Si no puede |
323 |
obtener ésta información y ya tiene una configuración funcional en una |
324 |
máquina Windows que utiliza un cliente oficial Cisco VPN, entonces lo |
325 |
único que tiene que hacer es exportar su perfil. Las opciones de |
326 |
usuario y clave son para loguear normalmente en su red, como en una |
327 |
cuenta con dominio Windows NT. |
328 |
</p> |
329 |
|
330 |
<p> |
331 |
Si está forzado a exportar su perfil desde una máquina Windows, |
332 |
entonces preferirá tenerlo en un archivo con extensión |
333 |
<path>.pcf</path>. Éste archivo tendrá toda la información que |
334 |
necesite. Por debajo sigue un ejemplo: |
335 |
</p> |
336 |
|
337 |
<pre caption="Archivo de ejemplo profile.pcf"> |
338 |
[main] |
339 |
Description= |
340 |
Host=VPNGATEWAY.DOMAIN.ORG |
341 |
AuthType=1 |
342 |
GroupName=group_id |
343 |
GroupPwd= |
344 |
enc_GroupPwd=F3256220AA200A1D532556024F4F314B0388D48B0FBF2DB12 |
345 |
EnableISPConnect=0 |
346 |
ISPConnectType=0 |
347 |
ISPConnect=FOOBAR |
348 |
ISPCommand= |
349 |
Username= |
350 |
SaveUserPassword=0 |
351 |
UserPassword= |
352 |
enc_UserPassword= |
353 |
NTDomain= |
354 |
EnableBackup=0 |
355 |
BackupServer= |
356 |
EnableMSLogon=1 |
357 |
MSLogonType=0 |
358 |
EnableNat=1 |
359 |
TunnelingMode=0 |
360 |
TcpTunnelingPort=10000 |
361 |
CertStore=0 |
362 |
CertName= |
363 |
CertPath= |
364 |
CertSubjectName= |
365 |
CertSerialHash=00000000000000000000000000000000 |
366 |
SendCertChain=0 |
367 |
VerifyCertDN= |
368 |
DHGroup=2 |
369 |
ForceKeepAlives=0 |
370 |
PeerTimeout=90 |
371 |
EnableLocalLAN=0 |
372 |
EnableSplitDNS=1 |
373 |
ForceNetLogin=0 |
374 |
</pre> |
375 |
|
376 |
<p> |
377 |
En el ejemplo anterior, podemos ver entradas para <c>Host</c>, |
378 |
<c>GroupName</c> y <c>enc_GroupPwd</c>. Su <c>Username</c> y |
379 |
<c>UserPassword</c> podrían o podrían no ser exportados dependiendo de |
380 |
la configuración. Para generar una configuración de vpnc funcional |
381 |
fuera de esa, puede usar <c>pcf2vpnc</c>, incluida con vpnc. |
382 |
</p> |
383 |
|
384 |
<note> |
385 |
Puede desencriptar la clave con la ayuda del programa |
386 |
<c>cisco-decrypt</c>, que viene con la última versión de vpnc. |
387 |
</note> |
388 |
</body> |
389 |
</section> |
390 |
|
391 |
<section> |
392 |
<title>Probando su configuración</title> |
393 |
<body> |
394 |
|
395 |
<p> |
396 |
Ahora que tiene la configuración en su lugar, es tiempo de |
397 |
probarla. Para iniciar <c>vpnc</c> haga lo siguiente: |
398 |
</p> |
399 |
|
400 |
<pre caption="Ejemplo de uso de vpnc"> |
401 |
# <i>vpnc</i> |
402 |
Enter password for username@×××××××××××××××××.org: |
403 |
VPNC started in background (pid: 14788)... |
404 |
</pre> |
405 |
|
406 |
<p> |
407 |
Como puede ver de la salida del ejemplo anterior, una vez que escribió |
408 |
<c>vpnc</c> (como root), se le ha pedido su clave. Después de ingresar |
409 |
dicha clave, la cuál no será mostrada, el proceso <c>vpnc</c> |
410 |
automáticamente se convertirá en un proceso de fondo. |
411 |
</p> |
412 |
|
413 |
<note> |
414 |
Si ha especificado la opción <c>Xauth password</c> en el archivo de |
415 |
configuración de su <c>vpnc</c>, entonces no le pedirá una clave al |
416 |
inicio de <c>vpnc</c>. Adicionalmente, si <c>vpnc</c> necesita |
417 |
algunas opciones extra no especificadas en el archivo de |
418 |
configuración, o si ha olvidado algo, no se preocupe, le preguntará |
419 |
por ello. |
420 |
</note> |
421 |
|
422 |
<pre caption="Ejemplo de cambios en la interfase de configuración hechos por vpnc"> |
423 |
# <i> ifconfig -a</i> |
424 |
eth1 Link encap:Ethernet HWaddr 00:11:2F:8D:08:08 |
425 |
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0 |
426 |
inet6 addr: fe80::211:2fff:fe8d:808/64 Scope:Link |
427 |
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1 |
428 |
RX packets:2101119 errors:0 dropped:0 overruns:0 frame:0 |
429 |
TX packets:1577559 errors:0 dropped:0 overruns:0 carrier:0 |
430 |
collisions:0 txqueuelen:1000 |
431 |
RX bytes:1757862627 (1676.4 Mb) TX bytes:732200131 (698.2 Mb) |
432 |
Interrupt:177 Memory:faa00000-0 |
433 |
|
434 |
sit0 Link encap:IPv6-in-IPv4 |
435 |
NOARP MTU:1480 Metric:1 |
436 |
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 |
437 |
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 |
438 |
collisions:0 txqueuelen:0 |
439 |
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) |
440 |
|
441 |
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 |
442 |
inet addr:192.168.160.42 P-t-P:192.168.160.42 Mask:255.255.255.255 |
443 |
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Metric:1 |
444 |
RX packets:1 errors:0 dropped:0 overruns:0 frame:0 |
445 |
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 |
446 |
collisions:0 txqueuelen:500 |
447 |
RX bytes:60 (60.0 b) TX bytes:616 (616.0 b) |
448 |
|
449 |
</pre> |
450 |
|
451 |
<pre caption="Ejemplo de modificaciones de ruteo hechos por vpnc"> |
452 |
# <i>netstat -r</i> |
453 |
Kernel IP routing table |
454 |
Destination Gateway Genmask Flags MSS Window irtt Iface |
455 |
vpn01.domain.or router 255.255.255.255 UGH 1500 0 0 eth1 |
456 |
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 |
457 |
loopback desktop 255.0.0.0 UG 0 0 0 lo |
458 |
default * 0.0.0.0 U 0 0 0 tun0 |
459 |
</pre> |
460 |
|
461 |
<p> |
462 |
Como puede ver en la salida de los anteriores comandos, <c>vpnc</c> ha |
463 |
hecho lo siguiente: |
464 |
</p> |
465 |
|
466 |
<ul> |
467 |
<li> |
468 |
Ha creado la interfase de red tun0, una interfase virtual para |
469 |
manejar el tráfico a través de su tunel VPN.</li> |
470 |
<li>Ha obtenido la dirección IP para el dispositivo tun0 del |
471 |
proveedor de la VPN.</li> |
472 |
<li>Ha establecido la ruta por defecto hacia la puerta de enlace de |
473 |
su VPN.</li> |
474 |
</ul> |
475 |
|
476 |
<p> |
477 |
En este punto, su estación de trabajo es capáz de comunicarse con |
478 |
otros hosts vía la VPN, pero sólo por la dirección IP. Cómo se habrá |
479 |
dado cuenta, <c>vpnc</c> no ha alterado su |
480 |
<path>/etc/resolv.conf</path>, de tal manera que no hay configuración |
481 |
de servicios de DNS para el enlace virtual. También, dado que |
482 |
<c>vpnc</c> establece la ruta virtual hacia la puerta de enlace de su |
483 |
VPN, todo el tráfico de su red viajará a través de la VPN, incluso si |
484 |
está destinado a internet o a otro lugar no especificado por rutas |
485 |
adicionales. Para algunos éste tiempo de conexión básica puede ser |
486 |
satisfactoria, pero para los más, pasos adicionales deben llevarse |
487 |
acabo. |
488 |
</p> |
489 |
|
490 |
<p> |
491 |
Características adicionales que probablemente le gustaría tener: |
492 |
</p> |
493 |
|
494 |
<ul> |
495 |
<li>Un DNS para la VPN</li> |
496 |
<li>Una configuración de enrutado que solo enviará tráfico destinado |
497 |
por la VPN por debajo del tunel virtual. De esta manera, puede |
498 |
navegar por la internet mientra está conectado a la VPN, sin que el |
499 |
tráfico de su web/p2p personal, etc, vaya a través del tunel.</li> |
500 |
<li>Un guión para manejar todo ello, porque el <c>vpnc</c> no hace |
501 |
lo suficiente por defecto. |
502 |
</li> |
503 |
</ul> |
504 |
|
505 |
<p> |
506 |
Cuando esté listo para terminar la sesión de VPN, ejecute |
507 |
<c>vpnc-disconnect</c>. Un ejemplo se muestra por debajo. |
508 |
</p> |
509 |
|
510 |
<note> |
511 |
No se desconecte aún, tenemos cosas adicionales que probar. El ejemplo |
512 |
siguiente es sólo para propositos de información. |
513 |
</note> |
514 |
|
515 |
<pre caption="vpnc-disconnect"> |
516 |
# <i>vpnc-disconnect</i> |
517 |
Terminating vpnc daemon (pid: 26250) |
518 |
</pre> |
519 |
</body> |
520 |
</section> |
521 |
</chapter> |
522 |
|
523 |
<chapter> |
524 |
<title>Montando el DNS</title> |
525 |
<section> |
526 |
<body> |
527 |
|
528 |
<p> |
529 |
Desafortunadamente, <c>vpnc</c> no se ocupa del manejo y configuración |
530 |
del DNS para su tunel recientemente establecido. El usuario es libre |
531 |
de decidir cómo debería manejar el DNS. Podría sobreescribir el |
532 |
archivo <path>/etc/resolv.conf</path> cuando se conecte, pero eso |
533 |
podría utilizar el DNS de su VPN para todas las consultas DNS sin |
534 |
importar si el trafico esté o no destinado por el tunel de su |
535 |
VPN. Ésta es una solución bastante funcional y si usted necesita |
536 |
simplemente conectar al tunel, haga su trabajo, y desconecte, no lea |
537 |
más. Pero, si desea ser capáz de dejar a su tunel conectado por largos |
538 |
períodos de tiempo y no quiere que sus servidores DNS trabajen |
539 |
manejando requerimientos de su tráfico personal, continúe leyendo. |
540 |
</p> |
541 |
|
542 |
<p> |
543 |
La configuración ideal le permitiría separar las consultas de su DNS |
544 |
en dos categorías: las relaciónadas a su VPN y otras. En ésta |
545 |
configuración, todas las consultas de DNS relacionadas a la VPN serán |
546 |
respondias por servidores DNS localizados al final de su tunel VPN y |
547 |
todas las otras consultas podrían continuar siendo respondidas por los |
548 |
servidores DNS locales o proveidos por su ISP. Esa es la configuración |
549 |
que demostraremos aquí. |
550 |
</p> |
551 |
|
552 |
<note> |
553 |
Hemos de considerar consultas de DNS relacionadas a la VPN que serán |
554 |
cualquier consulta perteneciente al dominio example.org, como |
555 |
host1.example.org o server1.example.org. |
556 |
</note> |
557 |
|
558 |
<p> |
559 |
¿Asi que cómo configurar de tal forma que sólo las peticiones hechas |
560 |
al host en el dominio example.org sean enviadas a los servidores de |
561 |
DNS suministrados por la VPN? Bien, necesitará instalar un servidor |
562 |
DNS local, pero no se preocupe, es más fácil de lo que piensa. Hay |
563 |
muchos paquetes de software que pueden manejar el tipo de |
564 |
configuración que deseamos, pero para el propósito de ésta |
565 |
demostración utilizaremos <c>dnsmasq</c>. Instalemoslo ahora: |
566 |
</p> |
567 |
|
568 |
<note> |
569 |
Éste servidor DNS no estará disponible en la red, y sólo responderá |
570 |
pedidos desde el localhost, <c>127.0.0.1</c>. |
571 |
</note> |
572 |
|
573 |
<pre caption="Instalar dnsmasq"> |
574 |
# <i>emerge dnsmasq</i> |
575 |
</pre> |
576 |
|
577 |
<p> |
578 |
Ahora necesita agregar una opción a las opciones de inicio de su |
579 |
<c>dnsmasq</c>. Edite la opción siguiente según su |
580 |
conveniencia. Sustituya example.org con el dominio apropiado y la |
581 |
dirección IP con un servidor DNS válido que pertenezca al tunel VPN. |
582 |
</p> |
583 |
|
584 |
<pre caption="/etc/conf.d/dnsmasq"> |
585 |
Archivo de configuración para /etc/init.d/dnsmasq |
586 |
|
587 |
# Mire la página man dnsmasq(8) para más opciones posibles. |
588 |
DNSMASQ_OPTS="-S /.example.org/192.168.125.10" |
589 |
</pre> |
590 |
|
591 |
<p> |
592 |
Seguidamente, asegurese que la primera entrada en |
593 |
<path>/etc/resolv.conf</path> es su localhost <c>127.0.0.1</c>, |
594 |
seguido de la localización de los servidores DNS de respaldo que |
595 |
deberían manejar el tráfico de DNS en caso de que dnsmasq falle al |
596 |
iniciar, o si necesita enviar una consulta de DNS que actualmente no |
597 |
tenga en su cache. Un ejemplo <path>/etc/resolv.conf</path> se muestra |
598 |
a continuación. |
599 |
</p> |
600 |
|
601 |
<pre caption="/etc/resolv.conf"> |
602 |
nameserver 127.0.0.1 |
603 |
nameserver 192.168.0.1 |
604 |
</pre> |
605 |
|
606 |
<p> |
607 |
Ahora que ha configurado una regla para su tunel VPN necesita iniciar |
608 |
<c>dnsmasq</c>. |
609 |
</p> |
610 |
|
611 |
<pre caption="Iniciando dnsmasq"> |
612 |
# <i>/etc/init.d/dnsmasq start</i> |
613 |
# <i>rc-update add dnsmasq default</i> |
614 |
</pre> |
615 |
</body> |
616 |
</section> |
617 |
</chapter> |
618 |
|
619 |
<chapter> |
620 |
<title>Configurando la tabla de enrutado</title> |
621 |
<section> |
622 |
<body> |
623 |
|
624 |
<p> |
625 |
El escenario ideal sería si sólo el tráfico destinado para el tunel |
626 |
VPN viajaría a través del enlace. Hasta aquí, tiene un tunel VPN |
627 |
configurado y todo el tráfico viajará a través del tunel, a menos que |
628 |
especifique rutas adicionales. Para arreglar ésta situación necesita |
629 |
saber qué redes están disponibles en su VPN. La manera más fácil de |
630 |
encontrar la información necesaria es preguntar al administrador de |
631 |
red, pero algunas veces son reacios a responder tales preguntas. Si su |
632 |
administrador local de red no le provee la información necesaria, |
633 |
deberá hacerlo experimentando a prueba y error. |
634 |
</p> |
635 |
|
636 |
<p> |
637 |
Cuando el tunel VPN sea iniciado, <c>vpnc</c> establece la ruta por |
638 |
defecto al tunel. Usted debe establecer la ruta por defecto de regreso |
639 |
al normal, así las cosas funcionarán como se espera. |
640 |
</p> |
641 |
|
642 |
<pre caption="Reiniciando la ruta por defecto"> |
643 |
# <i>route add default gw 192.168.0.1</i> |
644 |
</pre> |
645 |
|
646 |
<p> |
647 |
Anteriormente, cuando los servicios del DNS fueron configurados para |
648 |
su VPN, especificó un servidor DNS para manejar el dominio |
649 |
example.org. Usted necesita agregar una ruta para la subred |
650 |
192.168.125.0 así las consultas del DNS funcionarán. |
651 |
</p> |
652 |
|
653 |
<pre caption="Agregar una ruta para el dns"> |
654 |
# <i>route add -net 192.168.125.0 netmask 255.255.255.0 dev tun0</i> |
655 |
</pre> |
656 |
|
657 |
<p> |
658 |
Hasta el momento, podría agregar rutas adicionales para redes |
659 |
conociddas (como ser la subred 192.168.160.0, la cual incluye la |
660 |
dirección IP recibida por el dispositivo virtual TUN/TAP). Si su |
661 |
amigable administrador de red le ha dado la información requerida, |
662 |
genial. De otro modo, tendrá que hacer ping a las estaciones a las que |
663 |
se conectará frecuentemente, para que tenga una idea de cómo se |
664 |
debería ver su tabla de enrutado. |
665 |
</p> |
666 |
|
667 |
<note> |
668 |
Debido a su configuración, cuando use los servicios de red de la VPN |
669 |
por nombre, debe especificar el nombre de dominio completo, por |
670 |
ejemplo: webserver1.example.org |
671 |
</note> |
672 |
|
673 |
<pre caption="Ejemplo de Ping"> |
674 |
# <i>ping intranet1.example.org</i> |
675 |
PING intranet1.example.org (172.25.230.29) 56(84) bytes of data. |
676 |
|
677 |
|
678 |
--- intranet1.example.org ping statistics --- |
679 |
18 packets transmitted, 0 received, 100% packet loss, time 16997ms |
680 |
</pre> |
681 |
|
682 |
<p> |
683 |
Como ha podido ver en los ejemplos anteriores, el ping que examina a |
684 |
<c>intranet1.example.org</c> fue satisfactorio. Ahora necesitamos |
685 |
agregar una ruta para la subred. |
686 |
</p> |
687 |
|
688 |
<pre caption="Otro ejemplo del comando route"> |
689 |
# <i>route add -net 172.25.230.0 netmask 255.255.255.0 dev tun0</i> |
690 |
</pre> |
691 |
|
692 |
<p> |
693 |
Luego de unos cuantos pings y routes, estará bien encaminado hacia una |
694 |
tabla de enrutado solvente. |
695 |
</p> |
696 |
</body> |
697 |
</section> |
698 |
</chapter> |
699 |
|
700 |
<chapter> |
701 |
<title>Administrar la conexión</title> |
702 |
<section> |
703 |
<title>Llamar a vpnc cuando sea necesario</title> |
704 |
<body> |
705 |
|
706 |
<p> |
707 |
El ejemplo siguiente es un guión para adminitrar la conexión |
708 |
VPN. Puede ejecutarlo (como root) desde una xterm para iniciar una |
709 |
conexión hacia su VPN. Todo lo que debe hacer es presionar Enter para |
710 |
desconectar la VPN. Obviamente necesitará modificarlo para su |
711 |
configuración, recuerde agregar todas las rutas adicionales que vaya a |
712 |
necesitar. |
713 |
</p> |
714 |
|
715 |
<pre caption="Ejemplo de guión administrador de sesión"> |
716 |
#!/bin/bash |
717 |
|
718 |
source /sbin/functions.sh |
719 |
|
720 |
ebegin "Conectando a la VPN" |
721 |
vpnc |
722 |
eend |
723 |
|
724 |
ebegin "Modificando la tabla de enrutado" |
725 |
route add default gw 192.168.0.1 |
726 |
route add -net 172.25.230.0 netmask 255.255.255.0 dev tun0 |
727 |
route add -net 192.168.160.0 netmask 255.255.255.0 dev tun0 |
728 |
route add -net 192.168.125.0 netmask 255.255.255.0 dev tun0 |
729 |
eend |
730 |
|
731 |
einfo "Presione cualquier tecla para desconectar ..." |
732 |
|
733 |
read $disconnect |
734 |
|
735 |
ebegin "Desconectando de la VPN" |
736 |
vpnc-disconnect |
737 |
eend |
738 |
ebegin "Reconfigurando la tabla de enrutado por defecto" |
739 |
route add default gw 192.168.0.1 |
740 |
eend |
741 |
|
742 |
einfo "Ahora debería estár desconectado de la VPN" |
743 |
</pre> |
744 |
</body> |
745 |
</section> |
746 |
|
747 |
<section> |
748 |
<title>Iniciar vpnc al arrancar</title> |
749 |
<body> |
750 |
|
751 |
<p> |
752 |
La versión 0.4.0-r1 de vpnc provee un archivo de inicio para Gentoo el |
753 |
cual incluso puede manejar multiples configuraciones. Encontrará un |
754 |
archivo <path>/etc/init.d/vpnc</path> que puede ser tratado como un |
755 |
guión de inicio común. La vista de <path>/etc/vpnc/vpnc.conf</path>, |
756 |
en esquema está esbozada en la siguiente tabla. |
757 |
</p> |
758 |
|
759 |
<table> |
760 |
<tr> |
761 |
<th>nombre del guión de inicio</th> |
762 |
<th>archivo de configuración necesario</th> |
763 |
</tr> |
764 |
<tr> |
765 |
<ti>/etc/init.d/vpnc</ti> |
766 |
<ti>/etc/vpnc/vpnc.conf</ti> |
767 |
</tr> |
768 |
<tr> |
769 |
<ti>/etc/init.d/vpnc.work</ti> |
770 |
<ti>/etc/vpnc/work.conf</ti> |
771 |
</tr> |
772 |
</table> |
773 |
|
774 |
<p> |
775 |
Agregue vpncp al nivel de ejecución por defecto con los siguientes comandos (en |
776 |
este caso para una configuración estándar). No olvide agregar el módulo tun (si |
777 |
lo ha includo de esta manera) al mecanismo de inicio de autocarga del núcleo. |
778 |
</p> |
779 |
|
780 |
<pre caption="Agregar vpnc a los guiónes de inicio"> |
781 |
# <i>rc-update add vpnc default</i> |
782 |
</pre> |
783 |
|
784 |
<p> |
785 |
Si no desea guardar su clave en el archivo de configuración, puede indicarle |
786 |
al guión de inicio que muestre todas las salidas y respuestas en una vista estándar |
787 |
editando <path>/etc/conf.d/vpnc</path>. Establezca la variable <c>VPNOUTPUT</c> |
788 |
a sí o no, la cuál por defecto establece no mostrar la salida por pantalla. |
789 |
</p> |
790 |
|
791 |
<note> |
792 |
Los guiones de inicio no manejan la separación de DNS. |
793 |
</note> |
794 |
</body> |
795 |
</section> |
796 |
</chapter> |
797 |
|
798 |
<chapter> |
799 |
<title>Consejos y Trucos</title> |
800 |
<section> |
801 |
<body> |
802 |
|
803 |
<p> |
804 |
Si esta buscando una aplicación para linux que soporte RDP (Protocolo |
805 |
de Escritorio Remoto) dele a <c>grdesktop</c> una oportunidad. Es una |
806 |
aplicación GUI escrita en Gtk que encaja bien en un escritorio Gnome, |
807 |
pero no lo requiere. Si no desea los diálogos de configuración GUI que |
808 |
grdesktop provee, entonces solo instale <c>rdesktop</c>. Ultimamente, |
809 |
grdesktop es sólo una interfase para rdesktop. |
810 |
</p> |
811 |
|
812 |
<p> |
813 |
Si es usuario de KDE, podría probar <c>kvpnc</c>. El cuál parece un |
814 |
GUI muy maduro para manejo de VNPs. |
815 |
</p> |
816 |
|
817 |
<p> |
818 |
Si necesita conectar a una máquina Windows la cuál no tenga una |
819 |
entrada en el DNS, y sabe la dirección de un servidor WINS disponible, |
820 |
puede usar una herramienta llamada <c>nmblookup</c> para consultar al |
821 |
servidor WINS por el nombre (hostname) de la máquina a la cuál desea |
822 |
conectar. Desafortunadamente, necesita instalar samba, pero si va a |
823 |
trabajar con máquinas que corren bajo Windows le convendría instalar |
824 |
samba porque incluye muchas otras herramientes útiles. |
825 |
</p> |
826 |
|
827 |
<pre caption="Instalando samba"> |
828 |
# <i>emerge -av samba</i> |
829 |
</pre> |
830 |
|
831 |
<p> |
832 |
Cuando haya instalado samba y sus herramientas, pruebe |
833 |
<c>nmblookup</c> preguntando al servidor WINS el cual tiene por |
834 |
dirección IP 192.168.125.11, acerca del host llamado wintelbox1. |
835 |
</p> |
836 |
|
837 |
<pre caption="ejemplo de nmblookup"> |
838 |
# <i>nmblookup -U 192.168.125.11 -R 'wintelbox1'</i> |
839 |
querying wintelbox1 on 192.168.125.11 |
840 |
172.25.230.76 wintelbox1 |
841 |
</pre> |
842 |
</body> |
843 |
</section> |
844 |
</chapter> |
845 |
|
846 |
<chapter> |
847 |
<title>Enlaces útiles</title> |
848 |
<section> |
849 |
<body> |
850 |
|
851 |
<ul> |
852 |
<li> |
853 |
<uri link="http://www.unix-ag.uni-kl.de/~massar/vpnc/">Página de vpnc</uri> |
854 |
</li> |
855 |
<li> |
856 |
<uri link="http://home.gna.org/kvpnc/en/index.html">Página de kvpnc</uri> |
857 |
</li> |
858 |
<li> |
859 |
<uri link="http://www.nongnu.org/grdesktop/">Página de grdesktop</uri> |
860 |
</li> |
861 |
</ul> |
862 |
</body> |
863 |
</section> |
864 |
</chapter> |
865 |
|
866 |
<chapter> |
867 |
<title>Notas Finales</title> |
868 |
<section> |
869 |
<body> |
870 |
|
871 |
<p> |
872 |
Esperemos que ahora sea capáz de conectarse a la VNP que haya elegido |
873 |
y este en buen camino hacia el trabajo en su oficina remota. Siéntase |
874 |
libre de mandarnos un bug a <uri |
875 |
link="http://bugs.gentoo.org">bugs.gentoo.org</uri> si encontra algún |
876 |
error o desea agregar o recomendar algo referente a éste documento. |
877 |
</p> |
878 |
</body> |
879 |
</section> |
880 |
</chapter> |
881 |
</guide> |
882 |
|
883 |
|
884 |
|
885 |
-- |
886 |
gentoo-commits@g.o mailing list |