Get Gentoo!
gentoo.org sites
gentoo.org Wiki Bugs Forums Packages
Planet Archives Sources
Infra Status

Gentoo Archives: gentoo-commits

From: "John Christian Stoddart (chiguire)" <chiguire@g.o>
To: gentoo-commits@l.g.o
Subject: [gentoo-commits] gentoo commit in xml/htdocs/doc/es: vpnc-howto.xml
Date: Tue, 25 Dec 2007 16:16:22
Message-Id: E1J7CRz-0007B2-O1@stork.gentoo.org
1 chiguire 07/12/25 16:16:15
2
3 Added: vpnc-howto.xml
4 Log:
5 first spanish translation (thx sergio rodriguez)
6
7 Revision Changes Path
8 1.1 xml/htdocs/doc/es/vpnc-howto.xml
9
10 file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/vpnc-howto.xml?rev=1.1&view=markup
11 plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/vpnc-howto.xml?rev=1.1&content-type=text/plain
12
13 Index: vpnc-howto.xml
14 ===================================================================
15 <?xml version='1.0' encoding='UTF-8'?>
16 <!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/vpnc-howto.xml,v 1.1 2007/12/25 16:16:15 chiguire Exp $ -->
17 <!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
18
19 <guide link="/doc/en/vpnc-howto.xml" lang="es">
20
21 <title>Cómo vpnc en Gentoo </title>
22
23 <author title="Autor">
24 <mail link="dhaskew@×××××××××.net">David H. Askew</mail>
25 </author>
26 <author title="Colaborador">
27 <mail link="swift@g.o">Sven Vermeulen</mail>
28 </author>
29 <author title="Colaborador">
30 <mail link="opfer@g.o">Christian Faulhammer</mail>
31 </author>
32 <author title="Traductor">
33 <mail link="srinclan@×××××.com">Sergio D. Rodríguez Inclan</mail>
34 </author>
35
36 <abstract>
37 Este documento detalla la manera de conectar su estación de trabajo a
38 un concentrador Cisco VPN utilizando vpnc para administrar la
39 conexión.
40 </abstract>
41
42 <!-- The content of this document is licensed under the CC-BY-SA license -->
43 <!-- See http://creativecommons.org/licenses/by-sa/2.5 -->
44 <license/>
45
46 <version>1.2</version>
47 <date>2007-11-07</date>
48
49 <chapter>
50 <title>Introducción</title>
51 <section>
52 <body>
53
54 <p>
55 Si usted está leyendo éste documento, entonces probablemente tiene la
56 necesidad de conectar a la red de su oficina desde su hogar o durante
57 un viaje. Muchas compañías utilizan concentradores Cisco 3000 VPN para
58 los requerimientos de su VPN, y puedo apostar que la mayoría de los
59 novatos en Linux piensan que están forzados a usar Windows para
60 conectarse a ellas. Bien, éste documento es para informarles que
61 conectarse a una VPN Cisco es posible y con un poco de suerte será
62 capáz de configurar un tunel funcional usando su Gentoo de sobremesa o
63 portátil.
64 </p>
65 </body>
66 </section>
67
68 <section>
69 <title>Qué es éste documento</title>
70 <body>
71
72 <ul>
73 <li>Una guía de las capacidades básicas de <c>vpnc</c></li>
74 <li>Una discusión de los problemas de DNS y ruteo relativos a las
75 VPNs</li>
76 <li>Ejemplos del manejo de sesiones VPN</li>
77 <li>Consejos y trucos útiles (esperemos)</li>
78 </ul>
79 </body>
80 </section>
81
82 <section>
83 <title>Qué no es éste documento</title>
84 <body>
85
86 <ul>
87 <li>Una guía a profundidad de tecnologías de encriptación/VPN</li>
88 <li>Una explicación característica por característica de
89 <c>vpnc</c></li>
90 </ul>
91 </body>
92 </section>
93
94 <section>
95 <title>Supuestos</title>
96 <body>
97
98 <p>
99 Las suposiciones hechas hasta ahora son:
100 </p>
101
102 <ul>
103 <li>Tiene Gentoo instalado</li>
104 <li>Tiene acceso a Internet</li>
105 <li>Desea conectarse a un concentrador Cisco 3000 VPN</li>
106 <li>Sabe cómo configurar, compilar e instalar un núcleo nuevo</li>
107 </ul>
108 </body>
109 </section>
110 </chapter>
111
112 <chapter>
113 <title>Configuración del Núcleo</title>
114 <section>
115 <body>
116
117 <p>
118 Para que que Linux sea capaz de abrir una conexión VPN el <e>soporte
119 del manejador del dispositivo universal TUN/TAP</e> debe estar activo
120 en el núcleo. ¿Qué es eso y por qué lo necesito? El párrafo siguiente
121 tiene una explicación relativamente directa del diálogo de
122 configuración del núcleo:
123 </p>
124
125 <pre caption="CONFIG_TUN">
126 TUN/TAP provee recepción y transmisión de paquetes para programas del
127 espacio de usuario. Ésto puede verse como un simple dispositivo
128 Punto-a-Punto o Ethernet, el cuál en vez de recibir paquetes de un
129 medio físico, los recibe de un programa de espacio de usuario y en ves
130 de enviar paquetes vía medios físicos los escribe al espacio del
131 programa del usuario.
132
133 Cuando un programa abre /dev/net/tun, el manejador crea y registra
134 el dispositivo de red correspondiente tunX o tapX. Después un programa
135 cierra los dispositivos superiores, el manejador automáticamente eliminará
136 el dispositivo tunXX o tapXX y todas las rutas correspondientes a él.
137 </pre>
138
139 <p>
140 Desde la versión 0.4.0-r1, el ebuild de <c>vpnc</c> probará qué
141 dispositivo TUN/TAP está activo. Si no, actívelo en la configuración
142 de su núcleo como módulo o acoplado al núcleo, recompile y reinicie.
143 </p>
144
145 <p>
146 Puede verificar por si mismo si el núcleo tiene soporte TUN/TAP con el
147 siguiente comando:
148 </p>
149
150 <pre caption="Verificando la configuración del núcleo">
151 # <i> grep "TUN" /usr/src/linux/.config</i>
152 CONFIG_INET_TUNNEL=m
153 # CONFIG_INET6_TUNNEL is not set
154 # CONFIG_IPV6_TUNNEL is not set
155 <comment>(TUN/TAP enabled as a module)</comment>
156 CONFIG_TUN=m
157 # CONFIG_8139TOO_TUNE_TWISTER is not set
158 </pre>
159
160 <p>
161 Como puede ver arriba, <c>CONFIG_TUN=m</c> está compilado como
162 módulo. Si está deshabilitado en su configuración, actívelo en el
163 núcleo que ha elegido, recompile, instale, reinicie y vuelva a éste
164 documento antes de seguir con los pasos a continuación.
165 </p>
166
167 <pre caption="Localización en el diálogo de configuración del núcleo">
168 Device Drivers ---&gt;
169 Networking support ---&gt;
170 [*] Universal TUN/TAP device driver support
171 </pre>
172
173 <p>
174 Si compiló el soporte TUN/TAP directamente en el núcleo, debería ver
175 una salida de <c>dmesg</c> como la siguiente:
176 </p>
177
178 <pre caption="Verificando la salida de dmesg">
179 # <i>dmesg | grep TUN</i>
180 Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky
181 </pre>
182
183 <p>
184 Si compiló el soporte TUN/TAP como módulo, primeramente debe cargar el
185 módulo <c>tun</c>:
186 </p>
187
188 <pre caption="Cargar módulo tun">
189 # <i>modprobe tun</i>
190 # <i>lsmod</i>
191 Module Size Used by
192 tun 7296 0
193 </pre>
194
195 <p>
196 Ahora el módulo <c>tun</c> está cargado, verifique la salida de
197 <c>dmesg</c>. Debería ver algo como ésto:
198 </p>
199
200 <pre caption="Verificacando la salida de dmesg">
201 # <i>dmesg | grep TUN</i>
202 Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky
203 </pre>
204 </body>
205 </section>
206 </chapter>
207
208 <chapter>
209 <title>Instalar el Software Necesario</title>
210 <section>
211 <body>
212
213 <p>
214 Ahora que tiene configurado el núcleo, necesita instalar
215 <c>net-misc/vpnc</c>:
216 </p>
217
218 <pre caption="Instalando vpnc">
219 # <i>emerge -av net-misc/vpnc</i>
220 </pre>
221 </body>
222 </section>
223 </chapter>
224
225 <chapter>
226 <title>Configuración de Ejemplo</title>
227 <section>
228 <body>
229
230 <p>
231 Para que las secciones siguientes sean más entendibles, necesitamos
232 una configuración de ejemplo para trabajar. Para propositos de éste
233 ejercicio asumimos que tiene una red local de varias
234 computadoras. Todas las computarores están en la red
235 192.168.0.0/255.255.255.255. La LAN en questión pasa por una máquina
236 Gentoo usando iptables como cortafuegos, DHCP, DNS de cacheo, etc... y
237 enmascara la LAN a través de una dirección IP pública que recibe de un
238 ISP. También tiene una estación de trabajo en su LAN por la cuál ustéd
239 desea ser capáz de conectar por VPN con su oficina.
240 </p>
241
242 <p>
243 La configuración de ejemplo de nuestra estación de trabajo se ve así:
244 </p>
245
246 <pre caption="La configuración de nuestra estación de trabajo">
247 <comment>(Configuración del Servidor de Nombres)</comment>
248 # <i>cat /etc/resolv.conf</i>
249 nameserver 192.168.0.1
250
251 <comment>(Configuración de la Red)</comment>
252 # <i>cat /etc/hosts</i>
253 127.0.0.1 desktop localhost
254 192.168.0.1 router
255 192.168.2.2 mediacenter
256
257 <comment>(Configuración del Interfaz)</comment>
258 # <i>ifconfig -a</i>
259 eth0 Link encap:Ethernet HWaddr 00:11:2F:8D:08:08
260 inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
261 inet6 addr: fe80::211:2fff:fe8d:808/64 Scope:Link
262 UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
263 RX packets:3657889 errors:0 dropped:0 overruns:0 frame:0
264 TX packets:2305893 errors:0 dropped:0 overruns:0 carrier:0
265 collisions:0 txqueuelen:1000
266 RX bytes:2193722103 (2092.0 Mb) TX bytes:1415104432 (1349.5 Mb)
267 Interrupt:185 Memory:fac00000-0
268
269 lo Link encap:Local Loopback
270 inet addr:127.0.0.1 Mask:255.0.0.0
271 inet6 addr: ::1/128 Scope:Host
272 UP LOOPBACK RUNNING MTU:16436 Metric:1
273 RX packets:35510 errors:0 dropped:0 overruns:0 frame:0
274 TX packets:35510 errors:0 dropped:0 overruns:0 carrier:0
275 collisions:0 txqueuelen:0
276 RX bytes:16023838 (15.2 Mb) TX bytes:16023838 (15.2 Mb)
277
278 <comment>(Información de ruteo)</comment>
279 # <i>netstat -r</i>
280 Kernel IP routing table
281 Destination Gateway Genmask Flags MSS Window irtt Iface
282 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
283 loopback desktop 255.0.0.0 UG 0 0 0 lo
284 default router 0.0.0.0 UG 0 0 0 eth0
285 </pre>
286 </body>
287 </section>
288 </chapter>
289
290 <chapter>
291 <title>Configurando vpnc</title>
292 <section>
293 <body>
294
295 <p>
296 Ahora tiene <c>vpnc</c> instalado y también un ejemplo con el cual
297 trabajar, discutamos la configuración básica de <c>vpnc</c>. El
298 archivo de configuración de la conexión de <c>vpnc</c> puede ser
299 ubicado en un par de lugares, dependiendo de cuántos perfiles desee
300 configurar. Por defecto, <c>vpnc</c> busca primeramente en
301 <path>/etc/vpnc/default.conf</path> sus configuraciones de
302 conexión. Si no encuentra ese archivo, busca a
303 <path>/etc/vpnc.conf</path>. Ésta configuración seguirá un perfíl
304 simple de ejemplo y usará el archivo de configuración localizado en
305 <path>/etc/vpcn.conf</path>. Asegúrese de <e>no</e> tener el archivo
306 <path>/etc/vpnc/default.conf</path>.
307 </p>
308
309 <pre caption="El archivo de ejemplo /etc/vpnc.conf">
310 IPSec gateway vpngateway.domain.org
311 IPSec ID group_id
312 IPSec secret group_password
313 Xauth username network_signon
314 Xauth password network_password
315 </pre>
316
317 <p>
318 El archivo de configuración de ejemplo anterior será modificado para
319 reflejar los valores apropiados para su configuración. La opción de
320 puerta de enlace <c>vpngateway.domain.org</c> puede ser un nombre de
321 dominio completamente calificado o una dirección IP. El ID y opciones
322 secretas debería darselas un administrador de la red. Si no puede
323 obtener ésta información y ya tiene una configuración funcional en una
324 máquina Windows que utiliza un cliente oficial Cisco VPN, entonces lo
325 único que tiene que hacer es exportar su perfil. Las opciones de
326 usuario y clave son para loguear normalmente en su red, como en una
327 cuenta con dominio Windows NT.
328 </p>
329
330 <p>
331 Si está forzado a exportar su perfil desde una máquina Windows,
332 entonces preferirá tenerlo en un archivo con extensión
333 <path>.pcf</path>. Éste archivo tendrá toda la información que
334 necesite. Por debajo sigue un ejemplo:
335 </p>
336
337 <pre caption="Archivo de ejemplo profile.pcf">
338 [main]
339 Description=
340 Host=VPNGATEWAY.DOMAIN.ORG
341 AuthType=1
342 GroupName=group_id
343 GroupPwd=
344 enc_GroupPwd=F3256220AA200A1D532556024F4F314B0388D48B0FBF2DB12
345 EnableISPConnect=0
346 ISPConnectType=0
347 ISPConnect=FOOBAR
348 ISPCommand=
349 Username=
350 SaveUserPassword=0
351 UserPassword=
352 enc_UserPassword=
353 NTDomain=
354 EnableBackup=0
355 BackupServer=
356 EnableMSLogon=1
357 MSLogonType=0
358 EnableNat=1
359 TunnelingMode=0
360 TcpTunnelingPort=10000
361 CertStore=0
362 CertName=
363 CertPath=
364 CertSubjectName=
365 CertSerialHash=00000000000000000000000000000000
366 SendCertChain=0
367 VerifyCertDN=
368 DHGroup=2
369 ForceKeepAlives=0
370 PeerTimeout=90
371 EnableLocalLAN=0
372 EnableSplitDNS=1
373 ForceNetLogin=0
374 </pre>
375
376 <p>
377 En el ejemplo anterior, podemos ver entradas para <c>Host</c>,
378 <c>GroupName</c> y <c>enc_GroupPwd</c>. Su <c>Username</c> y
379 <c>UserPassword</c> podrían o podrían no ser exportados dependiendo de
380 la configuración. Para generar una configuración de vpnc funcional
381 fuera de esa, puede usar <c>pcf2vpnc</c>, incluida con vpnc.
382 </p>
383
384 <note>
385 Puede desencriptar la clave con la ayuda del programa
386 <c>cisco-decrypt</c>, que viene con la última versión de vpnc.
387 </note>
388 </body>
389 </section>
390
391 <section>
392 <title>Probando su configuración</title>
393 <body>
394
395 <p>
396 Ahora que tiene la configuración en su lugar, es tiempo de
397 probarla. Para iniciar <c>vpnc</c> haga lo siguiente:
398 </p>
399
400 <pre caption="Ejemplo de uso de vpnc">
401 # <i>vpnc</i>
402 Enter password for username@×××××××××××××××××.org:
403 VPNC started in background (pid: 14788)...
404 </pre>
405
406 <p>
407 Como puede ver de la salida del ejemplo anterior, una vez que escribió
408 <c>vpnc</c> (como root), se le ha pedido su clave. Después de ingresar
409 dicha clave, la cuál no será mostrada, el proceso <c>vpnc</c>
410 automáticamente se convertirá en un proceso de fondo.
411 </p>
412
413 <note>
414 Si ha especificado la opción <c>Xauth password</c> en el archivo de
415 configuración de su <c>vpnc</c>, entonces no le pedirá una clave al
416 inicio de <c>vpnc</c>. Adicionalmente, si <c>vpnc</c> necesita
417 algunas opciones extra no especificadas en el archivo de
418 configuración, o si ha olvidado algo, no se preocupe, le preguntará
419 por ello.
420 </note>
421
422 <pre caption="Ejemplo de cambios en la interfase de configuración hechos por vpnc">
423 # <i> ifconfig -a</i>
424 eth1 Link encap:Ethernet HWaddr 00:11:2F:8D:08:08
425 inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
426 inet6 addr: fe80::211:2fff:fe8d:808/64 Scope:Link
427 UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
428 RX packets:2101119 errors:0 dropped:0 overruns:0 frame:0
429 TX packets:1577559 errors:0 dropped:0 overruns:0 carrier:0
430 collisions:0 txqueuelen:1000
431 RX bytes:1757862627 (1676.4 Mb) TX bytes:732200131 (698.2 Mb)
432 Interrupt:177 Memory:faa00000-0
433
434 sit0 Link encap:IPv6-in-IPv4
435 NOARP MTU:1480 Metric:1
436 RX packets:0 errors:0 dropped:0 overruns:0 frame:0
437 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
438 collisions:0 txqueuelen:0
439 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
440
441 tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
442 inet addr:192.168.160.42 P-t-P:192.168.160.42 Mask:255.255.255.255
443 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Metric:1
444 RX packets:1 errors:0 dropped:0 overruns:0 frame:0
445 TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
446 collisions:0 txqueuelen:500
447 RX bytes:60 (60.0 b) TX bytes:616 (616.0 b)
448
449 </pre>
450
451 <pre caption="Ejemplo de modificaciones de ruteo hechos por vpnc">
452 # <i>netstat -r</i>
453 Kernel IP routing table
454 Destination Gateway Genmask Flags MSS Window irtt Iface
455 vpn01.domain.or router 255.255.255.255 UGH 1500 0 0 eth1
456 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
457 loopback desktop 255.0.0.0 UG 0 0 0 lo
458 default * 0.0.0.0 U 0 0 0 tun0
459 </pre>
460
461 <p>
462 Como puede ver en la salida de los anteriores comandos, <c>vpnc</c> ha
463 hecho lo siguiente:
464 </p>
465
466 <ul>
467 <li>
468 Ha creado la interfase de red tun0, una interfase virtual para
469 manejar el tráfico a través de su tunel VPN.</li>
470 <li>Ha obtenido la dirección IP para el dispositivo tun0 del
471 proveedor de la VPN.</li>
472 <li>Ha establecido la ruta por defecto hacia la puerta de enlace de
473 su VPN.</li>
474 </ul>
475
476 <p>
477 En este punto, su estación de trabajo es capáz de comunicarse con
478 otros hosts vía la VPN, pero sólo por la dirección IP. Cómo se habrá
479 dado cuenta, <c>vpnc</c> no ha alterado su
480 <path>/etc/resolv.conf</path>, de tal manera que no hay configuración
481 de servicios de DNS para el enlace virtual. También, dado que
482 <c>vpnc</c> establece la ruta virtual hacia la puerta de enlace de su
483 VPN, todo el tráfico de su red viajará a través de la VPN, incluso si
484 está destinado a internet o a otro lugar no especificado por rutas
485 adicionales. Para algunos éste tiempo de conexión básica puede ser
486 satisfactoria, pero para los más, pasos adicionales deben llevarse
487 acabo.
488 </p>
489
490 <p>
491 Características adicionales que probablemente le gustaría tener:
492 </p>
493
494 <ul>
495 <li>Un DNS para la VPN</li>
496 <li>Una configuración de enrutado que solo enviará tráfico destinado
497 por la VPN por debajo del tunel virtual. De esta manera, puede
498 navegar por la internet mientra está conectado a la VPN, sin que el
499 tráfico de su web/p2p personal, etc, vaya a través del tunel.</li>
500 <li>Un guión para manejar todo ello, porque el <c>vpnc</c> no hace
501 lo suficiente por defecto.
502 </li>
503 </ul>
504
505 <p>
506 Cuando esté listo para terminar la sesión de VPN, ejecute
507 <c>vpnc-disconnect</c>. Un ejemplo se muestra por debajo.
508 </p>
509
510 <note>
511 No se desconecte aún, tenemos cosas adicionales que probar. El ejemplo
512 siguiente es sólo para propositos de información.
513 </note>
514
515 <pre caption="vpnc-disconnect">
516 # <i>vpnc-disconnect</i>
517 Terminating vpnc daemon (pid: 26250)
518 </pre>
519 </body>
520 </section>
521 </chapter>
522
523 <chapter>
524 <title>Montando el DNS</title>
525 <section>
526 <body>
527
528 <p>
529 Desafortunadamente, <c>vpnc</c> no se ocupa del manejo y configuración
530 del DNS para su tunel recientemente establecido. El usuario es libre
531 de decidir cómo debería manejar el DNS. Podría sobreescribir el
532 archivo <path>/etc/resolv.conf</path> cuando se conecte, pero eso
533 podría utilizar el DNS de su VPN para todas las consultas DNS sin
534 importar si el trafico esté o no destinado por el tunel de su
535 VPN. Ésta es una solución bastante funcional y si usted necesita
536 simplemente conectar al tunel, haga su trabajo, y desconecte, no lea
537 más. Pero, si desea ser capáz de dejar a su tunel conectado por largos
538 períodos de tiempo y no quiere que sus servidores DNS trabajen
539 manejando requerimientos de su tráfico personal, continúe leyendo.
540 </p>
541
542 <p>
543 La configuración ideal le permitiría separar las consultas de su DNS
544 en dos categorías: las relaciónadas a su VPN y otras. En ésta
545 configuración, todas las consultas de DNS relacionadas a la VPN serán
546 respondias por servidores DNS localizados al final de su tunel VPN y
547 todas las otras consultas podrían continuar siendo respondidas por los
548 servidores DNS locales o proveidos por su ISP. Esa es la configuración
549 que demostraremos aquí.
550 </p>
551
552 <note>
553 Hemos de considerar consultas de DNS relacionadas a la VPN que serán
554 cualquier consulta perteneciente al dominio example.org, como
555 host1.example.org o server1.example.org.
556 </note>
557
558 <p>
559 ¿Asi que cómo configurar de tal forma que sólo las peticiones hechas
560 al host en el dominio example.org sean enviadas a los servidores de
561 DNS suministrados por la VPN? Bien, necesitará instalar un servidor
562 DNS local, pero no se preocupe, es más fácil de lo que piensa. Hay
563 muchos paquetes de software que pueden manejar el tipo de
564 configuración que deseamos, pero para el propósito de ésta
565 demostración utilizaremos <c>dnsmasq</c>. Instalemoslo ahora:
566 </p>
567
568 <note>
569 Éste servidor DNS no estará disponible en la red, y sólo responderá
570 pedidos desde el localhost, <c>127.0.0.1</c>.
571 </note>
572
573 <pre caption="Instalar dnsmasq">
574 # <i>emerge dnsmasq</i>
575 </pre>
576
577 <p>
578 Ahora necesita agregar una opción a las opciones de inicio de su
579 <c>dnsmasq</c>. Edite la opción siguiente según su
580 conveniencia. Sustituya example.org con el dominio apropiado y la
581 dirección IP con un servidor DNS válido que pertenezca al tunel VPN.
582 </p>
583
584 <pre caption="/etc/conf.d/dnsmasq">
585 Archivo de configuración para /etc/init.d/dnsmasq
586
587 # Mire la página man dnsmasq(8) para más opciones posibles.
588 DNSMASQ_OPTS="-S /.example.org/192.168.125.10"
589 </pre>
590
591 <p>
592 Seguidamente, asegurese que la primera entrada en
593 <path>/etc/resolv.conf</path> es su localhost <c>127.0.0.1</c>,
594 seguido de la localización de los servidores DNS de respaldo que
595 deberían manejar el tráfico de DNS en caso de que dnsmasq falle al
596 iniciar, o si necesita enviar una consulta de DNS que actualmente no
597 tenga en su cache. Un ejemplo <path>/etc/resolv.conf</path> se muestra
598 a continuación.
599 </p>
600
601 <pre caption="/etc/resolv.conf">
602 nameserver 127.0.0.1
603 nameserver 192.168.0.1
604 </pre>
605
606 <p>
607 Ahora que ha configurado una regla para su tunel VPN necesita iniciar
608 <c>dnsmasq</c>.
609 </p>
610
611 <pre caption="Iniciando dnsmasq">
612 # <i>/etc/init.d/dnsmasq start</i>
613 # <i>rc-update add dnsmasq default</i>
614 </pre>
615 </body>
616 </section>
617 </chapter>
618
619 <chapter>
620 <title>Configurando la tabla de enrutado</title>
621 <section>
622 <body>
623
624 <p>
625 El escenario ideal sería si sólo el tráfico destinado para el tunel
626 VPN viajaría a través del enlace. Hasta aquí, tiene un tunel VPN
627 configurado y todo el tráfico viajará a través del tunel, a menos que
628 especifique rutas adicionales. Para arreglar ésta situación necesita
629 saber qué redes están disponibles en su VPN. La manera más fácil de
630 encontrar la información necesaria es preguntar al administrador de
631 red, pero algunas veces son reacios a responder tales preguntas. Si su
632 administrador local de red no le provee la información necesaria,
633 deberá hacerlo experimentando a prueba y error.
634 </p>
635
636 <p>
637 Cuando el tunel VPN sea iniciado, <c>vpnc</c> establece la ruta por
638 defecto al tunel. Usted debe establecer la ruta por defecto de regreso
639 al normal, así las cosas funcionarán como se espera.
640 </p>
641
642 <pre caption="Reiniciando la ruta por defecto">
643 # <i>route add default gw 192.168.0.1</i>
644 </pre>
645
646 <p>
647 Anteriormente, cuando los servicios del DNS fueron configurados para
648 su VPN, especificó un servidor DNS para manejar el dominio
649 example.org. Usted necesita agregar una ruta para la subred
650 192.168.125.0 así las consultas del DNS funcionarán.
651 </p>
652
653 <pre caption="Agregar una ruta para el dns">
654 # <i>route add -net 192.168.125.0 netmask 255.255.255.0 dev tun0</i>
655 </pre>
656
657 <p>
658 Hasta el momento, podría agregar rutas adicionales para redes
659 conociddas (como ser la subred 192.168.160.0, la cual incluye la
660 dirección IP recibida por el dispositivo virtual TUN/TAP). Si su
661 amigable administrador de red le ha dado la información requerida,
662 genial. De otro modo, tendrá que hacer ping a las estaciones a las que
663 se conectará frecuentemente, para que tenga una idea de cómo se
664 debería ver su tabla de enrutado.
665 </p>
666
667 <note>
668 Debido a su configuración, cuando use los servicios de red de la VPN
669 por nombre, debe especificar el nombre de dominio completo, por
670 ejemplo: webserver1.example.org
671 </note>
672
673 <pre caption="Ejemplo de Ping">
674 # <i>ping intranet1.example.org</i>
675 PING intranet1.example.org (172.25.230.29) 56(84) bytes of data.
676
677
678 --- intranet1.example.org ping statistics ---
679 18 packets transmitted, 0 received, 100% packet loss, time 16997ms
680 </pre>
681
682 <p>
683 Como ha podido ver en los ejemplos anteriores, el ping que examina a
684 <c>intranet1.example.org</c> fue satisfactorio. Ahora necesitamos
685 agregar una ruta para la subred.
686 </p>
687
688 <pre caption="Otro ejemplo del comando route">
689 # <i>route add -net 172.25.230.0 netmask 255.255.255.0 dev tun0</i>
690 </pre>
691
692 <p>
693 Luego de unos cuantos pings y routes, estará bien encaminado hacia una
694 tabla de enrutado solvente.
695 </p>
696 </body>
697 </section>
698 </chapter>
699
700 <chapter>
701 <title>Administrar la conexión</title>
702 <section>
703 <title>Llamar a vpnc cuando sea necesario</title>
704 <body>
705
706 <p>
707 El ejemplo siguiente es un guión para adminitrar la conexión
708 VPN. Puede ejecutarlo (como root) desde una xterm para iniciar una
709 conexión hacia su VPN. Todo lo que debe hacer es presionar Enter para
710 desconectar la VPN. Obviamente necesitará modificarlo para su
711 configuración, recuerde agregar todas las rutas adicionales que vaya a
712 necesitar.
713 </p>
714
715 <pre caption="Ejemplo de guión administrador de sesión">
716 #!/bin/bash
717
718 source /sbin/functions.sh
719
720 ebegin "Conectando a la VPN"
721 vpnc
722 eend
723
724 ebegin "Modificando la tabla de enrutado"
725 route add default gw 192.168.0.1
726 route add -net 172.25.230.0 netmask 255.255.255.0 dev tun0
727 route add -net 192.168.160.0 netmask 255.255.255.0 dev tun0
728 route add -net 192.168.125.0 netmask 255.255.255.0 dev tun0
729 eend
730
731 einfo "Presione cualquier tecla para desconectar ..."
732
733 read $disconnect
734
735 ebegin "Desconectando de la VPN"
736 vpnc-disconnect
737 eend
738 ebegin "Reconfigurando la tabla de enrutado por defecto"
739 route add default gw 192.168.0.1
740 eend
741
742 einfo "Ahora debería estár desconectado de la VPN"
743 </pre>
744 </body>
745 </section>
746
747 <section>
748 <title>Iniciar vpnc al arrancar</title>
749 <body>
750
751 <p>
752 La versión 0.4.0-r1 de vpnc provee un archivo de inicio para Gentoo el
753 cual incluso puede manejar multiples configuraciones. Encontrará un
754 archivo <path>/etc/init.d/vpnc</path> que puede ser tratado como un
755 guión de inicio común. La vista de <path>/etc/vpnc/vpnc.conf</path>,
756 en esquema está esbozada en la siguiente tabla.
757 </p>
758
759 <table>
760 <tr>
761 <th>nombre del guión de inicio</th>
762 <th>archivo de configuración necesario</th>
763 </tr>
764 <tr>
765 <ti>/etc/init.d/vpnc</ti>
766 <ti>/etc/vpnc/vpnc.conf</ti>
767 </tr>
768 <tr>
769 <ti>/etc/init.d/vpnc.work</ti>
770 <ti>/etc/vpnc/work.conf</ti>
771 </tr>
772 </table>
773
774 <p>
775 Agregue vpncp al nivel de ejecución por defecto con los siguientes comandos (en
776 este caso para una configuración estándar). No olvide agregar el módulo tun (si
777 lo ha includo de esta manera) al mecanismo de inicio de autocarga del núcleo.
778 </p>
779
780 <pre caption="Agregar vpnc a los guiónes de inicio">
781 # <i>rc-update add vpnc default</i>
782 </pre>
783
784 <p>
785 Si no desea guardar su clave en el archivo de configuración, puede indicarle
786 al guión de inicio que muestre todas las salidas y respuestas en una vista estándar
787 editando <path>/etc/conf.d/vpnc</path>. Establezca la variable <c>VPNOUTPUT</c>
788 a sí o no, la cuál por defecto establece no mostrar la salida por pantalla.
789 </p>
790
791 <note>
792 Los guiones de inicio no manejan la separación de DNS.
793 </note>
794 </body>
795 </section>
796 </chapter>
797
798 <chapter>
799 <title>Consejos y Trucos</title>
800 <section>
801 <body>
802
803 <p>
804 Si esta buscando una aplicación para linux que soporte RDP (Protocolo
805 de Escritorio Remoto) dele a <c>grdesktop</c> una oportunidad. Es una
806 aplicación GUI escrita en Gtk que encaja bien en un escritorio Gnome,
807 pero no lo requiere. Si no desea los diálogos de configuración GUI que
808 grdesktop provee, entonces solo instale <c>rdesktop</c>. Ultimamente,
809 grdesktop es sólo una interfase para rdesktop.
810 </p>
811
812 <p>
813 Si es usuario de KDE, podría probar <c>kvpnc</c>. El cuál parece un
814 GUI muy maduro para manejo de VNPs.
815 </p>
816
817 <p>
818 Si necesita conectar a una máquina Windows la cuál no tenga una
819 entrada en el DNS, y sabe la dirección de un servidor WINS disponible,
820 puede usar una herramienta llamada <c>nmblookup</c> para consultar al
821 servidor WINS por el nombre (hostname) de la máquina a la cuál desea
822 conectar. Desafortunadamente, necesita instalar samba, pero si va a
823 trabajar con máquinas que corren bajo Windows le convendría instalar
824 samba porque incluye muchas otras herramientes útiles.
825 </p>
826
827 <pre caption="Instalando samba">
828 # <i>emerge -av samba</i>
829 </pre>
830
831 <p>
832 Cuando haya instalado samba y sus herramientas, pruebe
833 <c>nmblookup</c> preguntando al servidor WINS el cual tiene por
834 dirección IP 192.168.125.11, acerca del host llamado wintelbox1.
835 </p>
836
837 <pre caption="ejemplo de nmblookup">
838 # <i>nmblookup -U 192.168.125.11 -R 'wintelbox1'</i>
839 querying wintelbox1 on 192.168.125.11
840 172.25.230.76 wintelbox1
841 </pre>
842 </body>
843 </section>
844 </chapter>
845
846 <chapter>
847 <title>Enlaces útiles</title>
848 <section>
849 <body>
850
851 <ul>
852 <li>
853 <uri link="http://www.unix-ag.uni-kl.de/~massar/vpnc/">Página de vpnc</uri>
854 </li>
855 <li>
856 <uri link="http://home.gna.org/kvpnc/en/index.html">Página de kvpnc</uri>
857 </li>
858 <li>
859 <uri link="http://www.nongnu.org/grdesktop/">Página de grdesktop</uri>
860 </li>
861 </ul>
862 </body>
863 </section>
864 </chapter>
865
866 <chapter>
867 <title>Notas Finales</title>
868 <section>
869 <body>
870
871 <p>
872 Esperemos que ahora sea capáz de conectarse a la VNP que haya elegido
873 y este en buen camino hacia el trabajo en su oficina remota. Siéntase
874 libre de mandarnos un bug a <uri
875 link="http://bugs.gentoo.org">bugs.gentoo.org</uri> si encontra algún
876 error o desea agregar o recomendar algo referente a éste documento.
877 </p>
878 </body>
879 </section>
880 </chapter>
881 </guide>
882
883
884
885 --
886 gentoo-commits@g.o mailing list
Report Message
Find on MARC Find on Google Groups