miércoles, 27 de agosto de 2014
Instalacion y Configuracion extra basica de ssh sin password, con certificados rsa o dsa
Para tener acceso por ssh sin escribir el password cada vez, se puede usar certificados rsa o dsa, explicaremos el dsa con una frase o passphrase en blanco
En cliente y servidor LINUX con Usuario root:
Cambiar IP Remoto: 10.10.1.3 por el de su servidor
1.- crear un certificado local
ssh-keygen -t dsa -N "" -f /root/.ssh/id_dsa
2.- crear un directorio remoto para copiar la autorizacion (pedira password remoto)
ssh root@10.10.1.3 mkdir -p /root/.ssh
3.- copiar el cetificado temporalmente para autorizar (pedira password remoto)
scp /root/.ssh/id_dsa.pub root@10.10.1.3:/root/.ssh/authorized_keys.tmp
4.- adicionando a las autorizaciones y borrando el temporal (pedira password remoto)
ssh root@10.10.1.3 "cat /root/.ssh/authorized_keys.tmp >> /root/.ssh/authorized_keys && rm /root/.ssh/authorized_keys.tmp"
5.- prueba del acceso (ya no deberia pedir password)
ssh root@10.10.1.3 "ls"
En cliente y servidor LINUX con usuario limitado jordanluis(cambiar por el suyo):
Notar que para el usuario root se uso el directorio base /root/ mientras que para el limitado /home/jordanluis/
Cambiar IP Remoto: 10.10.1.3 por el de su servidor
1.- crear un certificado local
ssh-keygen -t dsa -N "" -f /home/jordanluis/.ssh/id_dsa
2.- crear un directorio remoto para copiar la autorizacion (pedira password remoto)
ssh jordanluis@10.10.1.3 mkdir -p /home/jordanluis/.ssh
3.- copiar el cetificado temporalmente para autorizar (pedira password remoto)
scp /home/jordanluis/.ssh/id_dsa.pub jordanluis@10.10.1.3:/home/jordanluis/.ssh/authorized_keys.tmp
4.- adicionando a las autorizaciones y borrando el temporal (pedira password remoto)
ssh jordanluis@10.10.1.3 "cat /home/jordanluis/.ssh/authorized_keys.tmp >> /root/.ssh/authorized_keys && rm /home/jordanluis/.ssh/authorized_keys.tmp"
5.- prueba del acceso (ya no deberia pedir password)
ssh jordanluis@10.10.1.3 "ls"
Etiquetas:
dsa,
extra basico,
linux,
rsa,
sin password,
ssh
miércoles, 15 de enero de 2014
Instalacion y configuracion extra basica de VPN con IPSEC y PRESHAREDKEY en LINUX
En muchos casos se requiere una conexion segura entre redes, o acceso a recursos compartidos entre oficinas remotas, en este caso se montará una vpn para conectar varias oficinas a traves de internet, ambas redes con estructura similar donde x sera el identificador de la oficina:
Red LAN con ip 192.168.x.0/24
Red DMZ con ip 10.10.x.0/24
Se utiliza un servidor como router, vpn, etc. para distribuir internet con las siguientes interfaces:
eth0 - WAN IP 200.x.x.x
eth1 - LAN IP 192.168.x.1
eth2 - DMZ IP 10.10.x.1
Por facilidad se usara "x" sera la local y "y" sera la remota, x=1 y=2
Se usara el nombre de la vpn como vpnxy. Es decir vpn12 y en el equipo remoto configurar al reves vpn21
El presharedkey o PSK sera una clave que conozcan ambos servidores, se usara "contrasenia", se recomienda que toda la malla de la vpn use el mismo psk y la misma encriptación, usaremos 3des - sha1 1024 bits
1.- DESHABILITAR REDIRECCIONES, editar el archivo /etc/sysctl.conf y buscar net.ipv4.ip_forward y ponerlo en valor 1 (ojo, descomentarlo primero quitando el numeral de la izquierda)
2.- Instalar OpenSwan:
apt-get install openswan
3.- Configuracion global del IPSEC, editar el archivo /etc/ipsec.conf y dejarlo como sigue:
version 2.0
config setup
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16
oe=off
include /etc/ipsec.d/*.conf
4.- Configuracion de las claves PSK, editar el archivo /etc/ipsec.secrets y dejarlo como sigue (aumentar filas para mas servidores):
include /var/lib/openswan/ipsec.secrets.inc
200.1.1.1 200.2.2.2 : PSK "contrasenia"
5.- Configurar la conexion de la vpn.- crear un archivo para cada vpn con su nombre en /etc/ipsec.d/vpn12.conf:
conn vpn12
authby=secret
auto=start
keyexchange=ike
esp=3des
compress=yes
left=200.1.1.1
leftsubnet=10.10.1.0/24
right=200.2.2.2
rightsubnet=10.10.2.0/24
6.- Iniciar y verificar el servicio:
service ipsec restart
ipsec verify
7.- Levantar la vpn:
ipsec auto --add vpn12
ipsec auto --up vpn12
8.- Configurar un gateway por defecto
route add default gw 200.1.1.1 eth0
9.- Verificar la reglas del firewall, de preferencia quitar todas las reglas
iptables -vnL -t nat
iptables -vnL
10.- Enmascaramiento para dar internet, evitando colision con la vpn
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 \! -d 10.10.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.0.0/16 \! -d 10.10.0.0/16 -j MASQUERADE
11.- Redireccion de la red interna a la vpn usando nat
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 10.10.2.0/28 -j SNAT --to 10.10.1.254
12.- Aceptar trafico puertos 500 y 50 para la encriptación del PSK
iptables -I INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -I OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -I INPUT -p 50 -j ACCEPT
iptables -I OUTPUT -p 50 -j ACCEPT
13.- Pruebas de conexion en un servidor local(10.10.1.2)
ping google.com #ping a internet
ping 10.10.2.2 #ping a un servidor remoto a traves de la VPN
14.- Pruebas de conexion en un equipo local(192.168.1.2)
ping google.com #ping a internet
ping 10.10.1.2 #ping a un servidor local en DMZ
ping 10.10.2.2 #ping a un servidor remoto a traves de la VPN
15.- Publicar un servidor(virtualip)
adicionar un alias a la interface o virtual ip
ifconfig eth0:0 200.1.1.2 up
ifconfig eth0:1 200.1.1.3 up
....
iptables -t nat -A PREROUTING -p tcp -d 200.1.1.2 -j DNAT --to-destination 10.10.1.2
iptables -t nat -A PREROUTING -p tcp -d 200.1.1.3 -j DNAT --to-destination 10.10.1.3
....
Red LAN con ip 192.168.x.0/24
Red DMZ con ip 10.10.x.0/24
Se utiliza un servidor como router, vpn, etc. para distribuir internet con las siguientes interfaces:
eth0 - WAN IP 200.x.x.x
eth1 - LAN IP 192.168.x.1
eth2 - DMZ IP 10.10.x.1
Por facilidad se usara "x" sera la local y "y" sera la remota, x=1 y=2
Se usara el nombre de la vpn como vpnxy. Es decir vpn12 y en el equipo remoto configurar al reves vpn21
El presharedkey o PSK sera una clave que conozcan ambos servidores, se usara "contrasenia", se recomienda que toda la malla de la vpn use el mismo psk y la misma encriptación, usaremos 3des - sha1 1024 bits
1.- DESHABILITAR REDIRECCIONES, editar el archivo /etc/sysctl.conf y buscar net.ipv4.ip_forward y ponerlo en valor 1 (ojo, descomentarlo primero quitando el numeral de la izquierda)
2.- Instalar OpenSwan:
apt-get install openswan
3.- Configuracion global del IPSEC, editar el archivo /etc/ipsec.conf y dejarlo como sigue:
version 2.0
config setup
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16
oe=off
include /etc/ipsec.d/*.conf
4.- Configuracion de las claves PSK, editar el archivo /etc/ipsec.secrets y dejarlo como sigue (aumentar filas para mas servidores):
include /var/lib/openswan/ipsec.secrets.inc
200.1.1.1 200.2.2.2 : PSK "contrasenia"
5.- Configurar la conexion de la vpn.- crear un archivo para cada vpn con su nombre en /etc/ipsec.d/vpn12.conf:
conn vpn12
authby=secret
auto=start
keyexchange=ike
esp=3des
compress=yes
left=200.1.1.1
leftsubnet=10.10.1.0/24
right=200.2.2.2
rightsubnet=10.10.2.0/24
6.- Iniciar y verificar el servicio:
service ipsec restart
ipsec verify
7.- Levantar la vpn:
ipsec auto --add vpn12
ipsec auto --up vpn12
8.- Configurar un gateway por defecto
route add default gw 200.1.1.1 eth0
9.- Verificar la reglas del firewall, de preferencia quitar todas las reglas
iptables -vnL -t nat
iptables -vnL
10.- Enmascaramiento para dar internet, evitando colision con la vpn
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 \! -d 10.10.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.0.0/16 \! -d 10.10.0.0/16 -j MASQUERADE
11.- Redireccion de la red interna a la vpn usando nat
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 10.10.2.0/28 -j SNAT --to 10.10.1.254
12.- Aceptar trafico puertos 500 y 50 para la encriptación del PSK
iptables -I INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -I OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -I INPUT -p 50 -j ACCEPT
iptables -I OUTPUT -p 50 -j ACCEPT
13.- Pruebas de conexion en un servidor local(10.10.1.2)
ping google.com #ping a internet
ping 10.10.2.2 #ping a un servidor remoto a traves de la VPN
14.- Pruebas de conexion en un equipo local(192.168.1.2)
ping google.com #ping a internet
ping 10.10.1.2 #ping a un servidor local en DMZ
ping 10.10.2.2 #ping a un servidor remoto a traves de la VPN
15.- Publicar un servidor(virtualip)
adicionar un alias a la interface o virtual ip
ifconfig eth0:0 200.1.1.2 up
ifconfig eth0:1 200.1.1.3 up
....
iptables -t nat -A PREROUTING -p tcp -d 200.1.1.2 -j DNAT --to-destination 10.10.1.2
iptables -t nat -A PREROUTING -p tcp -d 200.1.1.3 -j DNAT --to-destination 10.10.1.3
....
Etiquetas:
extra basico,
ipsec,
linux,
pluto,
presharedkey,
vpn
Suscribirse a:
Entradas (Atom)