Red LAN con ip 192.168.x.0/24
Red DMZ con ip 10.10.x.0/24
Se utiliza un servidor como router, vpn, etc. para distribuir internet con las siguientes interfaces:
eth0 - WAN IP 200.x.x.x
eth1 - LAN IP 192.168.x.1
eth2 - DMZ IP 10.10.x.1
Por facilidad se usara "x" sera la local y "y" sera la remota, x=1 y=2
Se usara el nombre de la vpn como vpnxy. Es decir vpn12 y en el equipo remoto configurar al reves vpn21
El presharedkey o PSK sera una clave que conozcan ambos servidores, se usara "contrasenia", se recomienda que toda la malla de la vpn use el mismo psk y la misma encriptación, usaremos 3des - sha1 1024 bits
1.- DESHABILITAR REDIRECCIONES, editar el archivo /etc/sysctl.conf y buscar net.ipv4.ip_forward y ponerlo en valor 1 (ojo, descomentarlo primero quitando el numeral de la izquierda)
2.- Instalar OpenSwan:
apt-get install openswan
3.- Configuracion global del IPSEC, editar el archivo /etc/ipsec.conf y dejarlo como sigue:
version 2.0
config setup
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16
oe=off
include /etc/ipsec.d/*.conf
4.- Configuracion de las claves PSK, editar el archivo /etc/ipsec.secrets y dejarlo como sigue (aumentar filas para mas servidores):
include /var/lib/openswan/ipsec.secrets.inc
200.1.1.1 200.2.2.2 : PSK "contrasenia"
5.- Configurar la conexion de la vpn.- crear un archivo para cada vpn con su nombre en /etc/ipsec.d/vpn12.conf:
conn vpn12
authby=secret
auto=start
keyexchange=ike
esp=3des
compress=yes
left=200.1.1.1
leftsubnet=10.10.1.0/24
right=200.2.2.2
rightsubnet=10.10.2.0/24
6.- Iniciar y verificar el servicio:
service ipsec restart
ipsec verify
7.- Levantar la vpn:
ipsec auto --add vpn12
ipsec auto --up vpn12
8.- Configurar un gateway por defecto
route add default gw 200.1.1.1 eth0
9.- Verificar la reglas del firewall, de preferencia quitar todas las reglas
iptables -vnL -t nat
iptables -vnL
10.- Enmascaramiento para dar internet, evitando colision con la vpn
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 \! -d 10.10.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.0.0/16 \! -d 10.10.0.0/16 -j MASQUERADE
11.- Redireccion de la red interna a la vpn usando nat
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 10.10.2.0/28 -j SNAT --to 10.10.1.254
12.- Aceptar trafico puertos 500 y 50 para la encriptación del PSK
iptables -I INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -I OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -I INPUT -p 50 -j ACCEPT
iptables -I OUTPUT -p 50 -j ACCEPT
13.- Pruebas de conexion en un servidor local(10.10.1.2)
ping google.com #ping a internet
ping 10.10.2.2 #ping a un servidor remoto a traves de la VPN
14.- Pruebas de conexion en un equipo local(192.168.1.2)
ping google.com #ping a internet
ping 10.10.1.2 #ping a un servidor local en DMZ
ping 10.10.2.2 #ping a un servidor remoto a traves de la VPN
15.- Publicar un servidor(virtualip)
adicionar un alias a la interface o virtual ip
ifconfig eth0:0 200.1.1.2 up
ifconfig eth0:1 200.1.1.3 up
....
iptables -t nat -A PREROUTING -p tcp -d 200.1.1.2 -j DNAT --to-destination 10.10.1.2
iptables -t nat -A PREROUTING -p tcp -d 200.1.1.3 -j DNAT --to-destination 10.10.1.3
....
No hay comentarios:
Publicar un comentario