Configurar un servicio VPN de acceso remoto en un dispositivo Vyatta


Puede configurar un dispositivo Vyatta para que funcione como una puerta de enlace VPN de acceso remoto para que los clientes se puedan conectar a su infraestructura de forma segura en la nube de Rackspace.

Introducción

Este artículo muestra cómo configurar el dispositivo Vyatta para VPN de acceso remoto utilizando L2TP/IPsec con claves precompartidas para la autenticación.

Para obtener una guía completa sobre la configuración VPN en el Vyatta, presione aquí

Para obtener orientación sobre la configuración de las reglas de firewall pertinentes para permitir la VPN de acceso remoto en el Vyatta consulte el siguiente artículo:

Configuración de un firewall basado en interfaz en el dispositivo de red Vyatta

El acceso VPN utilizando L2TP/IPsec con clave precompartida funciona de la siguiente manera:

  1. El cliente remoto primero establece un túnel IPsec con el servidor VPN (Vyatta).
  2. Luego, el cliente L2TP y el servidor establecen un túnel L2TP sobre el túnel IPsec.
  3. Por último, se establece la sesión PPP sobre el túnel L2TP, es decir, los paquetes PPP se encapsulan y se envían/reciben dentro del túnel L2TP.

En la siguiente ilustración,el tráfico desde clientes con acceso remoto ingresa en la interfaz pública del dispositivo Vyatta. 192.168.100.0/24, es la subred asignada a los clientes cuando se establece la sesión VPN. La dirección externa X.X.X.X es la dirección de IP pública del Vyatta.

Configure la VPN con L2TP/IPsec en el dispositivo Vyatta

Paso 1. Configure el Vyatta como un servidor VPN L2TP/IPsec

En el siguiente ejemplo, eth0 es la interfaz pública habilitada para IPsec. La clave precompartida es "SUPERSECRET".

  1. Ingrese al dispositivo Vyatta usando ssh:
    ssh vyatta@X.X.X.X

    Donde X.X.X.X es la dirección de IP de la interfaz pública Vyatta. Verá un mensaje de bienvenida a Vyatta y una notificación para ingresar su contraseña.

    Una vez que haya accedido al dispositivo, puede ingresar un "?" o presionar la tecla Tab para obtener ayuda.

  2. Ingrese al modo de configuración:
    vyatta@vyatta: configure
    [edit]
    vyatta@vyatta#

    El símbolo # indica que está en modo de configuración.

  3. Defina la interfaz utilizada por IPsec; en este caso, la interfaz pública hablitada para IPsec es eth0:
    set vpn ipsec ipsec-interfaces interface eth0
  4. Habilite el recorrido de NAT permitiendo que los paquetes IPSec viajen por puntos de la NAT en la red:
    set vpn ipsec nat-traversal enable
  5. Establezca la subred IP del cliente remoto desde la cual se inició la conexión. Para permitir que los clientes se conecten desde cualquier lugar especifique 0.0.0.0/0 como la red permitida
    set vpn ipsec nat-networks allowed-network 0.0.0.0/0
  6. Confirme el cambio:
    vyatta@vyatta# commit
    
  7. Guarde el cambio:
    vyatta@vyatta# save
    Saving configuration to /config/config.boot
  8. Vea la configuración de IPsec:
    vyatta@vyatta# show vpn ipsec
    ipsec-interfaces {
    interface eth0
    }
    nat-networks {
    allowed-network 0.0.0.0/0 {
    }
    }
    nat-traversal enable

Paso 2. Configure la dirección de acceso remoto L2TP y el grupo de clientes

  1. Enlace el servidor L2TP a la dirección externa:
    set vpn l2tp remote-access outside-address X.X.X.X

    Donde X.X.X.X representa la interfaz eth0 de la dirección de IP del Vyatta.

  2. Establezca el grupo de direcciones de IP que los clientes remotos de VPN asumirán.
    set vpn l2tp remote-access client-ip-pool start 192.168.100.1

    Donde 192.168.100.10 representa la dirección de IP inicial para el grupo de clientes.

    set vpn l2tp remote-access client-ip-pool stop 192.168.100.100

    Donde 192.168.100.100 representa la dirección de IP final para el grupo de clientes.

Paso 3. Configure la clave de IPsec precompartida y la autenticación del usuario

  1. Configure el modo de autenticación de IPsec para la clave compartida:

    set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
  2. Establezca la clave precompartida:

    set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret SUPERSECRET
  3. Configure el modo de autenticación de acceso remoto del L2TP en local:

    set vpn l2tp remote-access authentication mode local

    Esto indica que la autenticación del usuario ocurre a nivel local en el dispositivo Vyatta.

  4. Configure el nombre de usuario y la contraseña del acceso remoto del L2TP:

    set vpn l2tp remote-access authentication local-users username test password test

    test y test representan el nombre de usuario y la contraseña del cliente.

  5. Confirme el cambio:
    vyatta@vyatta# commit
  6. Guarde el cambio:
    vyatta@vyatta# save 
    Saving configuration to /config/config.boot
  7. Vea la configuración del LT2P:
    vyatta@vyatta# show vpn l2tp remote-access
    authentication {
    local-users {
    username test {
    password test
    }
    }
    mode local
    }
    client-ip-pool {
    start 192.168.100.1
    stop 192.168.100.100
    }
    ipsec-settings {
    authentication {
    mode pre-shared-secret
    pre-shared-secret SUPERSECRET
    }
    }
    outside-address X.X.X.X

Esto completa la configuración de L2TP del dispositivo Vyatta. Si después quiere editar la configuración del acceso remoto L2TP, escriba remote-access mientras el dispositivo Vyatta está en modo edit .

vyatta@vyatta# edit vpn l2tp remote-access 
[edit vpn l2tp remote-access]
vyatta@vyatta# 

La siguiente sección describe cómo configurar las configuraciones VPN del cliente para los clientes de Mac y Windows.

Configuración para clientes de Mac

Para los clientes de Mac tendrá que configurar las siguientes opciones:

  • Preferencias de red
  • Detalles de conexión
  • Configuraciones de autenticación

Preferencias de red para clientes de Mac

Seleccione "System Preferences" en el menú de Apple, y luego presione en "Network".

Seleccione la red VPN (LT2P) del Vyatta y actualice las siguientes opciones:

Detalles de conexión para clientes de Mac

Configuraciones de autenticación para clientes de Mac

 

Configure el túnel de división en el Ipsec nativo del cliente de Mac

Si quiere que la conexión VPN se use solamente para acceder a sus servidores de nube y todo el resto del tráfico (tráfico de Internet) no utilice el túnel de IPsec, asegúrese de que el casillero "Send all traffic over VPN connection" de la pestaña "Options" no esté marcado.  

Después de habilitar el túnel de división de un cliente de MAC, es posible que necesite añadir una ruta estática para forzar todo el tráfico destinado a la red VPN a través de la interfaz PPP. Por ejemplo:

sudo /sbin/route add -net 192.168.x.0/24 -interface ppp0

Donde 192.168.x.0/24 es el CIDR de su red de nube.

 

La siguiente captura de pantalla muestra una conexión exitosa:

Configuración para clientes de Windows

Para configurar los clientes de Windows, actualice las siguientes opciones de red.

Establezca una conexión de red privada virtual (VPN)

 

Escriba la dirección de Internet a la que se quiere conectar

Escriba las credenciales de ingreso

Conéctese a la VPN

Configure las propiedades de la VPN del Vyatta

Configure la pestaña "VPN Properities General Configuration"

Configure la pestaña "VPN Security Settings"

Configure "Advanced Properties"

Configure el túnel de división en el Ipsec nativo del cliente de Windows

En un cliente de Windows, por defecto, después que se crea una configuración VPN, el cliente se configura en túnel completo (todo el tráfico fluye a través de la VPN). Si quiere configurar el cliente para túnel dividido (donde el tráfico de Internet no fluye a través de la VPN), puede modificar la configuración VPN del cliente de la siguiente manera:

  1. Seleccione "Start", "Control Panel", "Network Connections".
  2. Presione el ícono de la conexión VPN (Vyatta-L2TP) con el botón derecho del ratón, luego presione "Properties".
  3. Presione "Advanced". Desmarque la casilla "Use default gateway on remove network".
  4. Presione OK tres veces.

 

Vea la conexión del cliente

Haga lo siguiente para verificar la conexión del cliente:

Fíjese en "Network and Sharing Center" si el cliente está conectado a la VPN de Vyatta.

Ejecute el comando ipconfigen una ventana del símbolo del sistema para ver la dirección de IP del cliente.

Vea la configuración del dispositivo Vyatta:

vyatta@vyatta:~$ show vpn remote-access 
Active remote access VPN sessions:
User            Proto Iface     Tunnel IP       TX byte RX byte  Time 
----            ----- -----     ---------       ------- -------  ---- 
test            L2TP  l2tp0     192.168.100.1      1.0K    6.1K  00h01m26s 
 


¿Este contenido fue útil?




© 2011-2013 Rackspace US, Inc.

Excepto cuando se indique lo contrario, el contenido de este sitio está bajo una licencia Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License


Ver especificaciones de licencia y DESCARGO DE RESPONSABILIDAD