instalacion y administracion de servidor vpn.doc

Servidor Openvpn – Manual de Instalación, Configuración

1. INSTALACIÓN Y CONFIGURACIÓN DEL SISTEMA OPERATIVO

1.1 Instalación del Sistema Operativo

Insertar el medio de instalación (DVD-ROM) del sistema operativo OpenSUSE versión 11.4, arrancar el servidor y seleccionar “Installation”:

Fecha de Actualización: 11/09/2012 Versión: 1.0

Preparado por: Seguridad Perimetral. Página : 1 de 23


Seleccionar el idioma de instalación “Spanish – Español” y la distribución de teclado adecuada:

Seleccionar el modo de “Instalación Nueva” y marcar “Utilizar configuración automática”:




Seleccionar la zona horaria “Lima”:

Seleccionar la interfaz de usuario, marcar “Selección mínima servidor (modo texto)”:




Seleccionar la propuesta de particionado “Editar Configuración de particiones”:

Seleccionar añadir partición:




Seleccionar la Partición primaria”:

Colocamos 4 GB asignado para el SWAP”:




Seleccionamos sistema de archivos SWAP”:

Seleccionar añadir partición:




Colocamos 100 MB para el boot:

Seleccionamos Ext3 y en punto de montaje /boot:




Seleccionamos añadir partición:

Seleccionamos Tamaño máximo permitido:




Seleccionamos Ext3 y Punto de montaje / :

Seleccionamos aceptar :




adicionar ningún usuario:

Establecer la contraseña para el usuario “root”:




El instalador presentará el resumen de la configuración:

Seleccionamos cambiar y dentro de el “software”:




Nos vamos a parte final :

Seleccionamos lo siguiente como se muestra y aceptar:




El instalador requerirá la confirmación para continuar con el proceso de instalación, clic en instalar:

Proceso de instalación en ejecución:




Al finalizar el proceso de instalación, el servidor será reiniciado automáticamente:

Posterior al reinicio del sistema, YaST2 ejecutará la segunda etapa del proceso de instalación, configurando automáticamente algunos aspectos del sistema:




Finalizado el proceso de instalación, el sistema operativo mostrará la pantalla de inicio de sesión “login”:

1.2 Configuración de Interfaces de Red

Ejecutar el comando “yast”, para configurar las interfaces de red. Seleccionar “Network Devices” -> “Network Settings” y editar la primera interfaz de red “eth0” y “eth1”:




Configurar la interfaz “eth0” tal como se muestra a continuación:

En la pestaña “Hostname/DNS”, configurar el nombre del servidor y servidores DNS:




En el “Network Settings”, pestaña “Routing”, especificar la ruta por defecto:

Finalizar la configuración de red a través YaST, aplicando los cambios:

Resumen de las tarjetas de red




2. INSTALACIÓN Y CONFIGURACIÓN DE SERVICIOS

2.1 Instalación de Servicios

El servicio de VPN es gestionado con el software “openvpn”, el cual requiere ser instalado con la utilidad “yast” del sistema operativo OpenSuSE, a través del siguiente comando:

Nota: Yast se conectará a los repositorios de OpenSuSE, resolverá dependencias e instalará squid y los paquetes necesarios para su funcionamiento.

Configurar el inicio automático de squid y ssh.

# chkconfig - - level 35 openvpn on# chkconfig - - level 35 sshd on

Tenemos que bajar el Servicio de Firewall

# chkconfig --level 35 SuSEfirewall2_setup off# rcSuSEfirewall2 stop




Agregar “1” a forwarding, luego ingresar al archivo boot.local y :

root# echo 1 >> /proc/sys/net/ipv4/ip_forward

vi /etc/init.d/boot.local

Copiar los arcvhivos de conexión en la ruta /etc/openvpn :

-rw-r--r-- 1 root root 1208 Feb 24 2012 ca.crt-rw------- 1 root root 887 Feb 24 2012 ca.key-rw-r--r-- 1 root root 3524 Feb 24 2012 cliente-pj.conf-rw-r--r-- 1 root root 3510 Feb 24 2012 sjmbiometria.crt-rw-r--r-- 1 root root 668 Feb 24 2012 sjmbiometria.csr-rw------- 1 root root 887 Feb 24 2012 sjmbiometria.key

Reiniciar el servicio openvpn

rcopenvpn restart

3. TROUBLESHOOTING (SOLUCION DE CASOS FRECUENTES)

No hay VPN entre el cliente y la sede Central (Lima Sur)

a. Verificar espacio en disco (df -h)

b. Verificar que servicio openvpn se encuentre levantado (rcopenvpn status, y es dead o unused, levantar el servicio con rcopenvpn start)

c. Verificar el Log (cat /var/log/messages)

d. Verificar que haya Internet en el servidor (links WWW.GOOGLE.COM)

e. Usar comando ifconfig y verificar si hay tunel levantado

f. Verificar conexiones de cableado (Cable de Sppedy a tarjeta WAN, cable de red LAN de Switch a trajeta LAN de servidor OpenVPN)

g. Verificar que el servicio de red del servicio se encuentre levantado (rcnetwork status, si dice unused o dead, levantar con rcnetwork restart)



http://www.google.com/


h. Limpiar los archivos que se encuentran en la ruta /etc/openvpn y copiar los archivos de backup, reiniciar el servicio openvpn

i. Verificar que el archivo cliente .conf que se encuentra en la ruta /etc/openvpn haga mension a la direccion IP publica del VPN Server, y los nombres correctos de los archivo con extensión .crt y .key

j. Descartar fallas en servicio de Internet, colocando una Pc en el puerto de red del Modem Sppeedy, configurar valores TCP/IP, probar navegación, esto descartará problemas a niveld e servidor

Los clientes no llegan a hacer ping hacia la sede remota (Lima Sur)

k. Verificar que tengan la configuración correcta (TCP/IP), el Gateway deberá ser la dirección IP de la tarjeta de red del servicio VPN

l. Realizar un tracert desde el cliente hacia una ip destino y verificar donde se esta quedando la trama, esto ayudara a conocer el componente que se encuentra dificultando la comunicación

m. Coordinar con personal Residente Telefónica para conocer si en el router de Lima Sur, se encuentra inscrita la dirección de red de la red cliente

n. Ingresar al servidor y realizar un traceroute <dirección ip del servidor VPN destino>, para conocer donde se esta quedando los paquetes




4. GENERAR LLAVES EN SERVIDOR VPN PRINCIPAL (10.20.96.40)

Crear el archivo de configuración en la carpeta CCD con del nombre de la sede o cliente vpn

vpn:/etc/openvpn # cd /etc/openvpn/ccd/vpn:/etc/openvpn/ccd # lscomisaria-lsvmt fbeltran lurin1-ls lurin2-ls mpartes progreso temporalvpn:/etc/openvpn/ccd #

cp temporal temporal2

editar el archivo temporal 2 y asignar dirección del túnel y dirección de red asignada, en este paso se debe tener en cuenta llevar el registro de las sedes , el segmento de red y la dirección de túnel que ya existe, asignar una nueva dirección de túnel a fin de no tener problemas

vi /temporalifconfig-push 10.7.0.133 10.7.0.134iroute 10.20.8.0 255.255.255.0

Creando los archivos de conexión

cd /etc/openvpn/easy-rsa. ./vars#./build-key temporalVPN:/etc/openvpn/easy-rsa # . ./varsNOTE: when you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keysVPN:/etc/openvpn/easy-rsa # ./build-key temporalGenerating a 1024 bit RSA private key.......................++++++.....................++++++writing new private key to 'temporal.key'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [PE]:State or Province Name (full name) [LI]:Locality Name (eg, city) [LIMA]:Organization Name (eg, company) [PJ.GOB.PE]:Organizational Unit Name (eg, section) []:Common Name (eg, your name or your server's hostname) []:temporal




Email Address [[email protected]]:

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:Using configuration from /etc/openvpn/easy-rsa/openssl.cnfCheck that the request matches the signatureSignature okThe Subject's Distinguished Name is as followscountryName :PRINTABLE:'PE'stateOrProvinceName :PRINTABLE:'LI'localityName :PRINTABLE:'LIMA'organizationName :PRINTABLE:'PJ.GOB.PE'commonName :PRINTABLE:'temporal'emailAddress :IA5STRING:'[email protected]'Certificate is to be certified until Jan 18 00:42:03 2022 GMT (3650 days)Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]yWrite out database with 1 new entriesData Base UpdatedVPN:/etc/openvpn/easy-rsa #

Resumen de generación de archivos de conexión (Ubicarse en carpeta # easy-rsa)

. ./vars

./build-key temporalDar enter hasta llegar a la opcion: Common Name (eg, your name or your server's hostname) []:temporalDar “y” para que genere la llave

Extraer los archivos generados para enviarlos al usuario

vpn:/etc/openvpn/easy-rsa/keys cp temporal.* ca.* /home/llave

agregar el archivo client.conf a los demás archivos copiados en /home llave

Depositar los archivos en la nueva sede a conectar por medio de servicio openvpn

FIN



instalacion y administracion de servidor vpn.doc

Documents

proceso de instalacin

root root

instalacin de servicios

configuracin de red

usuario root

modo de instalacin nueva

medio de instalacin

configuracin de interfaces