jueves, 2 de junio de 2011

TUTORIAL VPN

CONFIGURACION VNP

INTEGRANTES:
JUAN ARISMENDI
MARIO CARREÑO
EDUARD GARCIA

CONFIGURACIÓN DEL SERVIDOR.
El procedimiento sería el siguiente:
Iremos a Inicio -> Mis sitios de red
Dentro de Mis sitios de red, seleccionamos Ver conexiones de red, y a continuación, Crear una conexión nueva


Se abrirá el asistente para conexión nueva e iremos siguiendo las indicaciones, pulsamos en Siguiente:
Seleccionamos la opción Configurar una conexión avanzada y pulsamos en Siguiente, para después elegir la opción Aceptar conexiones entrantes.
En esta pantalla que aparece a continuación, Dispositivos de conexiones entrantes, no debemos marcar ninguno y pulsar directamente en el botón Siguiente. Al hacerlo de este modo, aparecerá la pantalla para empezar a definir Conexión de red privada virtual (VPN) entrante.
Debemos ahora definir un usuario que tenga permisos de acceso a través de la VPN. Podemos elegir uno de los que ya tenemos configurado en el PC o bien crear otro exclusivo. Al crear uno nuevo (pulsar el botón Agregar...), nos pedirá que introduzcamos un nombre de usuario y le proporcionemos una contraseña. Esta contraseña será la que posteriormente nos solicite al realizar la conexión remota.
Una vez creado el usuario nuevo, lo seleccionamos para permitirle la conexión, pulsamos en Siguiente y pasamos a otra pantalla en la que nos muestra los protocolos que usará la conexión para permitir el acceso al cliente remoto. Lo dejamos como está y pulsamos en Siguiente para finalizar esta parte del proceso.
Con esto habremos creado la conexión nueva y habremos creado también un usuario con acceso a la VPN. Pulsamos en Finalizar.
Ahora volvemos a Conexiones de red para verificar que se ha creado la conexión. Aparecerá una nueva llamada Conexiones entrantes.
CONFIGURACIÓN DEL CLIENTE
Una vez que tengamos configurado el servidor de VPN en, por ejemplo, la oficina, debemos configurar el cliente en el lugar desde donde queramos acceder. Para ello debemos crear en el PC del sitio remoto una nueva conexión de red.
Vamos a Mis sitios de red -> Ver conexiones de red y elegimos la opción Crear una conexión nueva.
Volverá a abrirse el Asistente para nuevas conexiones. Pulsamos en Siguiente. Ahora elegimos Conectarse a la red de mi lugar de trabajo.
Dentro de las 2 opciones que aparecen, elegimos Conexión de red privada virtual y en la pantalla siguiente especificamos un nombre para que la identifique dentro de las conexiones de red que tengamos definidas. Pulsamos en Siguiente.

En el siguiente paso nos pedirá que introduzcamos el nombre de host o la dirección IP del servidor remoto. Que será la dirección del servidor que configuramos en la primera parte del documento. Pulsamos en Siguiente y en Finalizar.
La nueva conexión aparecerá ahora en Conexiones de Red, dentro del un nuevo grupo que se llama Red privada virtual. Para establecer la conexión, pulsamos 2 veces sobre ella con el botón izquierdo del ratón.
Se abrirá el diálogo de conexión, introduciremos nombre de usuario y contraseña.
Antes de realizar la primera conexión hay que hacer un pequeño ajuste en la configuración para que se pueda seguir navegando con normalidad mientras estemos conectados a la VPN. Para ello pulsamos en Propiedades. En la pestaña Funciones de red, seleccionamos el Protocolo Internet (TCP/IP) y pulsamos de nuevo en Propiedades.
Ahora vamos al apartado Opciones avanzadas y llegaremos a otra pantalla. Ahí debemos quitar la marca de la casilla Usar la puerta de enlace predeterminada en la red remota.

GESTIÓN DE PUERTOS O CONFIGURACIÓN DEL SOFTWARE DE SEGURIDAD.
Para establecer la comunicación VPN necesitamos que el ordenador servidor sea accesible por los puertos 1723 TCP y el protocolo GRE (o en su defecto el puerto 47 UDP).
Por tanto debemos configurar tanto el router como los servidores de seguridad o firewall que podamos tener instalados en el servidor para permitirlo. Cada router o firewall tendrá sus procedimientos propios, que no serán objeto del presente manual.
Una vez realizados estos pasos debería ser posible la conexión al equipo remoto. Al menos este equipo debería ser accesible. Para tener acceso a la red completa deberíamos realizar una configuración más completa del servidor, que trataremos en otro manual independiente.

CONFIGURAR EL ANCH DE BANDA DE UNA VPN
Tenemos una conexión con internet de 4Mbits y queremos que el ancho de banda dedicado a consulta de páginas web desede las IP comprendidas entre 192.168.5.100 hasta 192.168.5.199 sea de 1Mbits máximo.
1Mb/s = 128kB/s = 131072 B/s
4Mb/s = 512kB/s = 524288 B/s

delay_pools 1
delay_class 1 1
delay_parameters 1 131072/8192
acl lista src 192.168.5.100-192.168.5.199/32
delay_access 1 allow lista

Limitación de ancho de banda por red y host
Tenemos una conexión con internet de 4Mbits y queremos que el ancho de banda dedicado a consulta de páginas web desede las IP comprendidas entre 192.168.5.100 hasta 192.168.5.199 sea de 1Mbits máximo, de forma que cada una de las máquinas no pueda consumir más de 512Kbits/s.
Es como el ejemplo anterior, pero añadiendo restricciones adicionales a cada una de las máquinas, por lo que tendremos que elegir la clase 2:
delay_pools 1
delay_class 1 2
delay_parameters 1 131072/8192 65536/8192
acl lista src 192.168.5.100-192.168.5.199/32
delay_access 1 allow lista
Limitación de ancho de banda por servidor
Queremos limitar el ancho de banda a 4KB/s y que cada máquina consuma a lo sumo 2KB/s para todas las conexiones que se hagan a los servidores de banner cuyo nombre empieza por ad.
delay_pools 1
delay_class 1 2
delay_parameters 1 4096/4096 2048/2048
acl publicidad url_regex http://ad.*
delay_access 1 allow publicidad

Ancho de banda ilimitado para la red local.
Garantizar un ancho de banda ilimitado para los accesos a la red local.

delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
acl redlocal url_regex -i 192.168
delay_access 1 allow redlocal
Establecer privilegios de acceso.
Establecer privilegios en la red.
delay_pools 3
delay_class 1 1
delay_class 2 1
delay_class 3 1
delay_parameters 1 -1/-1
delay_parameters 2 131072/8192
delay_parameters 3 65536/8192
acl jefes src 192.168.5.1-192.168.5.50/32
acl subjefes src 192.168.5.51-192.168.5.99/32
acl resto src 0/0
delay_access 1 allow jefes
delay_access 2 allow subjefes
delay_access 3 allow resto
Establecer ancho de banda en franja horaria.
acl todos src 0/0
acl laboral time 08:30-16:30
delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow todos
delay_class 2 2
delay_parameters 2 131072/8192 65536/8192
delay_access 2 allow laboral
delay_access 2 deny !laboral
delay_access 2 allow todos
CONFIGURACIÓN DE LOS NAVAGADORES CLIENTES

Esta configuración exige que cada navegador esté configurado para utilizar el proxy. Pero claro, por una lado es un engorro tener que configurar uno a uno todos los equipos de la red y por otro, tenemos la posibilidad de que la configuración TCP/IP le da salida a través de una pasarela.
Si a pesar de todo queremos esta configuración, tendremos que decirle al navegador que utilice como proxy el equipo que alberga Squid y el puerto el 3128. El puerto se puede cambiar en el fichero de configuración. Otro puerto que se suele usar para proxy es el 8080, pero ¿para qué cambiarlo?
Proxy Transparente
Como queremos evitar tener que configurar los navegadores cliente y queremos evitar posibles puertas traseras de salida vamos a configurar un proxy transparente.
¿Qué es un proxy transparente? Es un proxy que no necesita ninguna configuración especial en los clientes. Se denomina transparente porque el cliente en realidad no sabe que lo está usando, es transparente para él.
Cómo configurar el proxy transparente, pues en primer lugar tenemos que configurar el cortafuegos para que reenvíe todas las peticiones que se hagan a un puerto 80 hacia el puerto 3128 que utiliza Squid. Es decir, capturamos todas las peticiones que se hagan a un servidor http y se las enviamos a Squid para que él se encarge del resto. 
Estas son las reglas de iptables. La primera para redrigir las peticiones al proxy la siguiente para rechazar el resto de los reenvíos.
Si queremos que las páginas web pasen por el proxy con squid que está en 192.168.5.254, pero el resto siga con acceso normal, pondríamos:

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.5.254:3128

Si el equipo con squid está en la misma pasarela entonces podemos poner:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Cuidado, de las opciones anteriores sólo debemos escoger una de ellas.
Si sólo queremos salida para visitar págias web, entonces pondremos:
Primero garantizamos el tráfico DNS:

iptables -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -m udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp -m udp --sport 53 -j ACCEPTE










Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)