Académique Documents
Professionnel Documents
Culture Documents
NACIONAL
TECNOLOGICA DE LIMA SUR
Proyecto Final
Prueba real de enlace por VPN entre sedes para
comunicaciones VOIP ASTERISK
Alumnos:
Terrones Rabanal Marco Antonio
Quesquen Chilquillo Luis Denis
Curso
:
TRANSMISIN DE DATOS
Profesor:
Ing. Freddy Campos
Ciclo:
2015
VIII
Alumnos:
Terrones Rabanal, Marco Antonio.
Objetivos:
Poner en prctica los conocimientos de RUTEO, RISC, NATEO, ETC, generar enlaces
VPN entre dos sedes para tener acceso a la misma red de manera segura, poner en
prctica los conocimientos de configuracin de red y dems parmetros del SO LINUX
CENTOS 6, exponer los conocimientos de administracin y configuracin del software
ASTERISK en consola CLI y/o mediante SSH PUTTY.
Topologa:
Tecnologas:
Tecnologas de ruteo, Nat, tecnologa de tuneling VPN, Tecnologa de troncales SIP,
tecnologa de emulacin GNS3, etc.
EL PROBLEMA
Este proyecto de investigacin nace de la necesidad del ahorro en comunicaciones en las
grandes empresas y entidades del estado. Poniendo un ejemplo a la Superintendencia
Nacional de Fiscalizacin Tributaria, la cual tiene intendencias regionales a nivel nacional
en la cual los funcionarios y colaboradores se mantienen comunicados continuamente.
Para ello se debe emplear una solucin que tenga el menor costo mensual y menor
mantenimiento posible. Para las llamadas externas a SUNAFIL, hay que tener en cuenta
que en promedio se realizan unas 30 llamadas en entrantes y 30 llamadas salientes en
simultneo. Algunas de estas llamadas son a FIJOS, CELUAR CLARO, MOVISTAR,
ENTEL, etc. Todas las intendencias cuentan con conexin a internet de por lo menos 500
Kbps de upstream.
LA SOLUCIN PROPUESTA
Una nica central de comunicaciones en un punto fijo, e instalar anexos en cada
intendencia regional registrada a la central, la cual tendr una conexin totalmente segura
mediante enlace VPN. Las llamadas entre anexos a nivel nacional no tendrn ningn
costo, las llamadas salientes saldrn por una lnea primaria (2 lneas primarias para
llamadas entrantes y salientes).
La conexin VPN a travs de Internet es tcnicamente una unin wide area network (WAN)
entre los sitios pero al usuario le parece como si fuera un enlace privado de all la
designacin "virtual private network".
Tipos de VPN
VPN de acceso remoto
Es quizs el modelo ms usado actualmente, y consiste en usuarios o proveedores que se
conectan
con
la
empresa
desde
sitios
remotos
(oficinas
comerciales,
Tunneling
La tcnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo
de red encapsulador) creando un tnel dentro de una red de computadoras. El
establecimiento de dicho tnel se implementa incluyendo una PDU (unidades de datos de
protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un
extremo al otro del tnel sin que sea necesaria una interpretacin intermedia de
la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos
intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El tnel
queda definido por los puntos extremos y el protocolo de comunicacin empleado, que
entre otros, podra ser SSH.
El uso de esta tcnica persigue diferentes objetivos, dependiendo del problema que se
est tratando, como por ejemplo la comunicacin de islas en escenarios multicast, la
redireccin de trfico, etc.
Uno de los ejemplos ms claros de utilizacin de esta tcnica consiste en la redireccin de
trfico en escenarios IP Mvil. En escenarios de IP mvil, cuando un nodo-mvil no se
encuentra en su red base, necesita que su home-agent realice ciertas funciones en su
puesto, entre las que se encuentra la de capturar el trfico dirigido al nodo-mvil y
redirigirlo hacia l. Esa redireccin del trfico se realiza usando un mecanismo de
tunneling, ya que es necesario que los paquetes conserven su estructura y contenido
originales (direccin IP de origen y destino, puertos, etc.) cuando sean recibidos por el
nodo-mvil. Se maneja de manera remota.
del cifrado, haciendo posible que slo el personal de recursos humanos habilitado pueda
acceder a la informacin.
Otro ejemplo es la conexin a redes Wi-Fi haciendo uso de tneles cifrados IPSec o SSL
que adems de pasar por los mtodos de autenticacin tradicionales (WEP, WPA,
direcciones MAC, etc.) agregan las credenciales de seguridad del tnel VPN creado en la
LAN interna o externa.
wget O /etc/yum.repos.d/AL-Server.repo \
http://www.alcancelibre.org/al/server/AL-Server.repo
Procedimientos.
su l
cd /etc/openvpn/
NOTA: Todos los procedimientos necesarios para configurar un servidor con OpenVPN se
realizan sin salir de/etc/openvpn/. Por favor, evite cambiar de directorio hasta haber
finalizado los procedimientos descritos en este documento.
A fin de facilitar los procedimientos, se copiarn los archivos openssl1.0.0.cnf, whichopensslcnf, pkitool y vars que se localizan dentro del
directorio /usr/share/easy-rsa/ dentro del directorio /etc/openvpn/:
cp
cp
cp
cp
/usr/share/easy-rsa/openssl-1.0.0.cnf ./
/usr/share/easy-rsa/whichopensslcnf ./
/usr/share/easy-rsa/pkitool ./
/usr/share/easy-rsa/vars ./
vi /etc/openvpn/vars
De este archivo slo hay que editar las ltimas lneas, que corresponden a algo similar a lo
siguiente:
export
export
export
export
export
export
export
KEY_SIZE=1024
KEY_COUNTRY="US"
KEY_PROVINCE="CA"
KEY_CITY="SanFrancisco"
KEY_ORG="Fort-Funston"
KEY_EMAIL="me@myhost.mydomain"
KEY_EMAIL=mail@host.domain
export KEY_CN=changeme
export KEY_NAME=chanegme
export KEY_OU=changeme
Hay que establecer el certificado a 2048 bits para mayor seguridad, reemplazar los valores
predeterminados por los que se consideren pertinentes sin utilizar acentos o tildes y
eliminar la lnea repetida que define el correo electrnico predeterminado. Ejemplo:
export
export
export
export
export
export
export
export
export
KEY_SIZE=2048
KEY_COUNTRY="MX"
KEY_PROVINCE="DF"
KEY_CITY="Mexico"
KEY_ORG="Mi Empresa, S.A. de C.V."
KEY_EMAIL="fulanito@mi-dominio.com"
KEY_CN=servidor.mi-dominio.com
KEY_NAME=servidor
KEY_OU=Sistemas
Se requiere ejecutar del siguiente modo el archivo /etc/openvpn/vars a fin de que carguen
las variables de entorno que se acaban de configurar.
source /etc/openvpn/./vars
Cada vez que se vayan a generar nuevos certificados, debe ejecutarse el mandato anterior a
fin de que carguen las variables de entorno definidas.
Se ejecuta el archivo /usr/share/easy-rsa/clean-all a fin de limpiar cualquier firma digital
que accidentalmente estuviera presente.
sh /usr/share/easy-rsa/clean-all
sh /usr/share/easy-rsa/build-ca
Se crear el archivo dh2048.pem, el cual contendr las opciones del protocolo Diffie-Hellman,
de 2048 bits:
sh /usr/share/easy-rsa/build-dh
El protocolo Diffie-Hellman permite el intercambio secreto de claves entre dos partes que sin
que stas hayan tenido contacto previo, utilizando un canal inseguro y de manera annima
(sin autenticar). Se emplea generalmente como medio para acordar claves simtricas que
sern empleadas para el cifrado de una sesin, como es el caso de una conexin VPN.
Nota: Este paso puede demorar varios, pero varios minutos, paciencia.
Para generar la firma digital, se utilizan el siguiente mandato:
sh /usr/share/easy-rsa/build-key-server server
Finalmente se crean los certificados para los clientes. En el siguiente ejemplo se crean los
certificados para cliente1:
sh /usr/share/easy-rsa/build-key cliente1
A fin de utilizar los certificados y que se configure el sistema, se crea con el editor de texto
el archivo/etc/openvpn/server.conf:
vi /etc/openvpn/server.conf
Para la VPN se recomienda utilizar una red privada que sea poco usual, a fin de poder
permitir a los clientes conectarse sin conflictos de red. Un ejemplo de una red poco utilizada
sera 192.168.37.0/255.255.255.0, lo cual permitir conectarse a la VPN a 253 clientes.
Tomando en cuenta lo anterior, el contenido del archivo/etc/openvpn/server.conf debe ser el
siguiente:
10
Si SELinux est activo, es necesario que el directorio /etc/openvpn y sus contenidos tengan
los contextos apropiados de esta implementacin de seguridad. Ejecute restorecon con la
opcin -r y /etc/openvpn como argumento:
restorecon R /etc/openvpn/
touch /etc/openvpn/ipp.txt
touch /var/log/openvpn.log
11
Ejecute lo siguiente slo si utiliza CentOS 7 o Red Hat Enterprise Linux 7 o versiones
posteriores:
ln s /lib/Dystem/system/openvpn\@.service \
/etc/Dystem/system/multi-user.target.wants/openvpn\@server.service
Ejecute lo siguiente para aadir el servicio al arranque del sistema si utiliza CentOS 6 o Red
Hat Enterprise Linux 6:
chkconfig openvpn on
Ejecute lo siguiente para iniciar el servicio si utiliza CentOS 6 o Red Hat Enterprise Linux
6:
12
client
dev tun
proto udp
remote dominio-o-ip.del.servidor.vpn 1194
float
resolv-retry infinite
nobind
persist-key
persist-tun
#------ SECCION DE LLAVES -------ca "C:\\Archivos de Programa\\OpenVPN\\config\\ca.crt"
cert "C:\\Archivos de Programa\\OpenVPN\\config\\cliente1.crt"
key "C:\\Archivos de Programa\\OpenVPN\\config\\cliente1.key"
ns-cert-type server
#--------------------------------comp-lzo
verb 3
13