Zeroshell HOWTO

The multifunctional OS created by

Fulvio.Ricciardi@zeroshell.net www.zeroshell.net

How to secure my private network ( Author: cristiancolombini@libero.it )

Cmo proteger mi red privada: Esta breve gua nos permitir configurar un firewall de red para nuestra red en menos de una hora. Zeroshell garantizar ourprivate red de ataques externos. Nuestra red privada est conectada a Internet a travs de un router.Here xDSL los pasos a seguir: Primera puesta en marcha e inicio de sesin preparar un disco particin donde almacenar nuestras configuraciones de almacenamiento de nuestra configuracin de los adaptadores de red de configuracin de navegacin en Internet Portal Cautivo de activacin de servicio DNS del servicio DHCP rutas estticas a redes remotas a servidores virtuales de Seguridad: control de las polticas por defecto

En Zeroshell podemos encontrar muchas otras caractersticas importantes para las redes ms complejas, lo cual es una solucin escalable para nuestra red.

Primera puesta en marcha e inicio de sesin: Despus de arrancar desde el CD, el sistema es accesible con un navegador en el http seguro: https: / / 192.168.0.75 La aceptacin de la conexin segura se nos pide usuario y contrasea para Entrar:

Utilice los siguientes: Usuario: admin Contrasea: zeroshell Ahora podemos usar la interfaz web para configurar nuestro servidor de seguridad.

Preparacin de una particin en el disco para almacenar nuestras configuraciones: Es tan importante para salvar a nuestros Zeroshell cambios que nos permite guardar en un archivo de configuracin. Se puede almacenar en un particin de un disco duro. No es necesario farmat las particiones existentes, podemos guardar nuestros archivos de configuracin en particiones existentes, tales como: ext3, ReiserFS, ext2 o FAT32. Para mi preferencia, prefiero crear una nueva particin ext3. As que optar por borrar cualquier particin existente en mi disco (todos los datos de este disco se perder). Usando el men SETUP (en el marco de la izquierda) elegir almacenamiento etiqueta (en el marco superior):

Se nos muestra los discos existentes. Seleccionamos las particiones existentes y eliminarlos:

Se nos pide confirmacin para su eliminacin. S Ahora tenemos un disco en blanco sin particiones. Estoy dispuesto a crear una sola particin.

Almacenamiento de nuestra configuracin: Una vez que el disco est listo para ser usado, podemos crear nuestro archivo de configuracin primero. Eligiendo la particin, haga clic derecho sobre la CREAR PP:

Introduzca una descripcin corta para el archivo de configuracin; nombre completo de nuestro sistema, Kerberos y LDAP; elegir una contrasea nueva para el usuario "admin"; direccin IP de la interfaz que se utiliza para configurar el sistema, puerta de enlace predeterminada para las redes de acceso externo (para acceso a Internet). Esta configuracin se utiliza cada vez el sistema se inicia. Podemos optar por crear configuracin diferente de varios los archivos que se active (Activar) para el inicio por defecto del sistema. Con BACKUP botn podemos crear una copia de el archivo de configuracin, seleccione en el PC que estamos utilizando para navegar por la pgina principal Zeroshell administrativa.

Los adaptadores de red de configuracin: Una vez preparado el disco y crea el primer archivo de configuracin podemos configurar la direccin IP del adaptador de red, por el haciendo clic en CONFIGURACIN DE RED etiqueta nad:

Normalmente ETH00 es el adaptador de red interno (interfaz segura del servidor de seguridad) y ETH01 es el externo que comunicarse con router.Using xDSL Aadir botones de IP que puede configurar las direcciones IP estticas para estas interfaces. He elegido para la interfaz interna 192.168.0.75 (ETH00) y 192.168.1.1 para el externo (ETH01), ahora me puse gatewayusing defecto botn DEFAULT GW. Mi puerta de enlace es 192.168.1.254, ahora puedo comprobar las rutas de la esttica en Men del router:


Internet Es es entender que este thopology red es muy escalable por Zeroshell, ahora podemos empezar a crear polticas para nuestra red interna (192.168.0.0/24), o podemos usuario de portal cautivo para crear usuario y contrasea para los usuarios internos que quiere usar el navegador de Internet, podemos crear el servidor virtual para compartir nuestros servicios con las redes externas, etc

Navegacin por Internet: Para que los clientes internos el uso de conexin a Internet, debemos activar Network Address Translation (NAT) para protegerlos. Usando el men router, haga clic en la etiqueta de NAT y ETH00 conjunto que se traduce por ETH01:

Ahora podemos usar la conexin a Internet en nuestros clientes.

La activacin del portal cautivo: Caractersticas Thi til pongamos los usuarios de Internet y una contrasea para la conexin a Internet de filtro externo (). De esta manera, un usuario en de la red interna debe autenticarse contra Zeroshell antes de abrir las conexiones a Internet (para la navegacin web, correo dowload, etc ...) Antes de activar Portal Cautivo debemos crear los usuarios en los usuarios, etiqueta aadir, llenar los campos como a continuacin:

Nombre de usuario contiene el nombre del usuario para la autenticacin. Una vez creados los usuarios, el cautivo, haga clic en el men PORTAL; establecer un marcador en GW, elija Modo ruteado e internos adaptador de Ethernet en proceso de autenticacin que va a suceder (en nuestro ETH00 la IP del cliente es la puerta de entrada Def ault).

Activar autenticacin:

Ahora podemos cerrar nuestro navegador y vuelva a abrirlo, nos pedir autenticarse. A continuacin he personalizado mi pgina de autenticacin:

Uso de correst de usuario y contrasea:

podemos ver esta ventana emergente: podemos utilizar los recursos de Internet hasta que esta pgina est abierta. Usted puede personalizar esta pgina con la etiqueta autenticacin con un script HTML:

En tag GATEWAY puedes ver conectados usuarios y usted puede drop 'dobladillo si necesario utilizando botn DISCONNECT:

Servicio DNS: Lneas Inicio xDSL uso externo DNS servidores para resolver nombres Internet. A veces, estos servidores DNS externos se han reducido o no funciona por alguna razn; Zeroshell puede ser tambin un servidor DNS! Es muy fcil de usar: haga clic en DNS a la izquierda .. voz y ACTIVAR bandera:

Hecho! ... Ahora puede configurar su cliente en esta forma (192.168.0.75 es Zeroshell ..):

El servicio DHCP: Zeroshell puede ser tambin un servidor DHCP, de esta manera los clientes de nuestra red interna no necesita direccionamiento de IP esttico

Elija DHCP:

crear nuevas y elegir el interfaz de red donde Zeroshell distribuir las direcciones IP:

y as:

Ahora debemos elegir el rango de direcciones IP disponibles para ser distribuidos:

y guardar. Zeroshell es tambin nuestra puerta de enlace predeterminada y servidor DNS! Nuestra configuracin de red del cliente:

unos segundos y se puede comprobar que:

C: \ Documents and Settings \ Administrador> ipconfig / all Configurazione di IP de Windows Nombre de acogida. . . . . . . . . . . . . . : PIZZA Sufijo DNS primario. . . . . . . : Tipo de nodo. . . . . . . . . : Sconosciuto Abilitato de enrutamiento IP. . . . . . . . . : No Proxy WINS abilitato. . . . . . . . : No Scheda Ethernet rete connessione alla local (LAN): Sufijo DNS specifico per connessione: Descrizione. . . . . . . . . . . . . : 3Com 3C920B-EMB rpido integrado Ethernet Indirizzo fisico. . . . . . . . . . . : 00-26-54-0B-31-CA Abilitato DHCP. . . . . . . . . . . . : S Configurazione automatica abilitata: S Indirizzo IP. . . . . . . . . . . . . : 192.168.0.25 Mscara de subred. . . . . . . . . . . . . : 255.255.255.0 Predefinito Gateway. . . . . . . . . : 192.168.0.75 Servidor DHCP. . . . . . . . . . . . . : 192.168.0.75 Servidor DNS. . . . . . . . . . . . . : 192.168.0.75 Ottenuto Lease. . . . . . . . . . . . : Venerd 20 ottobre 2006 10.41.59 Arrendamiento Scadenza. . . . . . . . . . . : Venerd 20 ottobre 2006 18.41.59

Las rutas estticas a las redes remotas: Si tenemos alguna redes remotas conectadas a travs de un router, podemos establecer rutas estticas. Por ejemplo, si tenemos que llegar a la red remota: 192.168.50.0/24 a travs del router 192.168.0.254, podemos hacer esto usando ROUTER y ADD:

"Metric" es el costo, la prioridad que debe seguir si hay muchas rutas diferentes para la red de un mismo destino.

Podemos activar tambin RIP v2 protocolo. Se utiliza para que los routers ms dinmica existente infromations compartir acerca de redes remotas conocidas.

Servidores Virtuales: Es posible compartir los servicios de red interna con la red externa (Internet). Podemos, por ejemplo, optar por publicar un sitio web. Router mediante, elija SERVIDOR VIRTUAL:

Tenemos que escoger la interfaz, el protocolo y el puerto de escucha para este servicio en el sistema de Zeroshell. Entonces, debemos establecer Dnde est el servicio en nuestra red segura: 192.168.0.100. Es el servidor web de publicacin de nuestra pgina web en el puerto 80 TCP.

Debemos estar seguros de que no ha router xDSL NAT activado. Si NAT est habilitado tenemos que estar seguros de que las solicitudes en el puerto 80 TCP llegar Zeroshell ETH01. Por ejemplo, en mi router 3com he puesto que cada tipo de solicitud de Internet debe llegar a mi Zeroshell interfaz externa:

Seguridad: control de las polticas por defecto Utilizas el cortafuegos podemos comprobar las polticas de red por defecto en nuestro servidor de seguridad. Elija cadena de salida y haga clic en Ver:

Estas son las polticas de salida:

Elige ahora cadena INPUT, y haga clic en Ver, estas son las polticas por defecto de entrada:

Web Proxy transparente con antivirus y chequeo de lista negra de Urls

NOTA: la versin 1.0.beta9 de Zeroshell tiene algunos errores en el mdulo de Proxy, por lo cual se necesita instalar el parche A500.

El propsito de este documento es describir la creacin de un Proxy Web con un chequeo de antivirus de pginas Web y las listas negras y blancas. El documento se divide en las siguientes secciones: Por qu usar un Proxy Web con un chequeo de antivirus? Modo de Proxy transparente Configuracin y activacin del servicio de Proxy o Registro de acceso y privacy o Antivirus de verificacin de las imgenes o La actualizacin automtica de las firmas ClamAV Pgina Web de listas negras y listas blancas Pruebas de Proxy y funcin antivirus

Por qu usar un Proxy Web con un chequeo de antivirus?

Las pginas Web son cada vez ms los medios mas frecuentes por los que los gusanos y los virus se propagan en la Internet. Ya sea intencionalmente o porque son vulnerables y por lo tanto modificables sin el conocimiento de los autores legtimos, las paginas Web a veces tienen referencias de cdigo ejecutable que puede infectar las computadoras de los usuarios. Adems, la situacin ha empeorado desde que una serie de vulnerabilidades en el sistema de visualizacin de las imgenes ha permitido a los virus portarse dentro de

archivos JPEG. ltimamente, el creciente uso de los applets de Java est aumentando el nmero de virus multiplataforma que se propagan a travs de HTTP y su funcionamiento es independiente de la plataforma (PC, ordenador de bolsillo, telfono mvil) o del sistema operativo en que trabajan. La mejor solucin para este tipo de problema es proporcionar a todos los dispositivos cliente que se conectan a Internet con un buen programa antivirus con proteccin en tiempo real, comprobando todos los archivos de entrada. Sin embargo, esto puede no ser suficiente por dos razones: ningn programa antivirus, incluso los que s tienen firma de mecanismos de actualizacin, puede proporcionar una garanta del 100% contra todos los virus; la verificacin en tiempo real del contenido entrante es bastante pesada en trminos de clculo y en particular en los dispositivos cuyo funcionamiento no es demasiado bueno, puede ralentizar el sistema hasta el punto de hacer que los usuarios deshabiliten la proteccin en tiempo real del antivirus. Por estas razones, el chequeo de virus se realiza cada vez mas en capas superiores, antes que virus potenciales puedan llegar los usuarios. En otras palabras, los sistemas centralizados de antivirus se utilizan en los servidores que ofrecen un servicio en particular. El ejemplo ms extendido es el de los servidores de correo electrnico, que tienen un sistema que analiza los mensajes entrantes y salientes a travs de SMTP y analizan los archivos adjuntos en busca de virus. En este caso, la aplicacin de verificacin de antivirus en una puerta de enlace SMTP es muy natural, ya que los correos electrnicos estn obligados a pasar por ella, antes de llegar al buzn del usuario. Para el servicio HTTP, esto no es tan insignificante, ya que un cliente potencial de Internet se puede conectar directamente a cualquiera de los servidores Web disponibles en Internet. La solucin a este problema consiste en la introduccin de un nivel de aplicacin de puerta de enlace a la red local para recoger las peticiones HTTP de clientes y los remitir a los servidores Web pertinentes. Este aplicacin de puerta de enlace se denomina Proxy Web y ya que es capaz de interpretar el protocolo HTTP, no slo filtra sobre la base de las URL sino que tambin puede controlar el contenido transportado (HTML, JavaScript, Java Applet, imgenes,...) y los explora en busca de virus. Una de las

funciones ms comunes de los Proxy hasta el momento han sido las cachs Web, es decir, archivos almacenados de las pginas Web que ya han sido visitadas, con el fin de acelerar la visualizacin de las mismas URL para las solicitudes posteriores. El objetivo de esto es tambin reducir el consumo de ancho de banda en Internet y uno de los ms conocidos Proxy, capaz de realizar funciones de Web Cache es Squid, distribuido con licencia Open Source. Zeroshell no se integra con Squid, ya que no recoge las pginas Web. La tarea de un programa de antivirus centrada en la red y el filtrado de contenidos, utilizando las listas negras de URL, es manejado por HAVP como sistema de representacin y ClamAV como antivirus. Ambos se distribuyen bajo licencia GPL.

Modo de Proxy transparente

Uno de los mayores problemas cuando se utiliza un servidor Proxy es la de la configuracin de todos los navegadores Web para usarlo. Por tanto, es necesario especificar su direccin IP o nombre de Host y el puerto TCP en el que responde (por lo general el puerto 8080). Esto podra ser una carga en el caso de redes de rea local con numerosos usuarios, pero peor an, no se podra garantizar que los usuarios no eliminen esta configuracin para obtener acceso directo a la Web, evitando as la verificacin de antivirus, el registro de acceso y listas negras. Para resolver este problema, Zeroshell utiliza el modo de Proxy transparente que implica automticamente la captura de las solicitudes de cliente en el puerto TCP 80. Obviamente, para Zeroshell poder captar estas peticiones Web, debe ser configurado como un Gateway de la red, de modo que el trfico de Internet de los cliente pase a travs de ella. Zeroshell automticamente captura las peticiones HTTP si se trata de un nivel 2 de puerta de enlace (puente entre Ethernet, WiFi o la interfaz VPN) o de la capa 3 de puerta de enlace (enrutador). Sin embargo, es importante especificar las interfaces de red IP o subredes a las que las solicitudes deben ser redirigidas. Esto se hace mediante la adicin de las llamadas HTTP Capturing Rules (Reglas de Capturas de HTTP), como se muestra en la siguiente figura:

Figure 1 Configuracin de las reglas de capturas Http.

En el ejemplo de la figura, se recogen las peticiones HTTP de ETH00 y las interfaces de red ETH03. Quedan excluidas de estas peticiones las dirigidas a los servidores Web que pertenecen a la subred 172.16.0.0/16 IP y los de los clientes con la direccin IP 192.168.0.1. Puede haber varias razones por las que es necesario excluir la intervencin del Proxy transparente en algunos clientes y otros servidores Web. Por ejemplo, un servidor Web puede restringir el acceso slo a los clientes con una direccin IP determinada en su ACL. En este caso, si las solicitudes de Proxy capturado en el servidor anterior, se llegara a travs de su IP y esto le impedir el acceso. Por otra parte, no sera posible autorizar la direccin IP del Proxy en las ACL del servidor Web, ya que esto significara que permite el acceso indiscriminado a todos los clientes mediante el Proxy. Es claro, entonces, que la nica solucin es evitar la captura de las solicitudes por el Proxy transparente.

Por ltimo, tenga en cuenta que las reglas de IPTABLES para redirigir hacia el servicio de Proxy (8080 TCP) se sitan en niveles inferiores de los que intervienen en el Captive Portal. Gracias a esto, el Captive Portal y el Proxy transparente pueden ser activados de manera simultnea en la misma interfaz de red.

Configuracin y activacin del servicio de Proxy

Como se ilustra en la figura siguiente, la configuracin de Proxy con el servicio de verificacin de antivirus es muy simple. Despus de configurar el cuadro de Zeroshell para actuar como un router y despus configurarlo en los clientes como la puerta de enlace predeterminada, o configurarlo como un puente, e interponerla en un punto de la LAN donde el trafico fluye hacia y desde Internet, simplemente habilite la bandera [Enabled] para que el Proxy puede empezar a trabajar. Como se menciona en el prrafo anterior, las peticiones Web que en realidad son interceptadas y sometidas a la representacin son especificadas a travs de la configuracin de [HTTP Capturing Rules].

Figure 2 Configuracin Proxy de las interfaces Web.

Tenga en cuenta que la puesta en marcha del servicio de Proxy es muy lenta en comparacin con otros servicios, y en un hardware que no es muy rpido puede tardar hasta 30-40 segundos. Esto se debe a la necesidad de las bibliotecas de antivirus ClamAV de cargarse y descifrar un gran nmero de firmas de virus en su memoria. Para evitar el bloqueo de la interfaz de configuracin Web y puesta en marcha de las secuencias de comandos para los intervalos de tiempo, el servicio se inicia de forma asincrnica. Por lo tanto, cuando el Proxy est activado o configurado de nuevo, el tem correspondiente a estado (Status) no se muestra como Activo (verde) de inmediato, pero pasa primero por el estado inicial (naranja) que muestra que el servicio est cargando las firmas. Para saber cundo comienza realmente la ejecucin del Proxy, haga clic en [Administrar] para volver a cargar la pgina de configuracin, o simplemente haga clic en [Registros del

Proxy] para ver el mensaje de inicio del havp daemon. Durante el perodo de arranque del demonio havp, las reglas de IPTABLES para la captura de peticiones HTTP son retiradas temporalmente, permitiendo el trfico de Internet fluya con regularidad, pero sin que se analice en busca de virus. Algunos elementos de configuracin se analizan con ms detalle en los prrafos siguientes.

Registro de acceso y privacy

Para ser una aplicacin Gateway capaz de interpretar las peticiones HTTP, con el fin de que funcione correctamente, un Proxy Web descifra las URL visitadas por los usuarios. De forma predeterminada, Zeroshell no enva esta informacin a los registros del sistema, que, si se asocia con la direccin IP de los clientes que solicitan las pginas Web, puede ayudar a determinar el contenido visitado de los usuarios. Sin embargo, el registro de esta informacin puede ser activado mediante la modificacin del tem [Registro de acceso] (Access Logging) a partir de "Only URL containing Virus" a "Any Access". De esta manera, todas las URL visitadas se registran en el registro de asociados con la direccin IP del cliente. Es necesario, antes de habilitar esta opcin, consultar la legislacin local en su pas para verificar que el registro de las direcciones URL visitadas no est en contra de las leyes de privacidad nacional. Adems, es importante tener en cuenta que, tal como permite el NAT en un router de acceso a Internet, cada solicitud de cliente externo es hecha por el propio router, en las misma manera en que las peticiones pasan a travs de un Proxy aparecen con la direccin IP del el servidor Proxy. Esto puede causar dificultades en el rastreo de la identidad de un usuario que ha llevado a cabo acciones ilcitas en servidores remotos. Una posible solucin a este problema, que es menos invasiva en trminos de privacidad, es activar el registro de la conexin de seguimiento (desde la interfaz Web Zeroshell [Firewall] [Connection Tracking]). De esta manera, cualquier conexin TCP / UDP se registran en los registros que muestra la direccin IP de origen, puerto de origen, IP de destino y puerto de destino. Por lo tanto, no ser posible rastrear el contenido de la actividad del

usuario, pero quedar un rastro de las conexiones realizadas. Una vez ms, en este caso es necesario consultar la legislacin local antes de habilitar el seguimiento de la conexin.

Antivirus de verificacin de las imgenes

Durante mucho tiempo se pens que un archivo que contiene una imagen JPEG o GIF no puede contener un virus, porque esta simplemente compuesto de datos formateados en un formato preestablecido, interpretables por el sistema de visin del sistema operativo. Sin embargo, recientemente algunos componentes de la imagen de representacin han demostrado que son vulnerables si no son actualizados con parches. Una imagen de construccin adecuada podra crear un desbordamiento de bfer y ejecutar cdigo arbitrario en el sistema. Es fcil comprender la gravedad de esta, dado que el contenido de la mayora de hipertexto de la WWW es en forma de imagen. El Proxy HAVP configurado en Zeroshell, por defecto escanea las imgenes utilizando el programa antivirus ClamAV. Sin embargo, en un hardware lento, la digitalizacin de las imgenes podra retrasar la apertura de pginas Web con muchas imgenes. En este caso es posible deshabilitar la opcin de escaneo de archivos que contienen imgenes, estableciendo las imgenes de cheques [(jpg, gif, png)] de "Enabled" a "Disabled"

La actualizacin automtica de las firmas ClamAV

La velocidad con que los virus nuevos se colocan en la Internet y se identifica, significa que las firmas antivirus se incrementan y se modifican con frecuencia. La base de datos de ClamAV no es la excepcin, que, gracias al demonio freshclam, puede ser actualizada en lnea a intervalos regulares. Zeroshell freshclam configura de forma predeterminada para comprobar la base de datos de la firma 12 veces al da. Este intervalo se puede ajustar con el parmetro [Nmero de controles por da] (Number of Checks per Day), desde un mnimo de 1 a un mximo de 48 chequeos por da. Tambin es importante establecer el [Pas del Espejo] (Country of the Mirror) de manera correcta, a travs del cual freshclam elige el sitio ms cercano desde el que descargar las firmas de virus. Tenga en cuenta, sin embargo, que la actualizacin peridica es una operacin rpida, que no genera mucho trfico, ya que se utiliza un sistema de actualizacin diferencial.

Pgina Web de listas negras y listas blancas

A menudo es necesario bloquear una serie de sitios Web, ya que su contenido no se considera adecuado para los usuarios del servicio Web. Un ejemplo son los materiales slo para adultos, que no debe mostrarse en las computadoras en la que los nios tienen acceso. Una solucin muy eficaz para este problema es forzando a los clientes Web acceder a Internet a travs de un Proxy, que, a travs de programas de filtrado de contenido, tales como DansGuardian, examina el contenido de las pginas HTML de bloqueo que se cree que pertenece a una categora no deseada. Los mecanismos de estos filtros pueden ser comparados con los de los sistemas de antispamming. Lamentablemente, sin embargo, no est claro si el permiso de liberacin DansGuardian es compatible para la integracin en un sistema como el Zeroshell y, por tanto, no se utilizan para evitar el riesgo de violacin de la licencia. Por el momento, la nica manera de bloquear o permitir la visualizacin de pginas Web es la lista negra y lista blanca de pginas Web como se muestra en la figura.

Figure 3 Configuracin de las lista negras en el Proxy Web.

Las listas negras y listas blancas consisten en una secuencia de Urls dispuestas en lneas distintas. Cada lnea puede corresponder a varias pginas Web cuando se utiliza el carcter *. Para bloquear el sitio http://www.example.com se sita www.example.com/ * en la lista negra, mientras que una lnea como www.example.com, sin el *, slo bloquear la pgina principal de ese sitio. La lista blanca tiene prioridad sobre la lista negra. En otras palabras, si una pgina Web corresponde a un elemento de la lista negra y, al mismo tiempo, se encuentra en la lista blanca, se permite el acceso a la pgina. Adems, tenga en cuenta que el propsito de la lista blanca no es slo permitir el acceso a pginas que de otro modo estara prohibido por la lista negra, sino tambin para comprobar la derivacin de antivirus. Por favor tome nota de esto. Si el administrador de la LAN quiere adoptar la poltica de proporcionar acceso a un

nmero limitado de sitios, s / se puede especificar el * / * Lnea en la lista negra, lo que impedir el acceso a todas las pginas, excepto los incluidos en la lista blanca.

Pruebas de Proxy y funcin antivirus

Existen bsicamente dos razones por las que el Proxy no funcione correctamente. En primer lugar, es necesario asegurar que el cuadro de Zeroshell est configurado como un enrutador o un puente, y tambin que el trfico hacia y desde Internet pasa a travs de este. En segundo lugar, usted debe estar seguro de la correcta configuracin de la [HTTP Capturing Rules], que determinan que las solicitudes HTTP son en realidad redirigido hacia el proceso de Proxy (havp escucha en 127.0.0.1:8080). En particular, si la captura de peticiones http se impone en una interfaz de red que forma parte de un puente, tiene que estar seguro de que al menos una direccin IP ha sido definida en el segundo. La forma ms sencilla de comprobar si el Proxy funciona correctamente es habilitar temporalmente el registro de todos los accesos y mostrar el registro del Proxy, previa solicitud de las pginas Web de un cliente. Una vez seguro de que el Proxy Web captura las solicitudes como se espera, verifique que el software de antivirus ClamAV este funcionando correctamente. Para ello, debe comprobar por primera vez en los registros freshclam que las firmas se actualizan regularmente. Luego, vaya a la URL http://www.eicar.org/anti_virus_test_file.htm para comprobar si el EICAR-AV-Test virus de prueba (que se dice ser inocente por los autores) es capturado y bloqueado. Por ltimo, tenga en cuenta que el Proxy no puede servir a las peticiones HTTPS (HTTP encriptada con SSL / TLS), dado que al no tener la clave privada del servidor Web, no se puede descifrar el contenido y la URL de esta peticin es encapsulada en los tneles de cifrado.

1:1 NAT in ZeroShell

Requirements
The version of ZeroShell used for writing this document is Release 1.0.beta11. This document does not describe installing ZeroShell, it is assumed that the user already has a configured, secured, tested, and working installation of ZeroShell.

Overview
This document will walk through configuring ZeroShell as a router with 1:1 NAT for servers inside the Local Area Network (LAN) and Many:1 NAT/Masquerading for all other clients on the LAN. The LAN servers will be connected to ETH02, the other LAN clients will be connected to ETH00, and the Wide Area Network (WAN) will be connected to ETH01. Note that there is no restriction that the servers have to be on a separate interface; they could be connected with the other LAN clients on ETH00 just as easily.

This example assumes that multiple public IP addresses are available on the WAN. One IP address will be used by ZeroShell and the Many:1 NAT for regular clients on the LAN. The rest of the IP addresses will also be used by ZeroShell, but translated for the 1:1 NAT for the servers. The servers are configured with private IP addresses. In this example, the public IP addresses are assigned from the 216.0.0.129 network with a subnet mask of 255.255.255.240. The default gateway to the Internet is located at IP address 216.0.0.129. The LAN clients will use private addresses from 192.168.0.1 onward. The servers will use private addresses from 192.168.1.1 onward.

Network Setup
Log into the ZeroShell web interface, and click "Setup" under "System" from the menu on the left. Then, click the "Network" tab. ETH00 will be used for our LAN clients, and ZeroShell will have an IP address of 192.168.0.1. To configure this, click the "Add IP" button and fill in "192.168.0.1" for the IP and "255.255.255.0" for the Netmask.

ETH01 will be used for the WAN connection. ZeroShell's "Primary" IP will be 216.0.0.130 with mask 255.255.255.240. For 1:1 NAT, we'll use the IP addresses from 216.0.0.135 through 216.0.0.137. Add the IP addresses the same way as before. ETH02 will be used for the servers. In order for route traffic to/from this interface, ZeroShell must be configured with an IP on this subnet. Add the IP address "192.168.1.1" with subnet mask 255.255.255.0 here. When finished, the Network Setup should looks similar to the following:

The final network setup step is to configure the Default Gateway by clicking the "GATEWAY" button at the top and entering the WAN router's IP address of 216.0.0.129.

1:1 NAT Setup

Under the Setup menu under "System", click the "Startup/Cron" tab. Then select the "NAT and Virtual Servers" script. For 1:1 NAT to work properly, we must add two rules by using the Linux "iptables" command. The first set of rules will translate inbound connections from the WAN to the private IP addresses of the servers before sending the packets for routing. The second set of rules will translate the outbound traffic from the private IP addresses of the servers back to their respective public WAN IP addresses. Failure to add the second set of rules will cause ZeroShell to send all outbound traffic from the "primary" public IP address of 216.0.0.130 later when Many:1 NAT is configured. For this example, we will translate the IP addresses according to the following table: Public (WAN) IP Private (LAN) IP 216.0.0.135 216.0.0.136 192.168.1.35 192.168.1.36

216.0.0.137 192.168.1.37 To do this, input the following into the script: # Translate incoming connections to the private server addresses iptables -t nat -I PREROUTING 1 -d 216.0.0.135 -i ETH01 -j DNAT --todestination 192.168.1.35

iptables -t destination iptables -t destination

nat -I PREROUTING 1 -d 216.0.0.136 -i ETH01 -j DNAT --to192.168.1.36 nat -I PREROUTING 1 -d 216.0.0.137 -i ETH01 -j DNAT --to192.168.1.37 from the private server addresses -s 192.168.1.35 -o ETH01 -j SNAT --to-s 192.168.1.36 -o ETH01 -j SNAT --to-s 192.168.1.37 -o ETH01 -j SNAT --to-

# Translate outgoing connections iptables -t nat -I POSTROUTING 1 source 216.0.0.135 iptables -t nat -I POSTROUTING 1 source 216.0.0.136 iptables -t nat -I POSTROUTING 1 source 216.0.0.137

When finished, click the "Test" button to ensure no errors were made. Then select the box to enable the script and then click "Save" to close the script editor. Note that the -I (Insert) option was used rather than -A (Add) to insert the rule at the beginning of the table. This is necessary since this script is run after ZeroShell has configured its own rules. Failure to insert these rules at the beginning of the table would result in ZeroShell's own masquerading rules to take precedence over the 1:1 NAT configuration.

Many:1 NAT Setup

Under the "NETWORK" section on the left menu, click "Router". Click on the "NAT" tab to open up the Network Address Translation window. This window is used to configure which network interfaces will have all outgoing traffic NAT'ed/masqueraded. In this example, select "ETH01" from the available interfaces and click ">>>" to add it to the NAT Enabled Interfaces. Then click the Save button.

Firewall Setup
Now that the network address translation and router is configured, the firewall should be configured to help secure the network. The Firewall rules in ZeroShell can be very advanced, so only a simple configuration is shown here. Note that this sample configuration has not been production tested to ensure proper security. Also note that making errors on the firewall rules could result in being locked out of the ZeroShell web interface.

First, we want to configure access to the ZeroShell router itself to only be allowed from the LAN. Under "SECURITY", click "Firewall". Select the "INPUT" chain. Click "Add" and set the Input to "ETH00", changing nothing else, and click Confirm. This rule will permit all traffic from the ETH00 LAN to anywhere on the box. Next, click "Add" and set the Input to "ETH02" and click Confirm. This rule permits all traffic from the server LAN on ETH02 to anywhere on the box. For the last rule, click "Add", and check only "ESTABLISHED" and "RELATED" under "Connection State", then click Confirm. This rule will permit response traffic from established connections to the box to wherever they originated. Click "Save" to make the new input active, then change its policy from "ACCEPT" to "DROP" so the rules actually take affect. The INPUT rules should now look like the following:

Now, we want to configure ZeroShell's "Forwarding" firewall rules. This is where you will protect your servers and LAN clients from the public network. Select the "FORWARD" Chain to show its firewall rules. Here, we will set up simple rules to permit all outgoing traffic originating from the LAN to the Internet (WAN), and open up a few ports on our 1:1 NAT'ed servers to be accessible from the Internet. Traffic between the two LAN ports (ETH00 and ETH01) will be unrestricted. Click "Add" and set the Input to "ETH00", then click Confirm. This allows unrestricted traffic from the LAN to anywhere the ZeroShell box can route (WAN and Server LAN). Click "Add" again and set the Input to "ETH02", then click Confirm. This allows unrestricted traffic from the server's LAN to anywhere (WAN and Server LAN). Click "Add" again and check the boxes for "ESTABLISHED,RELATED" under "Connection State". This will permit two-way communication for established connections initiated by the previous two rules. Now, we want to open up some ports for our 1:1 NAT'ed servers so they can be accessed from the Internet. The follow table shows which ports need opened up for this example: Public IP Private IP Protocol Port 216.0.0.135 216.0.0.136 216.0.0.137 192.168.1.35 TCP 192.168.1.36 TCP 192.168.1.37 UDP 80 22 123

(all) (all) ICMP (ping) Click "Add", set Input to "ETH01", Destination IP to "192.168.1.35", Protocol Matching to "TCP", and Dest. Port to "80". Click Confirm. Click "Add", set Input to "ETH01", Destination IP to "192.168.1.36", Protocol Matching to "TCP", and Dest. Port to "22". Click Confirm. Click "Add", set Input to "ETH01", Destination IP to "192.168.1.37", Protocol Matching to "UDP", and Dest. Port to "123". Click Confirm. Click "Add", set Input to "ETH01", Destination IP to "192.168.1.35-192.168.1.37", Protocol Matching to "ICMP", and ICMP Type to "echo-request (ping)". Click Confirm.

Now, click "Save" to make the new rules active, and change the Policy to "DROP" so the rules actually take affect. The FORWARD rules should now look like the following:

Finishing Up
Configure the servers connected to ETH02 with appropriate IP addresses and set their Default Gateway to ZeroShell's IP Address of "192.168.1.1". Do the same with the LAN clients on ETH00, except their Default Gateway is "192.168.0.1". Or, configure ZeroShell's DHCP servers to do the same (instructions for this is beyond the scope of this document). Now, click on the Reboot link to restart ZeroShell to ensure everything still works after restarting. Test both incoming connections and outgoing connections to your servers to ensure the 1:1 NAT is working properly. Confirm that the Port Forwarding and Source NAT table looks correct following by clicking "Router", "NAT", then "View":

Punto de acceso inalmbrico con mltiples SSID y VLAN

El propsito de este documento es describir la implementacin de un Punto de Acceso WiFi utilizando Zeroshell en un sistema con una tarjeta de red WiFi con un chipset Atheros. El documento se subdivide en las siguientes secciones: Por qu implementar un punto de acceso inalmbrico con los mdulos del kernel de Linux de el proyecto MadWifi? Administrar interfaces inalmbricas y mltiples SSID con el WiFi-Manager Mapa de la LAN inalmbrica en la red VLAN con etiquetas tags Ample la conexin inalmbrica geogrficamente a travs de OpenVPN

Por qu implementar un punto de acceso inalmbrico con los mdulos del kernel de Linux de el proyecto MadWifi?
Gracias a la utilizacin de los mdulos MadWifi por el ncleo de Linux, es posible implementar un punto de acceso inalmbrico con un ordenador personal o un dispositivo integrado que tenga una tarjeta de red WiFi (PCI o MiniPCI) con un chipset Atheros. Esta funcin est disponible desde la versin 1.0.beta8 de Zeroshell, que introduce el soporte WiFi en cualquier AP (Access Point) o en modo STA (en el cual un Zeroshell router/bridge se puede asociar como un cliente en una LAN inalmbrica). La opcin de utilizar los controladores Madwifi, combinados con el uso de wpa_supplicant y paquetes hostapd, se debe a su capacidad para desempear las funciones de un Punto de Acceso con caractersticas avanzadas, por ejemplo: Autenticacin de acceso y cifrado del trfico inalmbrico a travs de WPA/WPA2 (RSN). Este es soportado tambin en modo WPA-PSK, en el que el cliente, a fin de estar asociado a un SSID, debe conocer el Pre-Shared Key, o el modo WPA-EAP, tambin conocido como WPA Enterprise, en el que un usuario puede llegar a ser autenticado con nombre de usuario y contrasea o un certificado digital X.509 validado por un servidor RADIUS. Tanto el algoritmo de cifrado TKIP y el mas seguro CCMP, basado en AES, son soportados; Modo de administracin de mltiples SSID (tambin llamado Virtual SSID), gracias al cual es posible crear hasta 4 puntos de acceso virtual independientes para cada tarjeta de red WiFi en el sistema. Es evidente que los SSID virtuales pertenecientes a la misma tarjeta de red WiFi compartiran el canal de radio que utilizan, y por lo tanto el ancho de banda disponible. Adems, para cada SSID virtual es posible establecer un sistema de autenticacin y esquema de cifrado independiente (texto sin formato, WPA-PSK, WPA Enterprise o WEP a 128 bits). De los cuatro posibles SSID tambin se puede trabajar en modo administrado y asociado a una WLAN como un cliente. Por ejemplo, esto es til para ampliar el alcance de la red inalmbrica mediante la aplicacin de autorepetidores que trabajan en WDS (Wireless Distribution System), pero no necesitan estar conectadas entre s por medio de una red cableada.

Compatibilidad con los canales de la red en la banda de 5GHz (802.11a) y la banda de 2,4 GHz (802.11by 802.11g). En particular, en caso de que el modo 802.11g sea seleccionado, la compatibilidad est garantizada para los clientes ms antiguos que slo tienen 802.11b. Zeroshell identifica a cada SSID virtual como si se tratara de una interfaz Ethernet (ETHnn). Esto permite que operen en las redes Wi-Fi, utilizando una interfaz web, as como las interfaces de cable. En otras palabras, en el SSID es posible: Agregar direcciones IP, enrutamiento esttico y tambin permite que el protocolo RIP V2 adquiera y propague las rutas dinmicas; Aplicar clases de calidad de servicio para hacer trffic shaping mediante la asignacin de diferentes niveles de prioridad, ancho de banda el mximo y garantizado a los diferentes tipos de trfico (VoIP, P2P, SSH, HTTP, ...); Hacer de puente con las interfaces Ethernet, VLAN 802.1Q, VPN de LAN a LAN y otros SSID. En particular, la posibilidad de hacer un puente o enlace de capa 2 con un SSID virtual que funciona como un cliente con la calidad de un punto de acceso, permitiendo que funcione el llamado repetidor WiFi (o WDS) que extiende el rea de cobertura de la WLAN; Activar los servicios, incluido el DHCP, portal cautivo y aplicar filtros de trfico por medio del firewall. Aplicacin de bonding, que es aadir dos o ms interfaces de tal manera que se aumente el ancho de banda (balanceo de carga) y fiabilidad (tolerancia a fallos). Naturalmente, para tener enlaces inalmbricos, es necesario que los SSID virtuales que los componen pertenezcan a diferentes interfaces WiFi con el fin de equilibrar el trfico en los diferentes canales de radio.

Administrar interfaces inalmbricas y mltiples SSID con el WiFi-Manager

Aunque mediante la interfaz web Zeroshell (vase figura) es posible administrar las interfaces de red que representan los SSID, las operaciones para la creacin y gestin de estos ltimos respecto a los parmetros inalmbricos como el canal a utilizar, la potencia de transmisin en dBm y el cifrado, todos son Gestionado por un script que es llamado por el comando de shell wifi-gerente por medio de una conexin serial RS232 o VGA por consola o mediante una sesin SSH remota. A continuacin puedes ver el men principal del WiFi-Manager:
root@gw-adsl root> wifi-manager [wifi0] Chipset AR5413 802.11abg NIC (rev 01) -- If -- Mode -- SSID --------------------------- Hide -- Security >> ETH02 AP WLAN with Captive Portal no Plaintext ETH03 AP WLAN with Pre-Shared Key no WPA-PSK ETH04 AP WLAN with 802.1x Radius Auth. no WPA-EAP ETH05 AP WLAN with WEP no WEP128 [wifi1] Chipset AR5413 802.11abg NIC (rev 01) -- If -- Mode -- SSID --------------------------- Hide -- Security ETH06 STA wrap-psk no WPA-PSK COMMANDS

<N> <D> <C> <L> <R> >>

New SSID Delete SSID Std/Channel/Tx-Power List Stations Restarting Devices

<M> Modify SSID <I> Show Information <S> Channel Scanning <Q> Quit

Como puede ver, este sistema se ilustra con un PC ALIX 2C2 Embebido con 2 interfaces WiFi con el chipset Atheros AR5413 802.11abg, capaz de operar tanto en 802.11bg como en 802.11a. En la interfaz inalmbrica wifi0 con 4 puntos de acceso virtuales que comparten la misma frecuencia de radio, se definen cada uno con su propia autenticacin y esquema de cifrado. La interfaz ETH02 corresponde a la WLAN con el SSID "WLAN with Portal Cautivo". Sin cifrado (texto plano) se define para este SSID, pero la autenticacin es sucesivamente delegada al portal cautivo; La interfaz ETH03 corresponde a la WLAN con el SSID "with Pre-Shared Key" con proteccin WPA-PSK, donde se puede acceder conociendo la clave compartida definida durante la creacin del SSID. Este modo de proteccin, que sustituye a WEP, es muy vulnerables a la captura de un nmero determinado de paquetes, se considera suficientemente seguro si se utiliza una clave previamente compartida con el tamao y complejidad adecuada. Naturalmente, como con WEP, el administrador debe comunicar este nmero a todos los usuarios que podrn acceder a la red inalmbrica, y se debe cambiar peridicamente. Esto es factible en configuraciones pequeas, como el servicio domstico o la configuracin SOHO, pero se vuelve muy complicada cuando el nmero de puntos de acceso de usuarios crece; La interfaz ETH04 se refiere al punto de acceso virtual con SSID "WLAN with Radius 802.1x Auth." donde un esquema de encriptacin WPA-EAP ha sido configurado. Este tipo de mtodo de proteccin es la ms segura y flexible, y por lo tanto se utiliza en configuraciones grandes y por eso que WPA-EAP es tambin conocida como WPA Enterprise. Su flexibilidad se debe al hecho de que las claves de cifrado no son generadas por el administrador, pero si de forma automtica por un servicio de RADIUS mediante 802.1x, que autentica al usuario mediante un nombre de usuario y una contrasea (con PEAP with MSCHAPv2 o EAP-TTLS) o por medio de un certificado digital X.509 (with EAP-TLS). Durante la configuracin del SSID con WPA-EAP, se puede optar por utilizar el servidor local Zeroshell RADIUS o hacer una referencia a un servidor RADIUS externo. En el primer caso no es necesario configurar ningn secreto compartido, mientras que en el segundo caso utilizando un RADIUS externo es necesario especificarlo. WEP de 128-bits se define en la ltima interfaz. Es necesaria debido a la existencia de antiguos clientes que no son compatibles con WPA/WPA2, WEP en lo posible debe evitarse dado el bajo nivel de proteccin que garantiza. En el wifi1 una nica interfaz es definida en modo cliente. Esta interfaz se conecta a la red inalmbrica con SSID llamada "WRAP-PSK", protegida por una clave precompartida. Tenga en cuenta que con una tarjeta Wi-Fi puede tener un mximo de un SSID que acte como un cliente. Los otros SSID deben corresponder a los puntos de acceso virtuales. Por otra parte, dado que todos los SSID pertenecen a la tarjeta WiFi y

comparten el mismo canal, ste coincidir con el canal de radio de las WLAN externas. Esto inevitablemente significa compartir el ancho de banda. Teniendo en cuenta la simplicidad del WiFi-Manager, es intil describir ahora cada comando, ya que su uso debe ser muy intuitivo. El anuncio slo es con respecto al "Std/Channel/Tx-Power" voz que se activa con la tecla C del men. Con esto es posible aplicar la norma (802.11a, 802.11by 802.11g y despus con las nuevas versiones del controlador de Madwifi, tambin para 802.11n, todava en proyecto), la disposicin del canal de radio de alta frecuencia para la norma elegida y una potencia de transmisin expresada en dBm o mW. En particular, es necesario establecer este ltimo parmetro con cuidado para evitar pasar por el lmite de potencia permitido por la ley donde se encuentran. Como ya se ha insinuado, una vez que los SSID se crean y configuran con el wifimanager, si stas corresponden a los centros de Acceso Virtual o conexiones de cliente, aparecen en todos y para todos, como Ethernet (ETHnn) las interfaces que pueden ser manipulados a travs de la interfaz web Zeroshell . En el ejemplo ilustrado en la figura siguiente, las cuatro interfaces inalmbricas Multi SSID y la interfaz de cable ETH00 son enlazadas en un BRIDGE00 nico de la interfaz. (ETH00, ETH02, ETH03, ETH04, ETH05)

Interfaz de configuracin. Haga clic en la imagen para ampliarla.

Haciendo esto, todas las 4 redes WLAN, independientemente de su modo de acceso (WPA-PSK, WPA-EAP, Portal Cautivo o WEP), comparten la misma capa 2 de la LAN que es accesible a travs de la interfaz Ethernet ETH00. El hecho de compartir el nivel

de enlace de datos para varios componentes del SSID el cual hace posible utilizar el servidor LAN DHCP (si existe) o slo se necesitara activar una subred con DHCP solo conectado a la interfaz del puente. Obviamente, como el firewall y la calidad de servicio tambin actan en las interfaces de puente, es posible aplicar un acceso independiente y reglas de trffic shaping para cada SSID. Por ejemplo, fuera posible para beneficiar a los usuarios que accedan a travs de la WPA Enterprise con respecto a aquellos que utilizan el portal cautivo, ya que hemos visto que el trfico de esta ltima no est cifrado.

Mapa de la LAN inalmbrica en la red VLAN con etiquetas tags

Si las LAN virtuales se definen en los switches LAN en el sensado de sus puertos son lgicamente reagrupados para que aparezcan como pertenecientes a diferentes (virtual) switches, la comunicacin entre estos switches es posible por medio de puertos de trunk o trunking. Estos puertos se caracterizan por pertenecer simultneamente a ms de una VLAN, los paquetes a travs de ellos deben ser identificados mediante marcas (o VIDs) que identifican la fuente/destino de la VLAN. Uno de los protocolos de trunking ms utilizado es el definido en el estndar IEEE 802.1Q, que tiene una etiqueta de 12-bits con un intervalo de valores vlidos desde 1 hasta 4094. Lo que es ms se define el concepto de los nativos de VLAN, que es la VLAN cuyos paquetes van a travs del trunk por defecto sin etiquetar las tramas Ethernet. VLAN nativas tambin se asignan a tareas de gestin. La difusin de esta norma ha permitido a la interoperabilidad entre diferentes marcas de dispositivos de red y modelos, incluso en las redes LAN virtuales estn presentes. En particular, la funcin de mapeo de las redes VLAN en el que la LAN se subdivide en diferentes SSID inalmbrico se est volviendo ms generalizada. Esto permite la homogeneidad en la asignacin de direcciones IP de subred entre las VLANs que comprende la LAN y el SSID que constituyen la WLAN. Gracias al apoyo de Zeroshell de VLAN 802.1Q, la gestin de mltiples SSID para un nico punto de acceso y la posibilidad de salvar las interfaces que representan a la VLAN con los representantes de los SSID, esto es ahora posible y econmico, sin tener que utilizar un (fsico) punto de acceso para cada LAN virtual que se alcanzara a travs de la red inalmbrica. Por ejemplo, supongamos que una organizacin tiene su LAN subdividida en 2 VLANs: Una VLAN para permitir el acceso a los hosts de servicios y los de escritorio del personal permanente de la organizacin. Esta VLAN, en la que no hay restricciones definidas por el firewall respecto a los recursos de la red interna, tiene un VID 1220 (VLAN ID) y debe ser accesible a travs de SSID inalmbrico a travs de un llamado "Trusted Network". El acceso a este WLAN se debe permitir slo a los poseedores de una tarjeta inteligente o eToken con un certificado personal X.509, esto a travs de WPA-EAP con RADIUS activado para poder responder a EAP-TLS; Una VLAN para permitir que los clientes con computadores porttiles accedan a Internet pero con algunas reglas de firewall que limitan el acceso a los recursos de la red interna. Tal VLAN, cuyo VID se ha establecido como 2350, tambin a travs de cifrado inalmbrico con un SSID llamado "guest". Aunque el trfico viaja sin codificar, en esta WLAN, la autenticacin se solicita al acceso desde el

portal cautivo donde se concede el acceso a travs de un nombre de usuario y contrasea temporal dado a los invitados. La decisin de utilizar el portal cautivo para esta VLAN est motivada por la simplicidad de acceso que no limita a los huspedes a tener configurar su equipo WiFi para solicitar el acceso a Internet. Esta ltima operacin no siempre es inmediata y soportada en todos los sistemas operativos, mientras que el portal cautivo provee acceso independientemente del tipo de sistema, siempre que tenga un navegador web.

Como se ilustra a continuacin, dos SSID virtuales se crean a travs de la wifi-manager: "Trusted Network" corresponde a la interfaz Ethernet ETH02 y con WPA Enterprise activa, "guest" corresponde a ETH03. A pesar de que el hardware que est utilizando tiene 2 tarjetas de red WiFi (wifi0 y wifi1), se decidi crear dos SSID en wifi0. Esto ahorrara un canal de radio, que es un recurso muy valioso cuando se utiliza 802.11b / g, ya que slo hay tres canales sin solapamiento de frecuencias (1,6 y 11).
root@multi-AP root> wifi-manager [wifi0] Chipset AR5413 802.11abg NIC (rev 01) -- If -- Mode -- SSID --------------------------- Hide -- Security >> ETH02 AP Trusted Network no WPA-EAP ETH03 AP Guest Network no Plaintext [wifi1] Chipset AR5413 802.11abg NIC (rev 01) -- If -- Mode -- SSID --------------------------- Hide -- Security COMMANDS <N> New SSID <D> Delete SSID <C> Std/Channel/Tx-Power <L> List Stations <R> Restarting Devices >>

<M> Modify SSID <I> Show Information <S> Channel Scanning <Q> Quit

Ahora, supongamos que la interfaz Ethernet ETH00 est conectada a un switche en un puerto de trunking a travs del cual las dos VLANs se cuentan con etiquetas 1220 y 2350, adems de las VLAN nativas: con el botn [Crear VLAN] aadimos la mencionada LAN virtual . Una vez hecho esto, creamos dos puentes presionando [Hacer BRIDGE]: BRIDGE00 debe conectar ETH00.1220 (VLAN 1220) con ETH02 (SSID "Trusted Network") en la capa 2, mientras que BRIDGE01 debe conectar ETH00.2350 (VLAN 2350) con ETH03 (SSID "guest"). Todo esto se ilustra en la figura siguiente:

SSID y VLAN bridging. Haga clic en la imagen para ampliarla.

Usted puede notar que no es estrictamente necesario asignar una direccin IP a los dos puentes, mientras que la interfaz ETH00 que corresponde a la VLAN nativa, se le asigna la direccin IP 192.168.0.75, conectndola para que ejecute las opciones de gestin de Zeroshell. En este caso, para completar esta tarea es suficiente activar el portal cautivo en la sesin [Portal Cautivo] -> [Gateway] en interfaz ETH03 (SSID "guest") en el modo Bridge.

Ample la conexin inalmbrica geogrficamente a travs de OpenVPN

Zeroshell utiliza OpenVPN con dispositivos Tap (Ethernet virtual) como una solucion VPN sitio a sitio. Esto ofrece ventajas a travs de protocolos como IPSec en el sentido de que permite conectar sitios de la organizacin que estn geogrficamente distantes usando la capa 2. De hecho, desde la interfaz Tap (Zeroshell la llama VPNnn) es muy similar a la interfaz Ethernet (ETHnn), la VPN puede ser puenteada con este ltimo y tambin con el SSID inalmbrico. Por lo tanto, ya que no hay procesos de enrutamiento entre la LAN y la WLAN ya sean locales o remotos conectados a travs de la VPN, la misma subred IP se puede utilizar en todas partes. Por lo tanto, no slo un nico servidor DHCP puede ser utilizado para distribuir la misma direccin IP a cada cliente independientemente del lugar y tipo de conexin (cableada o inalmbrica), pero como los protocolos de NetBIOS utilizados para compartir recursos como impresoras de

windows y carpetas puede operar sin tener que utilizar un servidor WINS con el fin de descubrir los recursos de red, ya que el trfico de difusin se propaga de manera uniforme en la LAN y WLAN (local y remota). Siempre gracias a la similitud de las VPN hechas con OpenVPN y las conexiones Ethernet reales, es posible generalizar el ejemplo anterior mediante el transporte de 802.1Q VLAN en sitios remotos, as ampliar su aplicacin va inalmbrica puenteando las interfaces que representan a la VLAN transportadas por la VPN (en el ejemplo anterior son VPN00.1220 y VPN00.2350) con SSID "Trusted Network" y "guest".

HOWTO: ZeroShell WPA Enterprise por Paul Taylor

ZeroShell se puede descargar en: http://www.zeroshell.net/eng/ Para mi instalacin, he creado una mquina virtual con VMware con 128 MB de RAM y un 0.1 GB de disco duro (102 MB). Despus de arrancar VM, configura su tarjeta de red local a una direccin IP en la red 192.168.0.X, como 192.168.0.99 y ves a http://192.168.0.75 en tu navegador. Inicia sesin como administrador con la contrasea de zeroshell

Instalacin de la base de datos ZeroShell:

Nota: Si ya tienes una base de datos ZeroShell, pase a la seccin Crear un nuevo CA. Despus de entrar, seleccione la pestaa storage:

En esta pantalla, selecciona el disco duro. En esta imagen, es "Model: VMware, VMware Virtual S (SDA)". Esta es una unidad SCSI virtual. Nota: Los dos discos IDE real y virtual tendr (HDA) en el extremo.

Una vez seleccionada, aparece este menu en la parte superior

Seleccione "New partition" y obtendr este pop-up:

Introduce un nombre y pulsa Create partition. Cuando se hace, la pantalla se actualiza. Ahora, seleccione "sda1" y obtendrs esta pantalla:

Selecciona Create DB. Recibiras otro pop-up. Rellena en la descripcin, nombre de host, Realm, LDAP Base, una nueva contrasea de administrador. Direccin / Mscara de red para esta instalacin Zeroshell, y pon tu puerta de enlace predeterminada.

Por ltimo, pulsa Crear. En la siguiente pantalla, selecciona la base de datos recin creada y, a continuacin pulsa el botn Activar.

Pulsa el botn Activate en este pop-up, a continuacin, escribe "S" cuando aparezca el mensaje "Est seguro?" Su Zeroshell se reiniciar con la configuracin de red nueva. Nota: En este momento, si est utilizando VMware, tendr que modificar su mquina virtual a travs de la BIOS para arrancar desde el CD-ROM antes que el disco duro, De lo contrario se colgara en el inicio, tratando de arrancar desde el disco duro virtual. Crear un nuevo CA: Despus de unos minutos el arranque estara completado. Ves a la pgina HTTPS a travs de la nueva direccin IP que has seleccionado e inicia sesin como administrador con tu nueva contrasea. Despus de haberte identificado, selecciona el boton CA X509 en el lado izquierdo de la interfaz web.

Selecciona "Setup" en la barra de pestaas.

Aqu, puedes definir tu propia CA. Ten en cuenta que estn prohibidos algunos caracteres, pero la interfaz no te permite saber lo que sali mal. En cambio, los tems vuelven a los valores predeterminados. Aqu estn mis selecciones:

Despus de entrar en la configuracin, pulsa "Generate", y luego en Ok en el mensaje "are you sure". Cuando se actualiza asegrate de que todos los campos son correctos. Crear usuarios A continuacin, ves al tema de usuarios en el panel izquierdo de la interfaz web.

Registra un nuevo usuario, pulsando la tecla tabulador los campos, Home Directory, y la descripcin se rellenan automaticamente. En la parte inferior, escribe la contrasea de los usuarios y verificalo antes de pulsar "submit".

Suponiendo que has rellenado bien todos los campos obligatorios, debes obtener una pantalla que muestra el certificado. Sigue aadiendo hasta que tengas todos sus usuarios.

Configurando RADIUS
A continuacin, haz click en la pestaa RADIUS en el men de navegacin de la izquierda.

Selecciona "acces point" en la barra de navegacin de la parte superior. Para aadir un punto de acceso debes poner la direccin IP con un 32 /, con una buena clave secreta. NOTA: La clave secreta no pueden ser mas de 32 caracteres! Radius no se iniciar con una clave secreta mas larga en la version actual de Zeroshell.

Despus de configurar ZeroShell, debes reiniciar a travs del enlace en la parte superior de la pantalla.

Configurando su Punto de Acceso:

Esta seccin vara segn el AP que tengais. Bsicamente, tienes que activar la seguridad de RADIUS, seleccionar la WPA adecuada, y configurarlo en el la direccion IP de Zeroshell. Tambien debes configurar tu punto de acceso. En este caso, estoy usando DD-WRT en un Linksys WRT54G, pero debera funcionar bien con el firmware original de Linksys. En mi caso,lo he establecido para RADIUS WPA2 modo mixto, lo que significa que puede tener ambos clientes WPA y WPA2.

Configurando un cliente Mac OS X

Para configurar el cliente con Mac OS 10.4,debes iniciar la tarjeta inalambrica.

Pulsa el boton 802.1X

En el men desplegable de configuracin, selecciona "Editar Configuraciones". En este caso, poner una descripcin, aadir un nombre de usuario y la contrasea que has introducido anteriormente, seleccione el SSID de tu red inalmbrica, y desactiva todas las opciones de autentificacin, excepto "PEAP". Por ltimo, pulsa el botn Aceptar, como se muestra a continuacin.

A continuacin, selecciona "ZeroShell" en el men desplegable y conectate. Deberias ver esto:

Pulsa show certificate

Marca la casilla "Confiar siempre en estos certificados" y pulsa Continuar.

Se te solicitar la contrasea de tu Mac OS. Esto es para que el certificado se aada como un certificado de confianza para las siguientes conexiones. Se debe pasar pasar a un estado de Conectado, as:

Ver en el Status "conectado a travs de PEAP". De vuelta en ZeroShell, si pulsas "show request" en pantalla del radius, puede ver los logs de registro ZeroShell. Nota: Si no ves los logs debes reiniciar zeroshell, reiniciar el servidor Radius, aunque esto ultimo no probado. Esta es la pantalla de show request:

la de o lo he

Y la pantalla de 802.1X:

Configurando un cliente en Windows XP:

Primero exporta tu CA de ZeroShell. Para ello, ve la pantalla de radius en ZeroShell y pulsa el boton trusted CA. Esto generara un pop-up:

A continuacin, seleccione el CA y pulsa el botn Exportar. El navegador se descargara un archivo llamado "TrustedCA.pem". Copia este archivo a un USB para poder usarlo en Windows. Ahora, en Windows, pulse Inicio, Ejecutar, y escribe MMC y pulsa aceptar, en la nueva ventana pulsa archivo, y agregar o quitar complemento, despus haz click en Agregar y seleccione Certificados. En la siguiente pantalla, seleccione "administracion de equipos" y "Equipo local". A continuacin pulsa Aceptar. Debes tener una pantalla similar a esta:

Expandir la raz trusted root certification, y haz click en Certificados, Ahora, importa el archivo de certificado que exportaste desde ZeroShell. A continuacin, ves a la pestaa de Redes inalmbricas en las propiedades de la tarjeta inalmbrica:

Haz click en el botn Propiedades de la red en cuestin. Para autentificacin de red, seleccione WPA, y para cifrado de datos seleccione, TKIP:

Pulsa la pestaa Autentificacin, marca la casilla "Enable IEEE 802.1x ", y selecciona PEAP para su tipo de EAP. Asegrese de las otras dos casillas de verificacin estn sin marcar:

Selecciona Propiedades. Selecciona la casilla de verificacin para su CA raz. En mi caso, es AddressPlus CA. Asimismo, define el mtodo de autenticacin de MSCHAP.

Pulsa el botn Configurar para MSCHAP y asegurate que la casilla "Usar automticamente mi nombre de inicio de sesin y contrasea de Windows" est sin marcar. La primera vez que trates de conectar, te pedira un nombre de usuario y contrasea. Introduce el nombre de usuario y la contrasea que aadiste en Zeroshell para este equipo. Debes de autentificarte con xito.

Grficos de trfico y estadsticas usando MRTG

La presentacin de grficos estadsticos para evaluar el uso del ancho de banda a Internet se considera una caracterstica opcional de un router; sin embargo, es importante saber esta informacin para entender si en el acceso a Internet hay ineficiencias debido a la pobre distribucin de ancho de banda entre los tipos de trficos (VoIP, Web, P2P, FTP,...) que compiten en la utilizacin de la conexin a Internet. Muchos de los enrutadores utilizan SNMP (Simple Network Management Protocol) para exportar el valor de los contadores de trfico entrante y saliente para cada una de las interfaces de red. Usando software tales como MRTG (Multi Router Traffic Grapher) posibilitan que en repetidas ocasiones, y en intervalos de tiempos regulares, se ejecuten consultas SNMP hacia estos routers y guarden los contadores de trfico. Una vez hecho esto, MRTG permite el anlisis grfico, a travs de un navegador, de la progresin del trfico entrante y saliente de las interfaces del router.

Figure 1 Ejemplo de un grafico MRTG relacionado con la clasificacin del trafico para WWW.

Zeroshell no sigue esta estrategia de exportacin mediante SNMP (ver nota *), sino que integra directamente dentro de MRTG para permitir el anlisis de los parmetros que van ms all de los obtenidos utilizando SNMP. En virtud de ello, los siguientes parmetros pueden ser analizados directamente desde la interfaz Web Zeroshell:

Sistema de carga Nmero de conexiones activas (TCP / UDP) desde y hacia Internet; Interfaz de trfico entrante y saliente, ya sea una tarjeta Ethernet, una red VLAN 802.1Q, una VPN, un puente, un vnculo, una conexin PPPoE (ADSL por ejemplo) o una conexin mvil de 3G (UMTS, por ejemplo / HSDPA); Trfico clasificados por la modulacin del trfico en una clase determinada QoS (VoIP, HTTP, peer to peer, ...) en relacin con el trfico general de la interfaz de salida;

Balance del trfico de Internet en varias puertas de enlace WAN (Balanceo de carga y conmutacin por error) en comparacin con el total de trfico desde y hacia Internet.

El resto del documento se subdivide en las siguientes secciones: Promedio del Sistema de carga Conexiones TCP / UDP activas Trfico entrante y saliente de una interfaz de red Grficos de Trfico sub-divididos por clases QoS Distribucin del trfico en las puertas de enlaces de Internet en equilibrio de carga Activacin de MRTG en Zeroshell o Claves de activacin

Promedio del Sistema de carga

La informacin estadstica sobre la carga media no cubre directamente el trfico de una red, sin embargo es til para comprender si los recursos de hardware del router (el procesador en particular) son un cuello de botella para la LAN y ralentiza las conexiones independientes de la banda disponible en el acceso a enlaces a la Internet. Para ver el grafico de carga del sistema haga clic en el enlace [Grficos] en el marco de la parte superior derecha. Aparecer una ventana como la que se muestra a continuacin.

Figure 2 Grfico relacionado con la carga del sistema.

La carga promedio es calculada cada 5 minutos multiplicados por 100 se toma en consideracin. El porcentaje de uso del sistema (que figura en parntesis) tiene en cuenta el nmero de CPU del router. En otras palabras, vamos a asumir una carga de 100 en un sistema con 2 procesadores, el porcentaje de utilizacin que indica es de 50%. Por lo tanto, el umbral crtico para que el router pueda ser sospechoso de ser un cuello de botella es de 200 igual a 100% de uso. Los factores que contribuyen principalmente al uso de la CPU en orden creciente son: \ las reglas del firewall, la clasificacin QoS y el equilibrio de carga manual las reglas del firewall y QoS que utilizan los filtros de capa 7 para ejecutar el DPI, cuando muchas conexiones estn presentes. Tenga en cuenta que los filtros de L7 inspeccionan el contenido de los paquetes slo en cuanto se establece una conexin, mientras que el resto se identifican mediante el seguimiento de conexiones (Connection Tracking). Esto pone de manifiesto que los filtros de nivel de aplicacin no cargan el sistema basndose en la banda utilizada, sino sobre la base del nmero de nuevos TCP / UDP abiertos.

Escribir el resultado del seguimiento de conexiones (Connection Tracking) en los registros. Hacer un seguimiento de las conexiones TCP / UDP no es una funcionalidad muy derrochadora en trminos de CPU. Sin embargo, puede ser si el sistema est configurado para registrar las conexiones (IP de origen, puerto de origen, de destino IP, puerto de destino) en los registros. Captive Portal activos en una LAN con muchos clientes activos, pero an no autenticados. A menudo, la presencia de gusanos u otros programas que utilizan el protocolo TCP en puertos 80 y 443 para otras solicitudes de HTTP/HTTPS pueden empeorar la situacin. El uso del HTTP Proxy transparente con antivirus (ClamAV) o un filtro de contenido Web (DansGuardian). De hecho, tener que examinar el contenido de las pginas Web inevitablemente sobrecarga la CPU. En tales casos, es necesario tambin garantizar una cantidad de memoria RAM suficiente para evitar el intercambio de discos.

Conexiones TCP / UDP activas

La progresin del nmero de conexiones activas es un buen ndice para monitorear la actividad de la red. Por ejemplo, un elevado nmero de conexiones podra significar el intercambio de archivos utilizando tcnicas de P2P.

Figure 3 - Grfico relacionado con el nmero de conexiones activas.

Recuerde que Zeroshell es diferente desde determinados enrutadores que se olvidan de las conexiones TCP en un perodo corto de tiempo de espera; esto se debe a que est configurado para realizar un seguimiento de las conexiones que no intercambian trfico incluso durante largos periodos de tiempo (por ejemplo, sesiones interactivas de SSH en reposo para das). Por un lado, esto es una ventaja; por el otro, donde las conexiones no estn correctamente cerradas, puede provocar que las conexiones que no han estado activas por un tiempo sean salvadas. Si desea establecer un tiempo de espera para las conexiones TCP, establezca el parmetro /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established al nmero de segundos que una conexin se considera expirada, despus de la inactividad, y por lo tanto cancelada por las tablas de seguimiento de conexiones (Connection Tracking).

Trfico entrante y saliente de una interfaz de red

El uso tradicional del MRTG es permitir el seguimiento del trfico de las interfaces de red de un router, tanto de flujo arriba como abajo. El mismo grfico sigue el trfico entrante en VERDE, mientras que el trfico saliente en AZUL.

Figure 4 Grfico relacin entre trafico entrante y saliente de una interfaz de red.

Los porcentajes se refieren, en lo posible, a la banda mxima que la interfaz puede soportar. Zeroshell permite al grfico de trfico obtener datos en descarga/subida de los tipos de interfaces siguientes: Ethernet, VPN, PPPoE y 3G. Lo mismo puede decirse de las combinaciones de interfaz como los lazos y los puentes y para la VLAN 802.1q. Adems, si Zeroshell se utiliza como una conexin Wi-Fi Access Point con SSID mltiple, es posible obtener el grfico del trfico para cada SSID.

Grficos de Trfico sub-divididos por clases QoS

Si el trfico est activo en la configuracin de una interfaz de red, es posible mostrar el grfico sobre el trfico de salida clasificado por tipo de trfico. El diagrama del trfico total de salida de la interfaz se muestra en AZUL, mientras que el trfico clasificado en la categora correspondiente QoS en VERDE.

Figure 5 Grfico relacin de trfico por QoS categoras

El color AMBAR representa el porcentaje de uso de QoS en comparacin con el trfico total de la interfaz. Por lo tanto, la figura arriba muestra fcilmente que la VoIP saliente, trfico de interfaz ETH03, es en promedio el 4% del trfico total, con picos del 33%.

Distribucin del trfico en las puertas de enlaces de Internet en equilibrio de carga

Gracias a Balancer Net, Zeroshell puede distribuir el trfico de acceso a Internet a travs de mltiples conexiones WAN que puede ser xDSL, 3G u otra. El equilibrio puede ser automtico, con Round-Robin ponderado o manual con reglas (similares a las de Firewall y clasificador QoS) que obligan a determinados tipos de trfico a utilizar una puerta de enlace determinada. Para el balanceo de carga automtico, es til consultar el grfico de distribucin del trfico para comprender si las puertas de enlaces se utilizan en proporcin al ancho de banda mximo disponible para ellos. Si por el contrario el peso de la puerta de enlace puede ser modificado. Este parmetro es, de hecho, directamente proporcional a la probabilidad de que la conexin es enrutada en ese enlace.

Figure 6 Grfico relacin de la distribucin del trfico en una puerta de enlace de Internet.

VERDE indica el trfico entrante y saliente por la puerta de enlace elegida, mientras que el AZUL indica el trfico total de Internet. La relacin porcentual entre el trfico en el enlace elegido y el trfico en general es en mostrado con el color AMBAR.

Activacin de MRTG en Zeroshell

MRTG puede ser configurado en Zeroshell desde la versin 1.0.beta11 o posteriores, como una actualizacin externa (C110). En versiones posteriores, MRTG se incluir directamente en la distribucin y por lo tanto no requieren la instalacin manual como una actualizacin. En la versin 1.0.beta11, MRTG se instalarn escribiendo los siguientes comandos utiliza un cable VGA/SERIAL consola o conexin SSH: cd /Database wget http://www.zeroshell.net/listing/C110-MRTG-Statistics-beta11-v2.tar.bz2 tar xvfj C110-MRTG-Statistics-beta11-v2.tar.bz2 cd C110 ./install.sh

Despus de haber instalado el software, el botn/enlace [Grficos] aparecer. Utilice esta opcin para acceder al formulario Web de gestin de MRTG. La forma ms fcil de llegar al enlace [Grficos] es la que aparece en el cuadro en la parte superior derecha de presentacin de reportes de la informacin del sistema. Si este vnculo no est disponible inmediatamente despus de la instalacin, pulse [Actualizar] en este marco.

Claves de activacin
A diferencia de las otras funcionalidades Zeroshell, algunos de los grficos estadsticos slo se generan si se activa mediante una clave de activacin. Los siguientes grficos no requieren de desbloqueo: Sistema de carga Nmero de conexiones activas Trafico entrante / saliente de VPN, puente, lazos PPPoE y UMTS / HSDPA Clases QoS conectados a VPN, puente, lazos PPPoE y UMTS / HSDPA

Mientras que los grficos a continuacin requieren ser desbloqueos utilizando una clave de activacin: Trafico entrante / saliente en Ethernet / Wireless y 802.1Q e interfaces VLAN Clases QoS conectados a interfaces Ethernet / Wireless Balance de Carga para conexiones a Internet

Las claves de activacin dependen de la direccin MAC de las tarjetas de red. Cada tarjeta de red presente en el sistema requiere una clave de activacin diferente para obtener el grfico correspondiente. Sin embargo, mediante la activacin de la grfica para una interfaz Ethernet, se puede usar la misma clave para activar automticamente el grfico relativo a la VLAN y las clases de QoS. Si mltiples SSID se definen en la misma conexin Wi-Fi de la tarjeta de red, basta con activar el grfico correspondiente a una sola SSID y los otros grficos relacionados con otro SSID automticamente se desbloquearan. Como se ha mencionado antes, las claves de activacin dependen exclusivamente de la MAC de las interfaces Ethernet /Wireless y, en consecuencia, si Zeroshell est instalado en el mismo hardware o simplemente cuando un nuevo perfil de configuracin es creado, entonces las claves de activacin ya obtenidas pueden ser reutilizadas con xito. Las claves de activacin se genera en base a los cdigos de funcin comunicados a travs de e-mail (ver http://www.zeroshell.net/eng/activation) y pueden ser comunicados varios cdigos de funcin en la misma peticin. Se necesita de una contribucin al desarrollo de Zeroshell para obtener las claves de activacin. En la actualidad pueden ser contribuciones como: Creacin de un documento en formato HTML o PDF en un aspecto de la configuracin de Zeroshell. Tambin puede ser una simple descripcin de su experiencia con Zeroshell. El autor del documento debe ser especificado y,

posiblemente, (opcional) su e-mail de referencia para permitir un contacto de los lectores. Todas las actualizaciones para el documento debe ser hecha por el autor de alojamiento en un espacio Web con acceso de edicin. El URL del documento estar vinculado en la seccin de documentacin. Una donacin modesta a travs de PayPal. Los ingresos sern utilizados para la compra de hardware con fines de testeo y/o para cubrir los gastos de gestin.

La produccin de la documentacin es, sin duda la contribucin ms positive, pues esperamos realmente apoyar a aquellos que desean configurar y utilizar Zeroshell. La donacin a travs de Paypal slo debe ser seleccionado cuando no tienes el tiempo para el proyecto o la oportunidad de aportar a la documentacin. Tambin tenga en cuenta que el mecanismo de clave de activacin no influye en el paquete MRTG cuyo cdigo fuente se compila como disponible en su sitio oficial. La activacin se refiere a un lugar externo plug-in, escrito especficamente para Zeroshell, por la que MRTG se configura para recopilar datos estadsticos. Nota: (*) Si en lugar de utilizar el paquete MRTG integrado prefiere exportar los contadores de trfico a travs de SNMP y el uso de un paquete de control externo, instale el paquete net-snmp compilados para Zeroshell.

CONFIGURACION DE SERVIDOR NTP Y LOGS EN ZEROSHELL

1. USAR ZEROSHELL COMO SERVIDOR NTP (NETWOORK TIME PROTOCOL): CONCEPTO: (Tomado de Wikipedia): Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de los sistemas informticos a travs de ruteo de paquetes en redes con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123. PARA QUE ME SIRVE: Usando esta funcionalidad del ZEROSHELL, puedo mantener sincronizados los relojes de los equipos Ubiquiti: Nanostation, Rocket, Bullet, NanoBridge, etc. Y para que me servira tener sincronizados los Relojes de los Ubiquiti? En la siguiente parte veremos que los equipos ubiquiti pueden enviar informacin de LOG al servidor de Zeroshell con el fin de saber por ejemplo, en que momento se conect cualquier cliente o cuando de desconect, etc. Y para ello es imprescindible que los equipos tengan sincronizada la hora y la fecha. COMO ACTIVAR EL SERVIDOR DE TIEMPO (NTP) EN EL ZEROSHELL: En la Barra Izquierda del Zeroshell hacemos Clic en SETUP y Luego en TIME (En la barra superior horizontal). Al hacerlo nos muestra la ventana de la Figura 1. Seleccionamos la Time Zone, segn nuestra ubicacin, en mi caso America/Caracas y hacemos clic en el Botn SAVE. Activamos los Checkpoint Client y Server y hacemos clic en el Botn SAVE correspondiente. Hacemos clic en Close.. Con esto ya habremos activado el Servidor y Cliente de NTP. Con ello nuestro Zeroshell ya puede enviar la hora y fecha a los equipos ubiquiti, as como sincronizar la hora y fecha del computador de uno de los servidores que se muestran en la lista en Parent Servers Figura 1. Activacin del Servidor de NTP

1. 2. 3. 4.

3 paso

2 paso

COMO CONFIGURAR EL EQUIPO UBIQUITI PARA QUE TOME LA HORA DEL SERVIDOR ZEROSHELL. En mi caso: 1) El servidor Zeroshell en la tarjeta de red a travs de la cual conecto el equipo ubiquiti, tiene la direccin IP 192.168.2.1. 2) El equipo Ubiquiti tiene la direccin IP 192.168.2.8. Entonces: 1) En el explorador de Windows, Mozilla, Crhome, Opera o cualquier otro navegador en la barra de direcciones escribo la IP del Equipo Ubiquiti: http://192.168.2.8 2) Escribo el nombre del usuario y contrasea asignados al equipo. 3) Hago clic en la pestaa SERVICES: 4) Me ubico en el apartado NTP CLIENT y activo el Checkmark Enable NTP Client. Y en la casilla de abajo escribo la direccin IP del servidor de Zeroshell segn se muestra en la Figura 2. 5) Hacemos clic en Change y luego en Apply. 6) Unos instantes despus podemos ver en la Pestaa MAIN, como la fecha y hora del equipo se ha actualizado. Ver Figura 3. Figura 2. Activacin del Cliente NTP del equipo Ubiquiti.

Figura 3. Fecha y Hora Actualizados en Equipo Ubiquiti Nanostation M5

2. USAR ZEROSHELL COMO SERVIDOR DE LOGS DE EQUIPOS UBIQUITI QUE SON LOS LOGS: Volviendo a Wikipedia: La palabra log es un trmino anglosajn, equivalente a la palabra bitcora en lengua castellana. Sin embargo, se utiliza en los pases de habla hispana como un anglicismo derivado de las traducciones del ingls en la jerga informtica. Del mismo trmino tambin proviene la palabra blog, que es la contraccin de "web log". Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los profesionales en seguridad informtica es usado para registrar datos o informacin sobre quin, qu, cundo, dnde y por qu (who, what, when, where y why) un evento ocurre para un dispositivo en particular o aplicacin. La mayora de los logs son almacenados o desplegados en el formato estndar, el cual es un conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma cada log generado por un dispositivo en particular puede ser ledo y desplegado en otro diferente. PARA QUE ME SIRVE: Bueno, observando los LOGs, en mi caso lo he usado para: 1) Saber a que hora se conect o desconect un Cliente de un Access Point 2) Saber cuando fue la ltima vez que un equipo Ubiquiti en modo Access Point o Cliente tuvo conexin con otro equipo, esto en caso de equipos remotos que no sabemos si estn activos o se daaron, hurtaron o simplemente se quedaron sin suministro elctrico. COMO CONFIGURAR ZEROSHELL PARA QUE ACEPTE LOS LOGS DE LOS EQUIPOS UBIQUITI (Y CUALQUIER OTRO EQUIPO): 1. Hacemos clic en SETUP y luego en LOGs para activar el LOG MANAGER SETUP. Ver Figura 4. 2. Activamos el Checkpoint Accept Remote Logs. 3. Si deseamos a su vez que Zeroshell envie Logs a otro servidor de Logs, activamos el Checkpoint Send Logs to remote Syslog y al lado colocamos la direccin IP del otro servidor de Logs. 4. Opcionalmente podemos activar los Chekpoints: Compress the oldest logs para que zeroshell comprima la informacin recibida de los logs que ya es antigua y tambin podemos activar Delete the oldest log para que el servidor borre los logs mas antiguos. 5. Hacemos clic en el Boton SAVE para grabar y CLOSE para cerrar esa ventana. Con ello ya tenemos activado el Servidor de Logs de Zeroshell.

Figura 4. Activacin del Servidor de Logs de Zeroshell.

COMO CONFIGURAR EL EQUIPO UBIQUITI PARA QUE ENVIE LOS LOGS AL SERVIDOR ZEROSHELL En mi caso: 1) El servidor Zeroshell en la tarjeta de red a travs de la cual conecto el equipo ubiquiti, tiene la direccin IP 192.168.2.1. 2) El equipo Ubiquiti tiene la direccin IP 192.168.2.8. Entonces: 1) En el explorador de Windows, Mozilla, Crhome, Opera o cualquier otro navegador en la barra de direcciones tipeo la IP del Equipo Ubiquiti: http://192.168.2.8 2) Escribo el nombre del usuario y contrasea asignados al equipo. 3) Hago clic en la pestaa SERVICES: 4) Me ubico en el apartado SYSTEM LOG y activo los dos Checkmark que se encuentran debajo: Enable Log y Enable Remote Log. Luego en la casilla de abajo (Remote Log IP Address) escribo la direccin IP del servidor de Zeroshell segn se muestra en la Figura 5 y debajo en Remote Log Port escribo el Numero del Puerto Configurado en el Zeroshell, en este caso lo dejamos quietico en 514. 5) Hacemos clic en Change y luego en Apply. Con eso ya habremos activado el Equipo Ubiquiti para que envie los LOGs al servidor de Zeroshell. Figura 5. Activacin del Equipo Ubiquiti para que envie Logs al servidor Zeroshell.

COMO VISUALIZAR LOS LOGS (BITACORAS) EN ZEROSHELL 1. En la barra izquierda del Zeroshell hacemos clic en la opcin Logs 2. Nos aparece la ventana Log Viewer que se muestra en la Figura 6. All seleccionamos la direccin IP del Equipo ubiquiti que nos interese ver sus logs y la Fecha. 3. En caso que el Log sea muy largo o que solo se requiera filtrar cierto tipo de informacin como una direccin MAC u otro, entonces hacemos clic en el recuadro Filter y escribimos el dato que queremos filtrar, luego hacemos clic en el botn Refresh. 4. En la ventana de abajo vemos la Hora y el Evento Ocurrido. Figura 6. Ventana Visualizador de Logs. del

Gua Elaborada por Juan Lugo el da 19/11/2010. Las ventanas que se muestran corresponden a: ZEROSHELL RELEASE 1.0.BETA 13 y UBIQUITI NANOSTATION M5 Todas las marca mencionadas son propiedad de sus respectivos dueos. http://www.zeroshell.net, http://www.ubnt.com, http://www.es.wikipedia.org Cualquier Informacin relacionada al tema, observaciones y comentarios hacerlos a: lugo@zonawifidigital.com.

Personalizando un Certificado CA en Zeroshell.

Escrito por: Joker

Personalizando un Certificado CA en Zeroshell.

Un poco de Cultura. Qu es un CA x.509?

Osmosis Inc

Un Certificado Digital es el equivalente electrnico a un Documento de Identidad. Permite identificarnos, firmar y cifrar electrnicamente documentos y mensajes. El Certificado Digital garantiza:

La integridad de los datos transmitidos Su procedencia La deteccin de cualquier manipulacin que hayan podido sufrir

En otras palabras el CA es un documento electrnico el cual permite identificarnos ante el servidor zeroshell para entablar comunicacin privada y segura a travs de la red. Para que usa Zeroshell los CA? Lo usa para entablar conexiones seguras SSL, para sincronizar datos va VPN, para expedir un certificado para la configuracin de RADIUS SERVER, entre otros muchos usos. Por qu crear mi propio CA y no Usar el Default? Si solo vamos a usar Zeroshell para probarlo y ver las diferentes funciones que tiene no es necesario crear un CA personalizado ya que bastara con el que por default crea zeroshell, pero si deseamos realizar una implementacin de zeroshell en un ambiente productivo o real que mejor que tener nuestros propios certificados que muestren informacin sobre quienes somos realmente. (Esto no le quita el crdito a zeroshell solo hablo de identificarnos nosotros mismos ante nuestra implementacin).

Bueno despus de estas 3 preguntas fundamentales para comenzar aqu vamos.

Personalizando un Certificado CA en Zeroshell.

Ingresamos a la interface grfica de Zeroshell a travs de la direccin ip o dominio en el que zeroshell fue previamente configurado: Nota: si estamos trabajando en el profile default de Zeroshell la ip es 192.168.0.75, aunque recomiendo crear nuestro propio perfil.

Osmosis Inc

Como podrn ver en el primer inicio nos dira que la conexin no esta verificada en pocas palabras el certificado no es valido para las politicas de nuestro navegador, el movito no es que sea daino o falso nuestro certificado si no que el validador de mozilla de acuerdo a sus politicas de Certificados ha leido a nuestra identidad Emisora de Certificados como no valida pero eso no significa que estamos en problemas o que no va a funcionar, basta con hacer click en Entiendo los riesgos Y aadir una excepcin haciendo clic sobre la leyenda Aadir Excepcin.

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Al hacer clic en Aadir Excepcin nos aparece una pantalla semejante a esta vamos a revisar unos cuantos datos haciendo clic sobre el botn Ver

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Bien este es nuestro certificado digital el cual fue emitido por zeroshell al entablar una conexin segura SSL , en el podemos apreciar informacin importante y relevante tal es el caso quien lo emiti, y para quien lo emiti, as como la huella digital o firma del certificado, podrn ver que por default aparece que lo emite zeroshell Example CA, repito si a nosotros solo nos interesa probar zeroshell no tiene ningn caso hacer este tutorial en cambio si vamos a implementar zeroshell para el ambiente en produccin o ambiente real y queremos que nuestro Certificado Digital aparezca que fue emitido por nuestra implementacin (institucin, escuela, hospital), debemos personalizarlo , Cmo hacerlo?, aqu comenzamos.

Personalizando un Certificado CA en Zeroshell.

Una vez que hemos agregado la excepcin de certificado y hecho login in previamente en la interface web de zeroshell Ir al men Security >> X.509 CA

Osmosis Inc

Acto seguido nos dirigimos a la opcin o pestaa con la etiqueta: Setup

Una vez que hemos ingresado a Setup podremos ver un form de la siguiente manera:

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Personalizamos cada uno de los campos del formulario con la informacin que deseamos:

Por ejemplo yo quiero que mi nombre comn sea Magnolias Inc. Entonces Borro los datos actuales e introduzco mi dato. El Key Size: lo dejamos por ahora en default o el valor de 1024 bits. Validity (Days): se refiere a la cantidad de das en que nuestro Certificado ser valido. Country Name: Para nuestro caso que estamos en Mxico es MX el valor. Satate or Province: Aqu podemos agregar un dato ms sobre en que estado nos encontramos o simplemente dejarlo en blanco. Locality: La localidad actual. Organization: Organizacin a la que pertenecemos o institucin. Organization Unit: Departamento para el cual estamos expidiendo el Certificado Email Address: Aqu va el mail de contacto o del administrador de la red generalmente.
De acuerdo a nuestro Ejemplo tendriamos algo asi:

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Paso siguinte es hacer clic sobre el botn con la leyenda Generate

Nos mostrara una advertencia que nos dice: PRECAUCIN: Si continuas con esta operaciones se perderan todos los Certificados y Llaves Privadas ya creadas (Incluyendo HOST y Certificados de Usuarios Tambien), y el certificado de Autoridad sera reiniciado. An asi deseas continuar?

Hacemos clic sobre el botn Aceptar Ahora nos haciendo clic en la pestaa con la leyenda List entramos a la lista para regenerar algunos certificados:

Una vez que estamos en el listado de certificados hacemos clic sobre el botn Create para generar el nuevo certificado al usuario Admin

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Seleccionamos el usuario al que deseamos crearle su nuevo certificado, que para nuestro caso es admin, y hacemos clic sobre el botn Create.

Si todo es correcto debemos de ver una pantalla similar a esta.

Personalizando un Certificado CA en Zeroshell.

Si observamos nuevamente la lista de Certificados podremos ver que ahora ya tambin aparece el certificado para el usario admin con estatdo OK y valido. Lo que significa que hemos logrado con xito la personalizacin de nuestro certificado.

Osmosis Inc

Comprobando que el certificado ahora emite nuestra informacin: Para este test puede ingresar desde otra maquina de la lan conectad a zeroshell y observar los datos del certificado:

Personalizando un Certificado CA en Zeroshell.

Osmosis Inc

Ahora si tenemos nuestro certificado personalizado con nuestros propios datos.

Cualquier duda o comentario?... jorgeemir@gmail.com

Con Amor y Cario a mis padres.

Cmo instalar Zeroshell en un pendrive usando Windows

Por Eric Long Esta gua cubre la grabacion de la imagen CompactFlash/IDE/USB/SATA a un pendrive USB. Este procedimiento fue realizado en Windows 7 y en Windows XP SP3. 1. Descarga e instala la ltima versin de Physdiskwrite (http://m0n0.ch/wall/physdiskwrite.php) 2. Descarga la imagen de Zeroshell CompactFlash/IDE/USB/SATA 3. Extrae el archivo de imagen .img del archivo del gzip 4. Conecta a tu ordenador el pendrive usb en el cual deseas instalar zeroshell. 5. CRUCIAL: Usando el administrador de discos o otro software elimina todas las posibles particiones que contenga dejando solo una. Antes de eliminar particiones en el disco 1.

Despues de eliminar las particiones en el disco 1:

6. En windows xp haz click en ejecutar y teclea cmd. Si no encuentra el cuadro ejecutar teclee cmd en el cuadro de busqueda y aparecera. Haz click en cmd.exe y selecciona ejecutar como administrador y acepta los mensajes.

7. En la linea de comandos navegue al directorio donde guardo el archivo physdiskwrite 8. Teclea el siguiente comando escribiendo el nombre correcto de la imagen y su localizacion si no esta en el mismo directorio que Physdiskwrite physdiskwrite -u [nombre de la imagen .img ]

Veras una lista de las unidades disponibles en tu sistema (si no las ves es que no estas como administrador) En el ejemplo pueden ver que PhysicalDrive1 es mi unidad usb. 9. Teclea el numero de la unidad en la que deseas instalar zeroshell. 10. Recibira un mensaje de alerta indicando el disco que ha escogido, si esta seguro teclee y

11. La imagen se empezara a escribir en el pendrive usb, veras los bytes que lleva escritos, ten paciencia que tarda un rato. 12. Cuando la grabacion ha finalizado el pendrive ya puede ser usado para arrancar un pc con el zeroshell.

NOTAS: En mis pruebas he usado varias combinaciones de software basado en windows para grabar zeroshell: 1.0.beta12-CompactFlash-IDE-USB-SATA-1GB.img file (extraido del archivo .gz) 1.0.beta12-CompactFlash-IDE-USB-SATA-1GB.img.gz probado en dos usb diferentes (2GB y 4GB) Estos son los programas que he usado: physdiskwrite (ganador) flashnul (kept error) dd for Windows (grub errores) unetbootin (no escribio nada)

El unico que funciono bien en windows 7 fue physdiskwrite En windows xp funciono bien physdiskwrite los otros no los probe. Manual original de Eric Long traducido por marti vielha.

QoS y configuracin del trfico en modo bridge transparente

El propsito de este documento es describir la realizacin de un bridge transparente que es capaz de realizar QoS (Quality of Service) y gestin del ancho de banda en el trfico de red que lo atraviesa. La eleccin del modo bridge (en lugar del modo router) se justifica por la sencillez con que este componente puede ser introducido dentro de una topologa de red sin tener que cambiar los parmetros de IP, como la de subred y la puerta de enlace predeterminada. Como se muestra en el diagrama de la Figura 1, se aadir el bridge de calidad del servicio Qos entre el router de Internet y el switch de nivel 2 a travs del cual se conectan los ordenadores de la LAN. Tenga en cuenta que la simplicidad de la configuracin elegida no afecta al funcionamiento y ser posible aplicarlo en las topologas de redes ms complejas. En cualquier caso, tener en cuenta que el procedimiento sigue siendo vlido incluso si Zeroshell est configurado para actuar como router de capa 3 en lugar de bridge. Esto se debe a que QoS trabaja directamente en las tarjetas de red (Ethernet, VPN, PPPoE ...) y no dependen del modo de transmisin elegido (router o bridge).

Figura 1. QoS y Traffic Shaping en modo bridge

En la configuracin del siguiente ejemplo, vamos a crear un cierto nmero de tipos de trfico a los que le asignaremos los parmetros de calidad de servicio, la prioridad, el ancho de banda mnimo garantizado en caso de congestin de red y el mximo ancho de banda cuando la red no este congestionada. Vamos a utilizar los filtros de capa 7, que con el DPI (Deep Packet Inspection) pueden clasificar los trficos, como VoIP y peer-to-Peer los cuales no son posibles interceptar mediante el uso de filtros en los puertos TCP y UDP. En concreto, vamos a obtener los siguientes resultados: Clasificar el trafico VoIP (Voz sobre IP), y el producido por la SIP, H323, Skype y MSN Messenger en una clase de alta prioridad y ancho de banda garantizado. Al hacerlo, el tiempo de latencia se reduce y por tanto la calidad de vdeo y reproduccin de la voz es mayor; Limitar el ancho de banda mximo disponible para la transferencias de archivos P2P (Peer to Peer); Para evitar que el trfico producido por Telnet y SSH shell se retrase. Se clasifica este tipo de trfico dentro de una clase de alta prioridad y de baja latencia; Para clasificar el trfico generado por las transferencias FTP y SMTP, en el que muchos de los grandes paquetes de datos se mueven a travs de la red, pero que no necesitan una baja latencia. En este caso, tenemos que utilizar una clase con baja prioridad, pero sin lmite de ancho de banda mximo.

Para poner en orden las ideas, vamos a suponer tener un ancho de banda de Internet con 4 Mb/s de bajada y de 2 Mb/s de subida y asignar a las clases de calidad (Qos) los parmetros de la Tabla 1 Garantizad Maximo o 1Mbit/s 256Kbit/ s

QoS Clases VOIP P2P SHELL BULK DEFAULT

Protocolos SIP, H323, Skype, MSN Messenger eMule, EDonkey, KaZaA, Gnutella, BitTorrent, Direct Connect ssh, telnet ftp, smtp No clasificado

Prioridad Alta Baja Alta Baja Media

Tabla 1. Parmetros de las clases de calidad de servicio (Qos)

Antes de empezar a configurar el bridge en Zeroshell y llevar a cabo las polticas de calidad de servicio que queremos, es necesario tener en cuenta los siguientes conceptos: Cuando una clase de QoS se aplica a una tarjeta de red, se controla el trfico de salida de la tarjeta. En los paquetes entrantes no hay control. Mirando el punto anterior, se podra pensar que no es posible aplicar la QoS para el trfico entrante, pero esto no es del todo cierto, porque se puede configurar el trfico entrante desde la interfaz de ETH01 (figura 1) por el control de la salida del trfico de la ETH00.

En las siguientes secciones aprenderemos a configurar Qos en modo bridge transparente:

Hacer permanente nuestra configuracin:

Para que la configuracin de ZeroShell se vuelva permanente y se vuelve a cargar despus del reinicio del sistema, es necesario crear y activar una base de datos. Si usas una versin Live CD es necesario tener un lugar donde guardar la configuracin tal como un USB o un HD. Si en cambio usas una versin Compact Flash puedes guardarla en ella. Debido a su mayor estabilidad debes utilizar un sistema de archivos ext3 o ReiserFS. Puedes crear y formatear la unidad desde la interfaz grafica de zeroshell, pero ten cuidado si la unidad contiene datos importantes. Los pasos para crear y activar la base de datos son los siguientes: En la seccin [Setup] -> [Storage] seleccionar la particin en la que crear la base de datos y pulse el botn [Crear DB]; En la ventana que aparece (ver la imagen) insertar una descripcin de la base de datos, escriba y confirme la contrasea del usuario admin, compruebe que la direccin IP 192.168.0.75 se configura en el ETH00 de interfaz de red y configurar la puerta de enlace predeterminada a 192.168.0.254.

Pulse el botn [create] para proceder a la generacin de bases de datos. Activar la base de datos seleccionndola y presionando el botn [Activate]. El sistema se reinicia con la nueva configuracin (ver la imagen).

Cuando haya terminado esta fase, puedes estar seguro de que la configuracin ser permanente.

Creando el bridge BRIDGE00(ETH00,ETH01):

Ahora hay que crear el BRIDGE00 y agregarle las tarjetas de red ETH00 y ETH01 de modo que el trfico en la capa 2 pueda ser enviado entre ellas. Sin embargo, tenga en cuenta que cuando una tarjeta se convierte en miembro de un puente, automticamente pierde cualquier IP y configuracin de VLAN. Esto es un problema si estamos conectados a la interfaz grafica de Zeroshell a travs de una de las tarjetas que queremos aadir al Bridge. Solucion: En la consola de Zeroshell hay una opcin llamada "Create a Bridge" que permite migrar automticamente la configuracin (IPs y VLAN) de la tarjeta de red que has elegido a la nueva configuracin Bridge. Zeroshell tarda unos 15 segundos en crear la nueva configuracin, tiempo durante el cual se pierde la conexin. Los pasos necesarios para crear el BRIDGE00 (ETH00, ETH01) son los siguientes: Accede al men y pulse la tecla "B" correspondientes a la funcin "crear un puente". Si no has sido autentificado se te pedir la contrasea de administrador. A continuacin, pulse la tecla "Y" para confirmar. Elige la interfaz de ETH00 presionando la tecla "1". El puente se ha creado y ha heredado la IP 192.168.0.75 de la ETH00. Despus de unos segundos la conectividad entre el navegador en el que est usando la Web GUI y Zeroshell quedara establecida.

Ahora agregue la tarjeta ETH01 al BRIDGE00. Para hacer esto, utilizando la interfaz grfica de usuario Web, vaya a la seccin [Setup] -> [Network], y pulse el botn [Configure] perteneciente al BRIDGE00 y mueve la tarjeta ETH01 de la lista "Available interfaces" a los componentes del Bridge. (ver la imagen 1) confirmar pulsando el boton confirm y la tarjeta ETH01 sera movida a los componentes del Bridge. (ver la imagen 2).

Imagen 1

Imagen 2

Asignacin del ancho de banda global para las tarjetas de red en modo Bridge.
La asignacin del ancho de banda global para cada una de las tarjetas de red es una operacin fundamental para el buen funcionamiento de Qos. De hecho, ya que el sistema no es capaz de estimar de forma dinmica la disponibilidad de ancho de banda real, es necesario indicar una estimacin basada en el ancho de banda que se distribuir a las siguientes clases de QoS. Tenga en cuenta que si el ancho de banda real disponible en un momento dado es inferior al estimado, la Qos en ese momento no funcionara bien. Los pasos necesarios para asignar el ancho de banda global para las interfaces ETH00 y ETH01 son los siguientes: En la seccin [QoS] -> [Interface Manager], haga clic en el botn [Global Bandwidth] relacionados con la tarjeta ETH00. En el formulario que aparece (ver la imagen) establecer el ancho de banda mximo y el garantizado a 4 Mbits/s y confirme haciendo clic en el botn [Save];

Haga clic en el botn [Global Bandwidth] relacionado con la tarjeta de red ETH01 y establece el ancho de banda mximo y garantizado a 2 Mbit/s. Para activar la configuracin del ancho de banda global, haga clic en el botn [Activate last Changes].

Creacin de los tipos de QoS

Utilice el Administrador de la seccin [QoS] -> [Class Manager] (ver la imagen) para crear los Qos que necesitas. Ten en cuenta que inicialmente slo existe la clase DEFAULT en la que se enva el trfico sin clasificar.

Los pasos a seguir para crear las Qos son los siguientes: Haga clic en el botn [New] de "Class Manager" y escriba VOIP como nombre de la clase. Escribir la descripcin de "Voz sobre IP" y luego definir la prioridad en alta y el ancho de banda garantizado de 1 Mbit/s. Guarda la clase haciendo clic en Save. Crear la clase P2P utilizando el mismo procedimiento que en el paso anterior, con la descripcin " File sharing peer to peer " y luego establecer la prioridad en baja y el ancho de banda garantizado a 256 kbit/s; Crear la clase Qos SHELL con la descripcin de " Interactive shell traffic " y establecerla a alta prioridad; Crear la clase QoS BULK con la descripcin " Large data transfer " y establecerla a baja prioridad;

No se debe cambiar la configuracin de la clase Default porque queremos que todo el trfico sin clasificar tenga prioridad media y esto ya est establecido en esta clase.

Aadiendo clases Qos a las tarjetas del Bridge.

Ahora es el momento de asignar las clases de QoS creados en los pasos anteriores para las tarjetas de red, cuyo trfico de salida se desea controlar. Los pasos para llevarlo a cabo son las siguientes: Clic en [QoS] -> [Interface Manager], y [Add Class] relacionadas con la interfaz ETH00. Desde la ventana de dilogo que aparece (ver la imagen), haga clic en el botn [Add] para las Qos VoIP, P2P, SHELL y BULK;

Aadir las mismas clases a la interfaz ETH01 con el mismo procedimiento del paso anterior; Activar Qos para ETH00 y ETH01 haciendo clic en los cuadros debajo de "On"; Guarde los cambios haciendo clic en el botn [Activate last Changes].

Tenga en cuenta que ha activado Qos directamente en (ETH00, ETH01) pero no en BRIDGE00. En este punto Qos est trabajando en el bridge, pero todo el trfico saliente es de la clase DEFAULT, ya que todava no se ha clasificado el trfico. En los pasos siguientes vamos a hacer eso.

Vinculando los tipos de trafico a Qos.

Para enlazar un servicio en el que desea aplicar la QoS a una clase se debe usar el Classifier. Los pasos a seguir para clasificar el trfico son las siguientes: Selecciona el clasificador de la seccin [QoS] -> [Classifier] (ver la imagen).

Pulse el botn [Add] para insertar la primera regla en el clasificador relacionada con el intercambio de archivos P2P. En la ventana de dilogo que aparece (ver la imagen) marcar todos los peer-to-peer.

Seleccione la clase de destino P2P y, a continuacin, haga clic en el botn [Confirm] para confirmar la regla; Ahora es el momento de clasificar el trfico VoIP. Comienza con el protocolo SIP que lo identifique con el L7-filtro y el Qos VoIP como objetivo (ver la imagen).

Usando el mismo procedimiento, se debe clasificar en la clase VoIP, los protocolos de H323, Skype a Skype y MSN Messenger;

Para clasificar el trfico interactivo en la Qos Shell que tiene una baja latencia utiliza las caractersticas de un servidor ssh que escucha en el puerto TCP 22 y el telnet en el puerto TCP 23. Se necesitan cuatro reglas, ya que el clasificador debe clasificar los paquetes con puerto de origen y destino iguales a estos valores (22 y 23). Este es un ejemplo de estas reglas.

Para clasificar la mayor parte del trfico generado por las transferencias de correo electrnico se utiliza la caracterstica de que un servidor SMTP escucha en el puerto 25/tcp (ver la imagen);

Aunque el FTP utiliza el puerto 21/tcp para inercambiar los comandos, las transferencias tienen lugar en puertos aleatorios y por lo tanto la manera ms fcil de clasificar es la clase BULK, es mediante el uso de la capa 7 del filtro (ver la imagen).

Guardar y activar las reglas que has creado haciendo clic en el botn [Save].

Nota: la clasificacin del trfico es una de las operaciones ms complejas que participan en la construccin de Qos sistema de calidad de servicio No siempre es fcil identificar el tipo de conexin utilizando como filtro nico parmetros como las direcciones IP y los numerosos puertos TCP / UDP. De hecho, a menudo hemos utilizado los filtros de capa 7 (l7-filter project) que son capaces de inspeccionar la carga de los paquetes usando expresiones regulares para clasificar el trfico de la capa de aplicacin. Sin embargo, no se debe abusar en el uso del filtro L7, por dos razones. En primer lugar, este tipo de control, que aplica al contenido de los paquetes consume ms CPU que los filtros de direcciones IP y puertos TCP / UDP y por lo tanto no podran funcionar bien en sistemas basados en procesadores lentos. La segunda es que para algunos protocolos los filtros L7 tienen el problema del sobre emparejamiento que es cuando un paquete que no pertenece a un protocolo se identifica como parte de el.

En general, usted no debe usar los filtros de capa 7, cuando es posible identificar una conexin utilizando otros tipos de condiciones. Supongamos, por ejemplo, que en su situacin todas las videoconferencias H.323 utilizen el mismo MCU (Multipoint Conferencing Unit): en este caso, en vez de identificar las conexiones H.323 con el L7filtro, pueden ser clasificadas con la direccin IP de la MCU.

Ver las estadsticas de Qos

En este punto, Qos est trabajando en modo bridge y el trfico debera ser clasificado en las clases Qos que ha creado. Para asegurarse de que la clasificacin de Qos funciona bien, puede ver las estadsticas en la seccin [QoS] -> [Statistics] (ver la imagen).

Para cada tarjeta de red en la cual Qos esta activada, usted puede ver las clases Qos asociadas y para cada clase puede ver la configuracin (prioridad, mximo ancho de banda y ancho de banda garantizado) as como la cantidad de bytes que se envan fuera de la clase y el tipo, es decir, el nmero de bits por segundo que se transmiten de la clase. Adems, es posible mostrar el grfico sobre el trfico saliente clasificado por tipo de trfico.

Configuracin de un cliente OpenVPN en Windows, Linux, Mac OS X y Windows Mobile para Pocket PC
El propsito de este breve documento es guiar a configurar el cliente para obtener acceso a su red local a travs de OpenVPN. Vamos a considerar la interfaz de usuario principal de OpenVPN para Windows, Linux, Mac OS X, Windows Mobile para Pocket PC y poner fin al uso de OpenVPN desde la lnea de comandos sin interfaz grfica de usuario. Esta ltima posibilidad es til porque el comando OpenVPN, Convocada por sistema (ya sea un comando de shell de Unix del sistema de Windows), acepta los mismos parmetros y se comporta de la misma manera, independientemente de la plataforma. Por otra parte, el comando OpenVPN se puede utilizar en scripts para automatizar el inicio automtico de la VPN. Nuestro objetivo es tener acceso a un servidor VPN con Zeroshell construido y configurado con los parmetros por defecto. Para lograr este servidor ser suficiente, por lo tanto, una vez en una red de servidores Zeroshell, simplemente habilitar el servicio OpenVPN activar la casilla de Habilitado en el [VPN] -> [l] Zeroshell interfaz Web. Por defecto, el servicio de nuestro servidor OpenVPN escuchara en el puerto 1194/TCP con encriptacin TLS / SSL y compresin lzo habilitado. La autenticacin de usuarios se har con nombre de usuario y contrasea, pero tambin la varieremos de su configuracin para poner la autenticacin con certificados digitales X.509. Para ms detalles sobre la configuracin de un servidor OpenVPN, que estn fuera del alcance de este documento, puede consultar la gua "Un servidor con OpenVPN Zeroshell. stas son las secciones que conforman el resto de esta gua. Tenga en cuenta que la primera de ellas, archivo de configuracin de OpenVPN es comn a otras secciones y es independiente de la interfaz grfica de usuario o el sistema operativo que utilice.

El archivo de configuracin de OpenVPN OpenVPN GUI para Windows Tunnelblick para Mac OS X Kvpnc Linux OpenVPN para Windows Mobile Pocket PC La lnea de mando de OpenVPN Compilacin e instalacin de OpenVPN

El archivo de configuracin de OpenVPN

Gracias a los muchos parmetros que pueden ser incluidos en el archivo de configuracin o especificados en la lnea de comandos, la configurabilidad OpenVPN es realmente impresionante. Sin embargo, con el fin de conectarse a un servidor construido con OpenVPN Zeroshell es suficiente conocer algunos de ellos. Para simplificar an ms el procedimiento, usted puede descargar un archivo de configuracin predeterminados, haga clic en el vnculo Archivo de configuracin de clientes OpenVPN. ver siguiente pagina.

#================================================= ===========================# # Especifica el nombre de host o direccin IP, nmero de puerto y el # # Protocolo con el que llega a el servidor OpenVPN # # El nombre de host tambin puede ser dinmico "(es decir, DynDNS). # #================================================= ===========================# zeroshell.example.com remoto 1194 proto tcp

#================================================= ===========================# # Deja que la siguiente entrada es necesaria si desea nombre de usuario y contrasea. # # Comentario si desea utilizar la autenticacin con certificados X.509. # #================================================= ===========================# -auth user-pass

#================================================= ===========================# # No importa el tipo de autenticacin, siempre debe especificar un # # Archivo en formato PEM, que contiene el certificado de la Certificacin # # Autoridad que firm el certificado del servidor OpenVPN. # # Se puede obtener este certificado, haga clic en el enlace en la pgina # CA # Nombre de ZeroShell. # #================================================= ===========================# ca CA.pem

#================================================= ===========================# # Si desea utilizar la autenticacin X.509, debe especificar el archivo # # Contiene el certificado y su clave privada en formato PEM. # # Usted puede unirse al certificado y la clave privada en el mismo archivo. # #================================================= ===========================# , Client.pem cert ; Client.pem clave

#================================================= ===========================# # No debera ser necesario configurar los siguientes parmetros # #================================================= ===========================# comp-lzo verb 3 silenciar 20 resolv-retry infinito nobind cliente dev tap persisten-clave persisten-tun

Para cada parmetro que podra ser de inters para el usuario, el archivo de configuracin contiene un comentario. Sin embargo, slo hay dos parmetros que usted necesita definitivamente cambiar para poder conectarse a un servidor construido con OpenVPN Zeroshell:

zeroshell.example.com remoto 1194 Debe reemplazar zeroshell.example.com, con el nombre de host o direccin IP del servidor OpenVPN. La configuracin por defecto proporciona la escucha de Zeroshell OpenVPN en el puerto 1194/TCP y por lo tanto el segundo parmetro (1194) pueden permanecer sin cambios.

ca CA.pem Parmetro ca indica un archivo en formato PEM que contiene el certificado X.509 de la Autoridad de Certificacin que firm el certificado del servicio del servidor OpenVPN. Para obtener este certificado, simplemente, haga clic en el enlace en la pgina de acceso CA Zeroshell (vase el Figura).

Figura.

Si guarda el certificado en el mismo directorio que el archivo de configuracin y lo llama CA.pem, puede dejar este parmetro sin cambios. De lo contrario, es necesario indicar la ruta absoluta. Tenga en cuenta que el certificado de Autoridad de Certificacin es necesario incluso si usted no utiliza la autenticacin X.509 del cliente y luego optar por la autenticacin de "Slo Password" (Por defecto en Zeroshell).

Observe que los OpenVPN GUI no dar ningn apoyo a la creacin o modificacin de archivos de configuracin. Slo permite la conexin, desconexin y requiere nombre de usuario y contrasea cuando sea necesario. Este archivo debe ser editado manualmente.

OpenVPN GUI para Windows

Para instalar OpenVPN GUI para Microsoft Windows XP 32-o 64 bits, haga lo siguiente:

Descargar el paquete de instalacin de la URL http://openvpn.se/download.html. Elija la versin que contiene, adems de software la interfaz grfica de usuario OpenVPN Iniciar la instalacin. Elija las opciones por defecto y confirme su intencin de continuar con la instalacin de la TAP-Win32 Adapter V8 (Interfaz virtual es usado por OpenVPN). Despus del proceso de instalacin, aparece un icono en la barra de tareas con dos terminales y un globo rojo. Estos terminales se ponen amarillos cuando se intenta una conexin y, finalmente, de color verde cuando se establece la conexin VPN con la red LAN remota; Desde el men Inicio de Windows, haga clic en [Inicio] -> [Programas] -> [l] -> [l directorio de archivos de configuracin]. Esto abrir la carpeta: C: \ Archivos de programa \ OpenVPN \ config cuando tenemos que copiar un archivo dentro de la zeroshell.ovpn que contiene la configuracin y la CA.pem que contiene el certificado X.509 de la Autoridad de Certificacin. Consulte seccin anterior Si no ests seguro de cmo conseguir los dos archivos;

Editar el archivo zeroshell.ovpn y sustituir zeroshell.example.com con el nombre de host o direccin IP del servidor OpenVPN; En este punto, haciendo doble clic en el icono OpenVPN en la barra de la bandeja, se inicia el procedimiento de conexin. Un pop-up de dilogo aparece y en el hay que insertar un nombre de usuario y contrasea (ver Nota *). Si la autenticacin es satisfactoria, la conexin VPN se establecer y las dos terminales de OpenVPN mostraran un icono verde.

Al hacer clic en el botn derecho del ratn sobre el icono de la barra de tareas de OpenVPN aparece un men con varias opciones tiles que se enumeran a continuacin y hablan por s solas: Conectar, Desconectar, Mostrar el estado, Ver Log, Editar, Configurar, Configuracin de proxy. En particular, si usted experimenta problemas de conexin y til la opcion Ver Log para determinar la causa del fallo. Pero si se realiza la conexin, entonces la terminal 2 del icono es verde, pera llegar a la red LAN remota o Internet, puede que quiera usar el comando ipconfig / all He aqu un ejemplo:

Adaptador Ethernet Conexin de rea local (LAN) 7: De conexin especfica sufijo DNS: Descripcin. . . . . . . . . . . . . : TAP-Win32 Adapter V8 Direccin fsica. . . . . . . . . . . : 00-FF-AD-63-83-3D DHCP habilitado. . . . . . . . . . . . S Configuracin automtica habilitada. S Direccin IP. . . . . . . . . . . . . : 192.168.250.51 Mscara de subred. . . . . . . . . . . . . : 255.255.255.0 Puerta de enlace predeterminada. . . . . . . . . : 192168250254 Servidor DHCP. . . . . . . . . . . . . : 192.168.0.0 Servidor DNS. . . . . . . . . . . . . : 192168250254 Obtencin de la concesin. . . . . . . . . . . . : Jueves, septiembre 20, 2007 19:51:37 Vence el contrato. . . . . . . . . . . .: Viernes, septiembre 19, 2008 19:51:37

Usted debe comprobar que la VPN se completo correctamente, que la ruta se lleva a cabo correctamente y, a continuacin la direccin IP y puerta de enlace predeterminada pertenecen a la subred LAN remota a la que se registran en Red Privada Virtual. Como garanta adicional de que el trfico es realmente enrutado a travs de la VPN, escriba el comando: tracert / d <direccin IP ordenador>. Si el primer router que se encuentra en la LAN remota a la que ha conectado, entonces hay que ver el flujo de trfico en VPN encriptado como se esperaba.

Tunnelblick para Mac OS X

Una interfaz grfica de usuario para OpenVPN en Mac OS X Tunnelblick. Para instalar la interfaz grfica de usuario que utiliza los pasos siguientes:

Descargar el paquete de instalacin de la URL http://www.tunnelblick.net. Este es un archivo comprimido. Zip que tambien contiene la GUI de OpenVPN; Haga doble clic en el archivo zip (supongamos que est en el escritorio) para extraer su contenido. Aparece el nombre del ejecutable en el escritorio Tunnelblick; Iniciar el archivo ejecutable Tunnelblick con un doble clic. Pulse [Continuar] en el cuadro de dilogo que aparece para avisarle donde quiere poner sus archivos de configuracin Biblioteca / openvpn /. Cierre la ventana que se abre para permitir que se modifique el ejemplo de archivo de configuracin openvpn.conf; El GUI de OpenVPN Tunnelblick ya est instalado y la barra superior, cerca del reloj, aparece su icono. Ahora, contine con la configuracin necesaria para acceder a un servidor construido con OpenVPN Zeroshell; Siga el procedimiento descrito en la seccin El archivo de configuracin de OpenVPN para obtener el archivo de configuracin zeroshell.ovpn y el archivo CA.pem que contiene el certificado X.509 de la Autoridad de Certificacin. Abra el Finder y seleccione el directorio Biblioteca / openvpn (el usuario y no el del sistema). Eliminar el ejemplo de archivo de configuracin openvpn.conf y arrastre los dos archivos en el directorio obtenido anteriormente; Cerrar Tunnelblick seleccione [Salir] en el men contextual que aparece al hacer clic en el icono. A continuacin, reinicie haciendo doble clic en el archivo ejecutable Tunnelblick. Ahora, al hacer clic en el icono de Tunnelblick aparece cuando [Zeroshell Connect ''], que proporciona una conexin a VPN Zeroshell; Seleccione el men [Detalles ...] se abre un cuadro de dilogo y presione [Editar configuracin]. Reemplace zeroshell.example.com con el nombre de host o direccin IP del servidor VPN. Guarde el archivo de configuracin. Prueba de la conexin VPN, haga clic en [Zeroshell Connect '']. Aparece un pop-up para introducir nombre de usuario y contrasea (ver Nota *).

Si tiene problemas para conectarse, puede ser til consultar los registros de OpenVPN para determinar la causa del problema,. Para ello slo tiene que seleccionar el icono de la Tunnelblick [Detalles]. Si desea verificar que la direccin IP que utiliza la VPN, pertenece realmente a la red LAN remota est conectado, abra una terminal y Mac OS X en el shell del sistema, escriba el comando: ifconfig tap0 cuya produccin es similar a lo siguiente: tap0: flags = 8843 mtu 1500 <UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> inet 192.168.250.1 netmask 0xffffff00 emisin 192168250255 ter B6: da: D9: 91:22: ff abierto 368 (PID)

El artculo inet indica que la direccin IP es 192.168.250.1 (Zeroshell por defecto si no se configura cedidos a los clientes VPN remotos direcciones que pertenecen a la subred 192.168.250.0/24 con puerta de enlace predeterminada 192.168.250.254). Para estar absolutamente seguro de que el trfico es realmente enrutado a travs del tnel cifrado por la VPN utiliza el comando traceroute-n host> ordenador>. Para que el enrutamiento de VPN sea correcto, el primer salto del router debe ser una LAN remota (192.168.250.254 con la configuracin por defecto de OpenVPN Zeroshell configurado).

Kvpnc Linux
Kvpnc Linux es una interfaz que controla la mayor parte de clientes VPN disponibles: Cisco VPN, IPSec, PPTP, OpenVPN, L2TP. Es muy amplio y flexible, de modo que tambin tiene soporte para tarjetas inteligentes Obviamente, en este contexto, el documento de instalacin y configuracin nica en OpenVPN. Hay paquetes precompilados para la mayora de distribuciones de Linux como RPMs para SuSE y Fedora. En cuanto a Ubuntu y Kubuntu (o Debian otros derivados), puede instalar kvpnc con OpenVPN simplemente con los comandos: sudo apt-get install openvpn sudo apt-get install kvpnc Tenga en cuenta que a diferencia de otras interfaces grficas de usuario, el paquete no incluye la kvpnc OpenVPN en cambio, se instalan por separado. A fin de mantener la discusin lo ms independiente posible de la distribucin de Linux en particular, compilar los fuentes directamente kvpnc, pero si hay un paquete binario para su distribucin, se invita a utilizarlos. Desde kvpnc utiliza la biblioteca Qt, la presencia de estas bibliotecas y de cualquier archivo es un requisito previo para la compilacin. En los pasos siguientes, vamos a suponer que OpenVPN ya est instalado. Si no, vase el prrafo Compilacin e instalacin de OpenVPN. Ahora se procede con la instalacin y configuracin de kvpnc:

Descarga el cdigo fuente desde el sitio http://home.gna.org/kvpnc/. En el siguiente se har referencia a la versin 0.8.9 de kvpnc, pero an debe descargar la ms reciente disponible; Extraiga el contenido del paquete con el comando: tar xvfj kvpnc-0.8.9.tar.bz2 Compilar e instalar kvpnc con la secuencia de comandos: kvpnc cd-0.8.9 . / Configure hacer sudo make install En algunas distribuciones, debe especificar explcitamente la ubicacin de los archivos de inclusin y bibliotecas QT. En este caso, agregar los parmetros - With-qt-includes = / usr/lib64/qt-3.3/include / - with-qt-libraries = / usr/lib64/qt-3.3/lib / comando . / ConfigureSustitucin / Usr/lib64/qt-3.3 / con el camino apropiado para su distribucin de Linux; Crear el / Etc / openvpn / el comando sudo mkdir / etc / openvpn y copiar los archivos dentro de zeroshell.ovpn y CA.pem. Para obtener estos archivos, por favor vaya a El archivo de configuracin de OpenVPN; Para utilizar kvpnc conun usuario no privilegiado debe utilizar sudo. Para ello, tienen privilegios de root, agregar la siguiente lnea al final del archivo / Etc / sudoers: TODOS LOS ALL = NOPASSWD: / usr / bin / kvpnc Cuando usted necesite ejecutar el comando kvpnc utiliza la sintaxis: / usr / sudo / bin / kvpnc De esta manera, kvpnc tendr los privilegios de root que necesita para crear la interfaz virtual Ethernet tap0 y agregar rutas estticas a la ruta del trfico de la VPN;

Importar el perfil para conectarse a un servidor VPN Zeroshell con el siguiente comando: kvpnc - openvpnimport = / etc / openvpn / zeroshell.ovpn Desde el Administrador de perfil que aparece, utilice las siguientes configuraciones: o Desde la pantalla General configurar el Puerta de enlace VPN con la direccin IP o nombre de host del servidor VPN Zeroshell; o Desde la pantalla OpenVPN Asegrese de que la voz de Mtodo de autenticacin se establece en SHA1 en lugar de MD5; Pulse [Aplicar] y luego [Aceptar] en el Administrador de perfiles y [Perfil] -> [Guardar perfil ...] guardar el perfil y cerca de kvpnc con el elemento de men [Archivo] -> [Salir];

A continuacin, ejecute el comando / usr / sudo / bin / kvpnc y pulse [Connect] para conectarse a VPN Zeroshell. En este punto se requiere de usuario y contrasea (ver Nota *) Y si la autenticacin es satisfactoria, la conexin VPN se establece con la red remota.

Para comprobar que la direccin IP que est utilizando la VPN, lo que realmente pertenece a la red LAN remota est conectado, simplemente abra un intrprete de comandos y escriba el comando: / Sbin / ifconfig tap0 cuya produccin es similar a lo siguiente: tap0 Link encap: Ethernet HWaddr 26:8 F: 1E: 31:44: DD inet addr: 192.168.250.50 Bcast: 192168250255 Mask: 255.255.255.0 inet6: fe80:: 248F: 1eff: FE31: 44dd/64 Alcance: Vnculo UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1 RX packets: 19 errors: 0 dropped: 0 overruns: 0 frame: 0 TX packets: 25 errors: 0 dropped: 0 overruns: 0 carrier: 0 collisions: 0 txqueuelen: 100 RX bytes: 1384 (1.3 MiB) TX bytes: 1668 (1.6 MiB) El artculo inet indica que la direccin IP 192.168.250.50 (Zeroshell por defecto si no se configura cedidos a los clientes VPN remotos direcciones que pertenecen a la subred 192.168.250.0/24 con puerta de enlace predeterminada 192.168.250.254). Para estar absolutamente seguro de que el trfico es realmente enrutado a travs del tnel cifrado por la VPN utiliza el comando traceroute-n host> ordenador>. Para que el enrutamiento de VPN sea correcto, el primer salto debe ser una LAN remota (192.168.250.254 con la configuracin por defecto de OpenVPN Zeroshell configurado).

OpenVPN para Pocket PC

OpenVPN para Pocket PC software todava est en versin Alpha, pero despus de muchas pruebas demostraron ser lo suficientemente estables y fiables. Las pruebas se realizaron en Microsoft Windows Mobile versin 5.0 instalado en una computadora de mano i-Mate JASJAR (equivalente a un HTC Universal Qtek 9000), sin embargo, no debera haber problemas, incluso corriendo en WM 2003 y otros modelos de PDA. Antes de ver la instalacin y configuracin, por favor, tenga en cuenta que, al tener que modificar manualmente el archivo de configuracin de OpenVPN, usted debe conectar a su PDA a travs de ActiveSync y hacer los cambios con un editor de un PC. Alternativamente, si desea hacer cambios directamente en la computadora de mano, debe instalar la Total Commander CE , que es un programa gratuito de Administrador de archivos para Pocket PC, disponible en la URL http://www.ghisler.com/pocketpc.htm. Este Filemanager integra, entre otras cosas, un editor sirve a nuestros propsitos. stos son los pasos necesarios para instalar OpenVPN para Pocket PC:

Transferencia de OpenVPN para Pocket PC el sitio http://ovpnppc.ziggurat29.com/ovpnppcmain.htm. El paquete puede ser descargado en dos formatos: en . Exe utilizar para la instalacin de PC con el PDA conectado a travs de ActiveSync, el formato . Cab instala directamente desde la computadora de mano en s. Elija el formato que sea adecuado e instalelo; Suponiendo que ha instalado OpenVPN para Pocket PC carpeta \ Archivos de programa \ OpenVPN en la memoria del dispositivo, copiar los archivos zeroshell.ovpn y CA.pem a Archivos de programa \ OpenVPN \ config. Para obtener estos archivos, por favor vaya a El archivo de configuracin de OpenVPN; Editar el archivo de configuracin \ Archivos de programa \ OpenVPN \ config \ zeroshell.ovpn para permitir la conexin a un servidor construido con OpenVPN Zeroshell: o Reemplace zeroshell.example.com con la direccin IP o nombre de host del servidor OpenVPN; o Reemplace CA.pem con la ruta completa del archivo que contiene el certificado en formato PEM de la Autoridad de Certificacin. En nuestro caso, debemos especificar: ca "\ \ Archivos de programa \ \ OpenVPN \ \ config \ \ CA.pem"

Las comillas y barras dobles son requeridos por la sintaxis; Haga clic en el icono de OpenVPN y el elemento de men De configuracin de arranque. elegir zeroshell. En este punto se requiere de usuario y contrasea (ver Nota *). Si la autenticacin es satisfactoria, la conexin VPN se establece y 2 terminales de OpenVPN se iluminan en verde;

Cualquier falta de consulta a los registros de acceso para conectarse \ Archivos de programa \ OpenVPN \ log \ zeroshell.log. Por ltimo, para verificar que el trfico a la red remota o Internet es en realidad encapsulada en el tnel de VPN encriptado, debe realizar una traceroute y comprobar que cumple con el primer salto pertenece a la red LAN remota (el valor predeterminado es Zeroshell 192.168.250.254). Sin embargo, Windows Mobile no se ha trazado de forma nativa y por ello es necesario instalar una utilidad externa. El software libre es til para ceNetTools que, adems de traceroute Tambin le permite realizar comandos Ping y el comando Whois.

La lnea de mando de OpenVPN

Si el sistema que est utilizando no tiene un interfaz grfico para OpenVPN o la manera en que desea automatizar el inicio de la conexin VPN a travs de los scripts de inicio, debe utilizar el comando directamente OpenVPN. Slo tienes que escribir openvpn hombre que estn disponibles para realizar una serie de parmetros que pueden influir en el comportamiento de la VPN. Estos parmetros se pueden especificar directamente en la lnea de comandos precedidos por un guin doble (--), o se inserta en un archivo de configuracin. Salvo unos pocos casos, siempre debe utilizar el archivo de configuracin porque es ms fcil de leer que una lnea de comandos agobiados por numerosos parmetros. No es el alcance de este documento responde a los parmetros de OpenVPN, en parte porque las pginas de manual que viene con el comando hombre estn bien detallados. Ver slo los pasos para conectarse a un servidor construido con OpenVPN Zeroshell:

Lugar en un solo directorio (por ejemplo / Etc / openvpn /) Archivo de configuracin zeroshell.ovpn CA.pem y el archivo que contiene el certificado en formato PEM de la Autoridad de Certificacin. Para obtener ms informacin acerca de cmo obtener estos archivos, consulte El archivo de configuracin de OpenVPN; Editar el archivo de configuracin zeroshell.ovpn sustituirzeroshell.example.com con la direccin IP o nombre de host del servidor de VPN;

En el mismo directorio donde se colocan los archivos de configuracin, ejecute el comando: openvpn - config zeroshell.ovpn Se le pedir nombre de usuario y contrasea si la autenticacin es satisfactoria ver la lnea en el registro de: Inicializacin secuencia completa

Compilacin e instalacin de OpenVPN

Para la mayora de los sistemas para los que se apoya OpenVPN, estn los los paquetes precompilados. Sin embargo, especialmente para Linux, dada la gran cantidad de distribuciones que existen, hay casos en que es necesario compilar el cdigo fuente de OpenVPN. Vemos los pasos para hacer esto:

Descarga desde el sitio http://openvpn.net el paquete que contiene el cdigo fuente de la ltima versin estable disponible; Extraiga el contenido del paquete fuente utilizando el comando tar de la siguiente manera: tar xvfz openvpn-2.0.9.tar.gz Introduzca el directorio directorio openvpn-2.0.9 a travs de comandos cd openvpn-2.0.9 Ejecute el sistema de control para la produccin de Makefile con el comando: . / Configure - prefix = / usr / Si el comando . / Configure se queja de la falta de software de compresin lzo, Instalarlo de la siguiente manera: o Descarga el cdigo fuente desde el sitio lzo http://www.oberhumer.com/ y extraer el contenido con el tar xvfz lzo-2.02.tar.gz o Entra en el directorio lzo-2.02 e instalar el software de compresin lzo debido a los siguientes comandos: . / Configure hacer make install(Este comando requiere privilegios de administrador) Instalado lzoDespus de volver al directorio de openvpn-2.0.9, Vuelva a ejecutar el comando . / Configure - prefix = / usr /

Compilar el cdigo fuente basado en la recin generada Makefile con el comando: hacer Instale el programa binario OpenVPN y su pgina de manual mediante el comando: make install Desde la instalacin del sistema de directorio / Usr /, Este comando debe ejecutarse con privilegios de administrador.

Notas
(*) La forma en que se validan las credenciales del usuario depende de la configuracin del servidor OpenVPN. Zeroshell le permite aadir dominios de autenticacin mltiples, cada uno de los cuales pueden ser autenticados en el KDC de Kerberos 5 (local, externo o por medio de la autenticacin), o un servidor RADIUS externo. Uno de estos dominios es el valor predeterminado, lo que significa que el usuario que especifica el nombre de usuario no est obligado a declararlo explcitamente. En otros casos, el nombre de usuario debe ser en forma nombre de usuario @ dominio (fulvio@example.com por ejemplo). Tenga en cuenta que el dominio no es sensible a maysculas, porque si es un Kerberos V, Zeroshell lo convierte automticamente a maysculas.

Elige ahora cadena FORWARD y haga clic en Ver, estas son las polticas para conseguir a travs del firewall:

Podemos ver que se permiten las peticiones de los ETH00 interior ETH01 externa, nada est establecido de ETH01 a sonothing ETH00 pasar a travs de.