VPN Net to Net con Zentyal. Paso a Paso.

Hola gente prudente! Hoy vamos a continuar probando Zentyal del que ya hemos visto algo en este blog. Esta vez vamos a implementar una conexión VPN Net to Net (o Site to Site). Como va a ser un poco largo el post, esta vez me dejo de introducciones y voy directo al lío.

Para ponernos en situación digamos que la empresa X ha abierto dos delegaciones una en Teruel y otra en Huesca.

Es interesante para el funcionamiento de la empresa, que las redes de ambas delegaciones estén comunicadas para acceder a recursos compartidos; facturación, datos de clientes etc.. Por supuesto estos datos sensibles necesitan comunicaciones seguras y aquí es donde estamos, realizando esta tarea con Zentyal.

Entre las dos máquinas, en un escenario real, estaría internet con ISP, servidores DNS etc, pero en Virtualbox he montado un router Pfsense para conectar las dos máquinas Zentyal. En Zentyal debemos instalar los módulos VPN y CA (CA se instala automáticamente cuando instalamos VPN).

Aquí debajo os dejo un esquema simple de la instalación, nada complicado como podéis ver.

 

 

Empezamos con la máquina de la oficina de Huesca. Lo primero que haremos es cambiar el nombre de la máquina por uno mas apropiado. 

 

 

 

A continuación configuramos los interfaces de red. Un interfaz lo ajustamos como interfaz WAN dejando seleccionado el checkbox “Externo WAN”. Si Zentyal estuviera directamente conectado a internet por este interfaz, deberíamos usar la ip externa que nos asigne nuestro ISP, pero quizá lo mas corriente sería que estuviera detrás de un router o firewall, en cuyo caso deberíamos hacer los respectivos reenvios de puertos hacia Zentyal. Tomaremos nota de esta dirección IP por que la necesitaremos mas adelante. En este caso es 35.100.100.

 

Para el interfaz LAN usaremos la ip que nos interese.

 

 
Una vez hecho esto vamos a crear una nueva CA. 

 

 

 

 

 

Después levantamos un nuevo servidor VPN en el menú “VPN” >> “Servidores” y después pasamos a la configuración.

 

 

 

(1) Seleccionamos protocolo y puerto para la VPN, yo lo he dejado como está pero ustedes pueden configurarlo como les convenga.

(2) Dirección IP para el túnel VPN, si tenemos una dirección local igual a esta debemos cambiar la IP del túnel.

(3) Permitir túneles de Zentyal a Zentyal

(4) Contraseña de túneles de Zentyal a Zentyal, no es obligatorio pero si recomendable.

(5) Interfaz en la que escuchar. Muy importante seleccionar el correcto.

(6) Autorizar clientes por el Nombre Común. Solo los clientes con el CN seleccionado pueden usar la conexión.

Con la configuración terminada pasamos a la configuración de las redes anunciadas, que son la red o redes que queremos abrir a la conexión VPN. Muy importante que sean las correctas si no nada funcionará. Podemos añadir varias redes si fuera preciso; si solo tenemos una LAN, como es este caso, se seleccionará automáticamente.

 

 

 

 

A continuación creamos un cliente de VPN para la conexión contra la otra máquina Zentyal.

 

 

Si hacemos clic en la configuración del cliente nos saldrá un aviso y un enlace para crear un crear un certificado para este cliente antes de continuar con la configuración.

 

 

Para crear el certificado necesitamos en Nombre Común (Common Name) de la otra máquina. Por eso hemos cambiado lo primero el nombre de la máquina para que no coincidan, en principio no sería obligatorio pero los nombres coincidentes en algunas configuraciones de red provocan comportamientos erráticos en la conexión así que mejor los cambiamos que no cuesta nada. El Nombre Común es el FQDN, en este caso será Teruel.Zentyal-domain.lan. Otra opción disponible es añadir un “Subject alternative Names” con el formato DNS:dirección.dns,IP:direcciónip; Para este ejemplo lo he dejado en blanco pero en un escenario real quizás sería conveniente configurarlo.

 

 

Procedemos a descargar el paquete para el otro cliente, la ip es la 35.100.0.100.

 

 

Ahora pasamos a configurar la otra máquina. La configuración es muy parecida así que vamos a repetir los pasos.

 

Cambio de nombre de la máquina. Como hemos cambiado la otra, realmente ya no sería necesario, pero para mayor claridad podríamos hacerlo igualmente

Configuramos los interfaces de red. La ip del WAN de esta máquina será 35.100.0.200

Creamos una entidad certificadora.


La configuración del servidor es idéntica al otro, solo le ponemos un nombre diferente. Igualmente nos aseguramos que las redes anunciadas son las correctas y no están en el mismo rango porque la instalación no funcionará, así que ojo con esto. También tenemos que poner diferentes direcciones para los túneles. En teoría en una conexión Net to Net se establece un solo túnel pero Zentyal se conecta con un túnel doble.

Se puede establecer la conexión con un sólo túnel pero hay que hacer varias configuraciones bastante complejas y creo que va en contra del espíritu de Zentyal que busca sobre todo la sencillez y esta es la solución mas sencilla.

 

 

 

 

Como antes creamos un certificado para el cliente de Huesca, necesitaremos el Nombre Común, huesca.zentyal-domain.lan en este caso. 

 

 

Ahora procedemos a descargar el paquete para el otro cliente, la ip es la 35.100.0.200.

Y ya con los servidores dispuestos tenemos que intercambiar los paquetes de configuración y subirlos a los clientes. Es posible configurar los clientes con un paquete .tar.gz pero tenemos que recordar que hay que darles permisos para que los acepten las máquinas contrarias. Simplemente tecleamos en la terminal:

 

~# chmod 776 nombredel.tar.gz 

 

 

Con todo dispuesto podemos iniciar el servicio y los clientes haciendo click en los checkbox correspondientes. (Os los señalo debajo).

 

 

 

 

A continuación podemos ir a los Dashboard de los Zentyal y comprobar que los servicios están activos.

 

 

Si hacemos ping a las direcciones ping entre si desde las máquinas veremos que obtenemos respuesta entre las dos máquinas Zentyal así que la conexión VPN entre las máquinas esta establecida, pero ¿y la redes locales? Si hacemos ping de la red LAN de Huesca a la de Teruel no obtenemos respuesta; así que nos queda algo que hacer todavía.

 

Ping desde la máquina de la oficina de Teruel

 

 
Vamos al menú “Red” >> “Servicios” y creamos un servicio nuevo, le podemos llamar vpn como yo o como os parezca conveniente. Luego vamos a la configuración.

 

 

 

Editamos el servicio, ya podéis ver en la imagen inferior que es muy sencillo.

 

 

A continuación vamos al menú “Cortafuegos” >> “Filtrado de paquetes” y crearemos un par de reglas: 

 

En la sección “Desde redes internas hacia Zentyal” añadimos una regla que permita a la red LAN acceder a Zentyal.

 

 

 

 

 

 

En la sección “Desde redes externas hacia Zentyal” añadimos una regla para el servicio VPN que hemos configurado hace unos minutos.

 

 

 

 

 

Repetimos la operación en la otra máquina Zentyal y depues si queremos hacer ping entre las redes deberíamos añadir una regla para el Firewall para los paquetes ICMP; NO HACE FALTA CREAR UN SERVICIO PORQUE YA ESTÁ CREADO; solo añadimos las misma reglas pero ahora con el servicio ICMP.

 

Y ahora si; hacemos ping desde las máquinas entre las redes LAN obtenemos respuesta.

 

 

 

 

Y bueno con esto ya estaría todo. Hacer esta instalación en Zentyal es sencilla pero hay tantos pasos y se pueden cometer tantos errores que hay que ir despacio y asimilando bien cada etapa para realizar la tarea satisfactoriamente.

He intentado que el tutorial sea lo mas completo y comprensible posible y espero haberlo conseguido. Si tienen alguna duda, no duden en dejármela en un comentario. También estoy disponible en Twitter, he dejado un enlace en la barra lateral de blog.

Un saludo y hasta la próxima.