VPN con IPSEC y L2TP/IPSEC

Zentyal integra Libreswan [3] como solución IPsec y L2TP/IPsec. Este servicio utiliza los puertos 500, 1701 y 4500 UDP además del protocolo ESP.

[3]Libreswan: http://libreswan.org/

Configuración de un túnel IPsec con Zentyal

Antes de proceder con la configuración del módulo, mencionar que únicamente está disponible en versiones comerciales.

Para configurar IPsec en Zentyal iremos a VPN ‣ IPsec. Aquí podremos definir todos los túneles o conexiones IPsec que deseemos. Para cada una, la podemos activar o desactivar, y añadir un comentario aclarativo.

VPN de tipo IPsec

VPN de tipo IPsec

En la pestaña Configuración definiremos para cada conexión la dirección IP de Zentyal desde la que saldremos hacia la otra subred, la subred local detrás de Zentyal que será accesible desde el túnel VPN, la dirección IP remota a la que conectaremos en el otro extremo del túnel y la subred local accesible en el otro extremo. A la hora de configurar túneles entre dos subredes usando IPsec será necesario que ambos extremos tengan una dirección IP estática.

Actualmente Zentyal sólamente soporta autenticación PSK (contraseña compartida), que configuraremos en Secreto compartido PSK.

Configuración general de IPsec

Configuración general de IPsec

En la pestaña Autenticación se configuran los parámetros específicos de la autenticación del túnel. Estos determinan el comportamiento del protocolo IPsec y deberán ser iguales en los equipos en ambos extremos del túnel. Para más información sobre el significado de cada opción, véase literatura específica de IPsec.

Configuración de la autenticación en la fase 1

Configuración de la autenticación en la fase 1

Configuración de la autenticación en la fase 2

Configuración de la autenticación en la fase 2

Configurando un túnel L2TP/IPSEC en Zentyal

Para configurar un túnel de tipo L2TP los pasos son similares, en primer lugar tendremos que seleccionar el tipo L2TP/IPSEC en el menú VPN ‣ IPsec.

VPN de tipo L2TP/IPSEC

VPN de tipo L2TP/IPSEC

En la configuración general podemos observar algunas diferencias:

Configuración General de L2TP/IPsec

Configuración General de L2TP/IPsec

En lugar de conectar subredes, como en la configuración por defecto de IPsec, L2TP configura un LAC (L2TP Access Concentrator) con la IP especificada en el campo IP del túnel. Los usuarios conectados a este LAC adquirirán una IP local valida en el segmento de red en el que se encuentra el LAC, siendo así capaces de comunicarse con cualquier otro cliente de la LAN.

Es posible configurar un rango de direcciones dinámicas para los clientes que conecten a la VPN, de manera similar a DHCP.

Rango de IPs disponibles

Rango de IPs disponibles

L2TP/IPsec tiene dos posibles fuentes de usuarios, una Lista de usuarios manual o bien, un Grupo de Usuarios del dominio:

Fuente de usuarios para L2TP/IPsec

Fuente de usuarios para L2TP/IPsec

Las dos posibles fuentes de usuarios son mutuamente exclusivas. Además, el Servicio de Dominio y Directorio debe estar instalado y configurado para poder utilizar la opción de Grupo de usuarios. Al elegir la opción de Lista manual de usuarios, podemos - opcionalmente - asignar un IP estática a cada uno de los usuarios configurados, los usuarios que provengan del dominio Samba usarán los rangos de IP descritos anteriormente.