VPN con IPSEC y L2TP/IPSEC

Zentyal integra Libreswan [3] como solución IPsec. Este servicio utiliza los puertos 500 y 4500 UDP además del protocolo ESP.

[3]http://libreswan.org/

Configuración de un túnel IPsec con Zentyal

Antes de proceder con la configuración del módulo, mencionar que únicamente está disponible en versiones comerciales.

Para configurar IPsec en Zentyal iremos a VPN ‣ IPsec. Aquí podremos definir todos los túneles o conexiones IPsec que deseemos. Para cada uno, lo podemos activar o desactivar, y añadir un comentario aclarativo.

_images/ipsec-connections.png

Conexiones IPsec

En la pestaña Configuración definiremos para cada conexión la dirección IP de Zentyal desde la que saldremos hacia la otra subred, la subred local detrás de Zentyal que será accesible desde el túnel VPN, la dirección IP remota a la que conectaremos en el otro extremo del túnel y la subred local accesible en el otro extremo. A la hora de configurar túneles entre dos subredes usando IPsec será necesario que ambos extremos tengan una dirección IP estática.

Actualmente Zentyal sólamente soporta autenticación PSK (contraseña compartida), que configuraremos en Secreto compartido PSK.

_images/ipsec-psk_conf.png

Configuración general de IPSEC

En la pestaña Autenticación se configuran los parámetros específicos de la autenticación del túnel. Estos determinan el comportamiento del protocolo IPsec y deberán ser iguales en los equipos en ambos extremos del túnel. Para más información sobre el significado de cada opción, véase literatura específica de IPsec.

_images/ipsec-psk_auth1.png

Configuración de la autenticación en la fase 1

_images/ipsec-psk_auth2.png

Configuración de la autenticación en la fase 2

Configurando un túnel L2TP/IPSEC en Zentyal

Para configurar un túnel de tipo L2TP los pasos son similares, en primer lugar tendremos que seleccionar el tipo L2TP/IPSEC en el menú VPN ‣ IPsec.

En la configuración general podemos observar algunas diferencias:

_images/ipsec-l2tp_general.png

Configuración General de L2TP/IPSEC

En lugar de conectar subredes, como en la configuración por defecto de IPSEC, L2TP configura un LAC (L2TP Access Concentrator) con la IP especificada en el campo IP del túnel, los usuarios conectados a este LAC adquirirán una IP local valida en el segmento de red en el que se encuentra el LAC, siendo así capaces de comunicarse con cualquier otro cliente de la LAN.

Es posible configurar un rango de direcciones dinámicas para los clientes que conecten a la VPN, de manera similar a DHCP.

_images/ipsec-l2tp_range.png

Rango de IPs disponibles

L2TP/IPSEC tiene dos posibles fuentes de usuarios, una Lista de usuarios manual o bien, un Grupo de Usuarios del dominio:

_images/ipsec-l2tp_users.png

Fuente de usuarios de L2TP

Las dos posibles fuentes de usuarios son mutuamente exclusivas, el Controlador de Dominio y Compartición de ficheros debe estar instalado y configurado para poder utilizar la opción de Grupo de usuarios. Al elegir la opción de Lista manual de usuarios, podemos opcional asignar un IP estática a cada uno de los usuarios configurados, los usuarios que provengan del dominio Samba usarán los rangos de IP descritos anteriormente.