de netlan a vpn

abril 7, 2009 en gnu/linux, networking, privacidad, seguridad por b3r2c0

bueno, después de un tiempecillo sin postear nada (pero con mucho post-borrador empezado) debido a la monumental petada de trabajo que tenemos actualmente, voy a apuntarme «on line» unas anotaciones sobre la VPN NET-Lan de Telefónica, que me he vuelto un poco «tarado» para realizar una maraña de conexiones y túneles, una auténtica autopista de la información, ejejej.

El problema empieza cuando la red corporativa es de Cisco y la gestiona Telefónica, con lo cual, si conseguir un soporte mínimamente decente es complicado, trabajar con el software propietario de Cisco versión GNU/Linux, acaba quitando las ganas, sobre todo en servidores en producción.

Después de dar unas cuantas vueltas, y de dar vueltas a tutoriales, todo es muchísimo más sencillo de lo que parece. Al grano, para tener funcional la conexión VPN a tu Net-Lan de Telefónica has de seguir los siguientes pasos (Debian y Debian-like, probado en Ubuntu 8.10 – easy peasy y Debian 5.0 Lenny):

Instalamos el software que nos sirve más que de sobra para esta y otras conexiones VPN, se trata de vpnc, con licencia GPL, que las cosas cuanto mejor se preparan mejor salen 8)

#apt-get install vpnc

no tendremos problemas, dado que se encuentra en los repositorios oficiales de las distribuciones empleadas.

una vez tenemos instalado el vpnc, debemos transformar los ficheros de configuración que nos da Telefónica (.pcf) a un fichero legible para el vpnc, que siguiendo el clasico de los *nix será un .conf guardado en el path /etc/vpnc/.

el vpnc incluye una utilidad que nos hará la conversión de un tipo de fichero a otro directamente, ejecutamos.

#/usr/share/vpnc/pcf2vpnc ruta-fichero.pcf /etc/vpnc/nombre-conexion.conf

ya tenemos el fichero creado, lo ideal sería:

#vim /etc/vpnc/nombre-conexion.conf

IPSec gateway <gateway>
IPSec ID <group-id>
IPSec secret <group-psk>
IKE Authmode hybrid
# Xauth username <username>
# Xauth password <password>

NAT Traversal Mode cisco-udp

Añadir la última línea al final para asegurarnos una mayor compatibilidad con la Netlan; en el caso de que meter el usuario y/o password cada vez que nos conectemos nos suponga un sufrimiento, podemos descomentar las líneas del Xauth y la ejecución será más rápida, un fichero nos quedaría tal que así, llamemoslé, por ejemplo, LITS.conf.

## generated by pcf2vpnc
IPSec ID LOSTINTHESHELL
IPSec gateway LOSTINTHESHELL1.ipsec.rima-tde.net
IPSec secret LOSTINTHESHELL
IKE Authmode psk

## To add your username and password,
## use the following lines:
Xauth username berto@LOSTINTHESHELL
# Xauth password <your password>

NAT Traversal Mode cisco-udp

Con esto tendría listo una conexion a mi NETLAN, denominada LOSTINTHESHELL, y, en este caso, recordaría mi usuario «berto», pero no la contraseña de acceso, ahora, para conectarme a mi RPV tan sólo tendría que ejecutar…

#vpnc-connect LOSTINTHESHELL

… et voilá.

Actualización: No es mi caso, pero algún compañer@ ha tenido percances del tipo «me conecta 1 vez de cada 10 (o 20); presumiblemente lo he solucionado realizando un ping al gateway y colocando en lugar del nombre la resolución de su IP, algo que puede ir solucionado intrínsecamente con otro problema que dejaré para mañana (el borrado de las DNS en el /etc/resolv.conf cada vez que «cortas» la conexión VPN).