Servicio de Red Privada Virtual (VPN) Plataformas MacOS X y Linux Guía práctica

Plataformas MacOS X y Linux Guía práctica Universidad de Jaén Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación Unidad de Redes, Comunicaciones y Servicios Telemáticos Versión: 4 Última modificación: 17 de agosto de 2011

Página 2 de 20 Índice de contenidos 1. Conexión VPN-UJA desde MacOS X 3 1.1. Instrucciones de instalación 3 1.2. Instalación del cliente VPN-UJA para MacOS X 3 1.3. La conexión mediante el cliente VPN-UJA para MacOS X 8 1.4. Resolución de problemas comunes 11 2. Conexión VPN-UJA desde Linux 12 2.1. Instrucciones de instalación 12 2.2. Instalación mediante el paquete RPM (src.rpm) 13 2.3. Instalación a partir de los fuentes (tar.gz) 14 2.4. Instalación para otras distribuciones 15 2.5. La conexión mediante el cliente VPN-UJA para Linux 2.5.1. Configuración inicial 15 15 2.5.2. Configuración del firewall (iptables) 17 2.5.3. La conexión VPN 18 2.6. Resolución de problemas comunes 20

Página 3 de 20 1. Conexión VPN-UJA desde MacOS X IMPORTANTE: El soporte técnico para equipos imac/macbook/ipad/iphone que hayan sido adquiridos a través del Servicio de Informática ha sido externalizado. Puede encontrar más información en el siguiente enlace: http://www.ujaen.es/sci/invdoc/soft/microinf/sisoperativos/mac.html La ayuda que ofrece el Servicio de Informática relacionada con el servicio de VPN se limita exclusivamente a las instrucciones recogidas en esta página web y a la Guía de Usuario en PDF. 1.1. Instrucciones de instalación El software relacionado con el acceso remoto a RIUJA mediante Red Privada Virtual (VPN) para la plataforma MacOS de Apple, está disponible para las siguientes versiones: MacOS X 10.6 (Snow Leopard) y 10.7 (Lion) MacOS X 10.4 (Tiger) y 10.5 (Leopard) MacOS X 10.3 (Panther) MacOS 9 Este cliente está desarrollado por una empresa externa (Apani Networks) por lo que la forma de acceso y la apariencia cambian notablemente respecto al cliente VPN-UJA para plataformas Windows. No obstante, los parámetros de configuración y el sistema de acceso en esencia son los mismos. Las instrucciones que se indican son para las versiones más recientes. No obstante, para versiones anteriores, el proceso será muy parecido. Una vez pulsado en el enlace correspondiente, se descarga un fichero comprimido en formato DMG que incluye: Instaladores para las versiones de MacOS X correspondientes Ficheros TXT con las notas de la versión y un fichero readme Un manual en formato PDF Una carpeta RESOURCES con recursos adicionales 1.2. Instalación del cliente VPN-UJA para MacOS X La instalación consta de los siguientes pasos:

Página 4 de 20 1. Una vez se lanza el instalador correspondiente, nos aparece la pantalla de bienvenida: 2. Pulsamos "Continuar" y aparecerá una pantalla con notas de la versión (README): Pulsamos "Continuar" y aparecerá el contrato de licencia (Software License Agreement) en inglés. Pulsando sobre el desplegable "English" tenemos la opción de ver el contrato en otros idiomas:

Página 5 de 20 3. A continuación, pulsando "Continue" aparecerá una ventana para que aceptemos ("Agree" "Agree") o rechacemos ("Disagree" "Disagree") el contrato de licencia. Pulsamos "Agree" para aceptarlo. 4. Después, la instalación nos solicita el volumen donde queremos hacer la instalación, recordando el espacio en disco que se necesita. Seleccionamos el volumen deseado y pulsamos "Continuar"

Página 6 de 20 5. Finalmente, nos aparece la ventana para realizar la instalación básica, que comenzaremos pulsando "Instalar": 6. Es posible que nos pida el usuario y la contraseña de usuario de nuestro sistema para realizar la instalación, que debemos introducir en la siguiente ventana:

Página 7 de 20 7. Después, se nos indica que tras la instalación se reinicia el sistema, pidiéndonos confirmación indicando que es necesario reiniciar el equipo. En este paso, pulsaremos "Continuar instalación": 8. Finalmente, el instalador nos crea el siguiente icono en el escritorio: NOTA: en algunas versiones, es posible que el título del icono sea: Netlock Contivity VPN Client.url. 9. Una vez instalado el cliente VPN y lanzado mediante el icono del escritorio, nos abrirá el navegador web (en este caso, Safari). A partir de aquí, toda la configuración y la conexión VPN se realiza a través del navegador web. NOTA: Si el icono del escritorio no lanza la conexión, podemos hacerla manualmente abriendo el navegador Safari e introduciendo la dirección: http://127.0.0.1:9161 1.3. La conexión mediante el cliente VPN-UJA para MacOS X Una vez lanzado por primera vez el cliente, es necesario configurar la conexión. Inicialmente, se nos solicitan los datos correspondientes a la licencia. Debemos introducir la siguiente información:

Página 8 de 20 IMPORTANTE: En los campos Name y Organization la información se debe introducir tal cual, sin acentos. En el campo Seat Number se debe introducir un número de puesto entre 1 y 20. Por defecto, introduciremos el 1. Si hay algún problema al realizar el registro, cambie el número o consulte con el Servicio de Informática. La información del campo License Code se puede copiar desde aquí: ------------- Begin License Code --------------- 3fafa07cf586a5b1491b5d5ef1b7474d9339f9ef24c659dd ca9f7f230dad3a3ea8e04712434548712df649b5081463e0 24e2d078a964c7bc1b881dbd86603ab70bd0ca4c7450b6ac 2c47d78879513ab8bc4ec91fce -------------- End License Code ---------------- El siguiente paso es configurar la conexión VPN. Para ello, en el asistente que aparecerá, debemos ir rellenando los siguientes campos: Connection name: Conexion VPN a RIUJA Destination: vpn.ujaen.es Pulsar botón Next. Marcar la casilla "Group security authentication" Pulsar botón Next.

Página 9 de 20 User ID: Nuestro nombre de usuario (sin @ujaen.es) Marcar la casilla "prompt (on main login screen)" Group ID: linuxmac Group password: OpdeTux07 Marcar la casilla "Group password authentication" Finalmente, con estos datos, pulsar el botón Finish. Con esto quedará configurada la conexión VPN. Para establecerla bastará con introducir nuestra contraseña de cuenta TIC y conectarnos. La configuración y el acceso VPN se hace mediante el icono creado en el escritorio y siempre desde un navegador web. Las opciones de configuración son muy parecidas al cliente VPN de Nortel para Windows, con la diferencia de que todo el proceso se hace vía web. La dirección de conexión es: http://127.0.0.1:9161 Una vez que la conexión esté correctamente configurada, aparecerá una pantalla similar a la siguiente: NOTA: si no aparece esta pantalla, sino que aparece un asistente de configuración, es necesario configurar previamente la conexión tal y como se indica al comienzo de este apartado. Una vez introducido un usuario y contraseña válidos, pulsaremos el botón Connect y se iniciará la conexión: Finalmente, si la conexión se ha realizado con éxito, veremos una pantalla informativa con los datos de nuestra conexión:

Página 10 de 20 Entre otras cosas, esta pantalla muestra información sobre la duración de la conexión, los datos de entrada y salida, el tipo de cifrado utilizado y las direcciones IP de origen y la asignada por la conexión VPN. Si la conexión se ha realizado correctamente, el apartado Negotiation Status estará como Succesful. El mensaje informativo puede que no aparezca al principio. Para que se muestre, basta con pulsar el botón Refresh. Finalmente, para desconectar la conexión VPN, basta con volver a la pantalla anterior y pulsar Disconnect. 1.4. Resolución de problemas comunes Hasta la fecha, no se ha detectado ningún problema significativo en el proceso de instalación y conexión VPN mediante este cliente. IMPORTANTE: se debe seleccionar la versión del cliente adecuada a la versión de MacOSX instalada.

Página 11 de 20 2. Conexión VPN-UJA desde Linux IMPORTANTE El Servicio de Informática actualmente no ofrece soporte para la plataforma Linux. El soporte que se ofrece relacionado con el servicio de VPN es restringido, limitándose exclusivamente a la instalación y conexión mediante los diferentes clientes VPN, así como las incidencias que pudieran surgir de manera puntualmente, y únicamente relacionadas con este servicio. 2.1. Instrucciones de instalación El software de conexión VPN que se ofrece para Linux está orientado principalmente a las distribuciones RedHat, Fedora, Suse, Ubuntu y Debian. Viene en forma de paquete RPM construido a partir de los fuentes (src.rpm) y opcionalmente se puede compilar a partir de los fuentes, en formato tar.gz. Los requisitos necesarios, según el fabricante, son los siguientes: Distribuciones: Red Hat Enterprise Linux hasta la versión 5, SuSE hasta la versión 10.1, Fedora hasta la versión 10, Ubuntu 8 y Debian 5.0 30 MB de espacio libre en disco 128 MB de memoria RAM Compilador GNU C: gcc 2.9.x o 3.x Kernel 2.6.x. El kernel debe tener habilitado el módulo netfilter (iptables) Un navegador web (Netscape, Mozilla y Firefox están soportados) Se necesita tener instalados previamente los siguientes paquetes: o o Paquetes de desarrollo (especialmente make, glibc y egcs) Las cabeceras (headers) del kernel que estemos usando. En las actuales versiones de kernel, esto equivale al paquete kernel-devel devel. En versiones más antiguas, equivales a tener instalados los paquetes kernel-source y kernel- headers. IMPORTANTE: 1) A fecha de hoy, el fabricante (Apani Networks) solo garantiza el soporte para distribuciones de Linux con versión de kernel 2.6.27 o inferior. Con versiones superiores del kernel no se garantiza que la instalación sea correcta y se pueden producir errores de compilación. 2) Es imprescindible que los fuentes del kernel que estén instalados correspondan con la misma versión del kernel que esté cargado en ese momento. 3) El servicio de Informática ha realizado pruebas sobre Fedora 10 y Redhat Enterprise Linux 5.3, OpenSuse 11.1 y Ubuntu 9.04. Si tiene algún problema durante el proceso de instalación, consulte la sección Problemas comunes durante la instalación.

Página 12 de 20 NOTA: Si está instalada una versión previa, conviene desinstalarla para evitar conflictos con la nueva versión: a) Si se instaló mediante RPM: # rpm -qa grep cvc (para localizar el nombre del paquete RPM instalado) # rpm -e <paquete_rpm> b) Si se instaló mediante los fuentes, basta con acceder al directorio de los fuentes y ejecutar el script: #./uninstall.sh 2.2. Instalación mediante el paquete RPM (src.rpm) Esta es la instalación más sencilla y la que menos problemas presenta. Es necesario estar como root en el sistema. Para ello, si estamos como un usuario normal, basta con ejecutar: $ su - e introducir la contraseña de root. 1. El primer paso es construir el paquete RPM a partir de los fuentes. Para ello, entramos en el directorio donde hemos descargado el fichero src.rpm y ejecutamos: # rpmbuild --rebuild VPN-UJA_Linux-3.6-0.src.rpm Esto, además de construir el RPM, lo deja en su directorio de destino: En fedora: En RedHat En Suse/OpenSuse: En Ubuntu: /<usuario>/rpmbuild/rpms/i386 /usr/src/redhat/rpms/i386 /usr/src/packages/rpms/i386 /usr/src/rpm/rpms/i386 2. Finalmente instalamos el RPM: Nos situamos en el directorio donde se ha compilado el RPM (ver tabla anterior) y tecleamos: # rpm -ivh cvc_linux-gcc3-3.6-0.i386.rpm Una vez que instalamos el paquete RPM, inicialmente nos aparece la licencia, que debemos aceptar bajando hasta el final (con la tecla de flecha hacia abajo o con la barra espaciadora) y pulsando "y". Seguidamente, se instala el paquete RPM y una vez instalado se nos muestra un mensaje informativo indicando que se ha iniciado el demonio Netlock, que es el que hace posible la conexión:

Página 13 de 20 Si tiene algún otro problema durante el proceso de instalación, consulte la sección Problemas comunes durante la instalación. 2.3. Instalación a partir de los fuentes (tar.gz) IMPORTANTE: La instalación a partir de los fuentes que aquí se indica es específica para las distribuciones soportadas por esta versión (Redhat/Fedora, Suse/OpenSuse, Ubuntu y Debian). Para distribuciones derivadas de estas se puede intentar el mismo procedimiento. Para otras distribuciones se recomienda consultar el apartado 2.4. Instalación para otras distribuciones. Si optamos por la versión compilada a partir de las fuentes, tenemos que desempaquetar el fichero en un directorio con permisos para root (típicamente /usr/src). Al pulsar en el enlace correspondiente, se descarga el fichero comprimido en formato tar.gz. Debemos desempaquetarlo a un directorio donde descomprimirlo y realizar la instalación (podemos usar nuestro propio directorio home). Para desempaquetarlo, seguimos los siguientes pasos: # cd /usr/src Lo desempaquetamos y descomprimimos: # tar xvzf VPN-UJA_Linux-3.6-0.tar.gz

Página 14 de 20 Nos cambiamos al directorio que se crea: # cd cvc_linux-gcc3-3.6 Y ejecutamos una de las siguientes opciones: a) Inicialmente, realizar la compilación de algunos módulos ejecutando: # make all b) Ejecutar el script de instalación que se incluye: #./install.sh Para evitar problemas, es necesario que los fuentes del kernel estén en la siguiente ruta por defecto (puede variar): usr/src/linux/include/linux Si los fuentes del kernel están en otra ruta y la compilación da problemas se puede intentar crear un enlace simbólico a la ruta actual de los fuentes del kernel: # ln -s /usr/src/linux/include/linux /directorio_fuentes_kernel Si tiene algún otro problema durante el proceso de instalación, consulte la sección Problemas comunes durante la instalación. 2.4. Instalación para otras distribuciones Las instalaciones indicadas anteriormente son válidas para todas las distribuciones soportadas (Fedora/RedHat, Suse/OpenSuse, Ubuntu y Debian). Para otras distribuciones no se garantiza la compatibilidad. No obstante, se pueden utilizar las versiones anteriores del cliente, así como el cliente genérico. Todas ellas, junto con la documentación están disponibles en el siguiente enlace: Versiones anteriores del cliente VPN-UJA para Linux NOTA IMPORTANTE: Debido a la gran cantidad de distribuciones Linux existentes, la instalación del cliente VPN no ha sido probada con la mayoría de ellas, por lo que no se asegura la total compatibilidad ni el correcto funcionamiento en todos los casos. El Servicio de Informática recomienda usarlo con Redhat/Fedora o con Suse/OpenSuse. 2.5. La conexión mediante el cliente VPN-UJA para Linux 2.5.1. Configuración inicial Una vez lanzado por primera vez el cliente, es necesario configurar la conexión.

Página 15 de 20 Inicialmente, se nos solicitan los datos correspondientes a la licencia. Debemos introducir la siguiente información: IMPORTANTE: En los campos Name y Organization la información se debe introducir tal cual, sin acentos. En el campo Seat Number se debe introducir un número de puesto entre 1 y 20. Por defecto, introduciremos el 1. Si hay algún problema al realizar el registro, cambie el número o consulte con el Servicio de Informática. La información del campo License Code se puede copiar desde aquí: ------------- Begin License Code --------------- b435dc36ee9086fe0fa7b4db90bc4e8a9ead1194b68182e6 374774c90612c71cd3e0513ccd498d0135075716446a2411 b133431170bd94f7213e9b119ee286e611bac78936324961 7fdf4dd917a38cdd9cb41f0fbc -------------- End License Code ----------------

Página 16 de 20 El siguiente paso es configurar la conexión VPN. Para ello, es necesario descargar el fichero eac.db desde la página web del cliente VPN-UJA para Linux y guardarlo en: /etc/netlock NOTA: si al intentar guardarlo obtenemos algún error de permisos de escritura, se puede guardar el fichero eac.db en el directorio home del usuario. Posteriormente, como root se puede hacer la copia con el siguiente comando: # cp eac.db /etc/netlock A partir de aquí, ya se habrá actualizado la configuración específica para la UJA y el cliente VPN estará listo para realizar una conexión con la red de la Universidad de Jaén. Opcionalmente, si hay algún problema podemos configurar la conexión VPN manualmente, rellenando los siguientes campos: Connection name: Conexion VPN a RIUJA Destination: vpn.ujaen.es Pulsar botón Next. Marcar la casilla "Group security authentication" Pulsar botón Next. User ID: Nuestro nombre de usuario (sin @ujaen.es) Marcar la casilla "prompt (on main login screen)" Group ID: linuxmac Group password: OpdeTux07 Marcar la casilla "Group password authentication" NOTA: si la configuración no se hubiera actualizado, basta con reiniciar el demonio Netlock, tecleando desde la línea de comandos: #./etc/rc.d/netlock restart O bien: #./etc/rc.d/netlock stop #./etc/rc.d/netlock start Una vez reiniciado, volveremos a abrir el navegador web y nos conectaremos de nuevo a: http://127.0.0.1:9161 2.5.2. Configuración del d firewall (iptables) Para que la conexión VPN funcione correctamente, se debe permitir el paso de tráfico para los siguientes puertos: Protocolo 50 (ESP) en ambos sentidos Protocolo 51 (AH) Puerto UDP 500 (ISAKMP)

Página 17 de 20 Puerto UDP 10001 (NAT Transversal) Esto, generalmente se puede hacer editando el fichero correspondiente de iptables (en Redhat /etc/sysconfig/iptables). Si a pesar de todo, la conexión se realiza, pero no hay tráfico de red, se puede abrir todo el tráfico relativo a la interfaz virtual de VPN (nlv0), con una regla del tipo: iptables -A input -i nlv0 -j ACCEPT En cualquier caso, se recomienda consultar la ayuda correspondiente a iptables. 2.5.3. La conexión VPN Una vez instalado el cliente VPN, tanto si usamos KDE como GNOME como entorno de escritorio, se crea una nueva entrada en el menú del sistema llamada NetLock, con las opciones About..., Extranet Access Client y Preferences. Opcionalmente, siempre podemos lanzar el cliente desde el menú de KDE o GNOME, o bien desde la consola, con el comando: $ start_cvc La configuración y el acceso VPN se hace siempre desde un navegador web. Las opciones de configuración son muy parecidas al cliente VPN de Nortel para Windows, con la diferencia de que todo el proceso se hace vía web. La dirección de conexión es: http://127.0.0.1:9161 Una vez que la conexión esté correctamente configurada, aparecerá una pantalla similar a la siguiente: NOTA: si no aparece esta pantalla, sino que aparece un asistente de configuración, es necesario copiar una serie de ficheros al directorio /etc/netlock. Una vez copiados, se debe reiniciar de nuevo la conexión.

Página 18 de 20 Una vez introducido un usuario y contraseña válidos, pulsaremos el botón Connect y se iniciará la conexión: Finalmente, si la conexión se ha realizado con éxito, veremos una pantalla informativa con los datos de nuestra conexión: Entre otras cosas, esta pantalla muestra información sobre la duración de la conexión, los datos de entrada y salida, el tipo de cifrado utilizado y las direcciones IP de origen y la asignada por la conexión VPN. Si la conexión se ha realizado correctamente, el apartado Negotiation Status estará como Succesful. El mensaje informativo puede que no aparezca al principio. Para que se muestre, basta con pulsar el botón Refresh. Finalmente, para desconectar la conexión VPN, basta con volver a la pantalla anterior y pulsar Disconnect. Una vez que la conexión ha tenido éxito, podemos ver que estamos conectados comprobando que se ha levantado una nueva interfaz de red, mediante el comando:

Página 19 de 20 # ifconfig Veremos una nueva interfaz de red llamada nlv0. Si esta interfaz está levantada, la conexión VPN está activa. El log de conexión está en el fichero /etc/netlock/agentlog.txt. Este log puede ser útil para determinar posibles problemas en la conexión. La documentación completa en formato HTML se puede visualizar abriendo con un navegador web en la siguiente dirección: /etc/netlock/help/contents.htm 2.6. Resolución de problemas comunes 2.6.1. Errores habituales de compilación IMPORTANTE: A partir de la versión 3.6 del cliente VPN, el fabricante (Apani Networks) garantiza el soporte para distribuciones de Linux con versión de kernel 2.6.27 o inferior. Con versiones superiores no se garantiza que la instalación sea correcta y se pueden producir errores de compilación. Uno de los errores más habituales en la compilación suele ser la inclusión en la ruta de caracteres no habituales (generalmente espacios en blanco). Podemos ver la ruta donde tenemos guardado el fichero tar.gz mediante el comando de Linux pwd. Ninguno de los directorios que aparezca en la ruta debe contener caracteres extraños ni espacios. Por ejemplo: si el fichero tar.gz lo guardamos en un directorio que se llame Cliente VPN (incluyendo el espacio en blanco), obtendremos un error al compilar. Es preferible que el directorio se llame Cliente_VPN, Cliente-VPN o simplemente vpn. 2.6.2. La compilación falla, haciendo referencia al fichero config.h Este fallo aparece habitualmente cuando no están instaladas las cabeceras del hernel. Dependiendo de su distribución, debe instalar el paquete kernel-devel para la versión de kernel que esté usando en ese momento. En kernels o distribuciones más antiguas, es posible que haya que instalar por separado los paquetes kernel-src y kernel-header header. Para saber la versión de kernel que está usando, ejecute el comando. $ uname -r

Página 20 de 20 2.6.3. Al iniciar la conexión VPN el navegador web devuelve un error de página no encontrada Para que se pueda acceder a la pantalla de conexión, debe estar iniciado el demonio netlock. Si no lo está, el navegador nos devolverá un error de página no encontrada. Para asegurarnos que se inicia automáticamente al arrancar el equipo, debemos asegurarnos que en /etc/init.d se encuentra el fichero netlock. Podemos iniciarlo manualmente de distintas formas (dependiendo de la distribución Linux que usemos): En Redhat, Suse y derivadas, mediante: service netlock start Ejecutando el demonio directamente:./etc/init.d/netlock start En determinadas distribuciones, podemos hacer que se active al inicio con el comando: # chkconfig netlock 35 on Finalmente, podemos reiniciar el demonio netlock en cualquier momento mediante el correspondiente comando restart, siguiendo las mismas indicaciones anteriores. 2.6.4. La conexión VPN se realiza correctamente pero no se abre ninguna página web al intentar navegar Esto generalmente se debe al cortafuegos integrado de Linux (iptables / ipchains). En primer lugar se puede hacer la prueba de desactivarlo temporalmente e intentar de nuevo la conexión VPN. Si todo funciona, se deben habilitar las reglas correspondientes para permitir el tráfico IPSec y cualquier otro tráfico que esté siendo cortado por el firewall. Los puertos que usa la conexión VPN son los siguientes: Puertos UDP 500 en ambos sentidos (entrante y saliente) Protocolo ESP (50) en ambos sentidos (entrante y saliente) Protocolo AH (51) en ambos sentidos (entrante y saliente) Puerto UDP 10001 (para el NAT Transversal)