Páginas

miércoles, 9 de octubre de 2013

Ubuntu. Configurar una VPN y el enrutado para separar flujos de tráfico

Al conectar a una VPN solo tenemos conexión a los equipos que se encuentran dentro de la red corporativa. Para tener acceso a internet debemos ajustar el  proxy corporativo en N sitios y tenemos herramientas capadas como Skype por lo que perdemos éste acceso.

La solución es simple:

1) Primero vamos a la configuración de VPN, vamos a la pestaña "Ajustes de IPv4", pulsamos el botón "Rutas" y ahi marcamos la opción "Usar esta conexión sólo para los recursos en su red".

2) Conectamos a la VPN y probamos que Skype y el navegador funcionan "sin proxy". Pero ahora resulta que no conectamos al escritorio remoto ni a ningún otro sitio de la red corporativa, por lo que faltan ciertos ajustes.

3) Si queremos acceder a una o varias máquinas de la red corporativa por el tunel VPN sin perder la navegación "externa" deberemos conocer ciertos datos. Lanzamos el comando ifconfig para ver nuestra IP tunel, en mi caso 10.59.200.87:

usuario@maquina:~$ ifconfig
eth4      Link encap:Ethernet  direcciónHW xx:
xx:xx:xx:xx:xx 
          Direc. inet:xxx.xxx.xxx.
xxx  Difus.:xxx.xxx.xxx.xxx  Másc:xxx.xxx.xxx.xxx
          Dirección inet6: xxxx::xxxx:xxxx:xxxx:xxxx/64 Alcance:Enlace
          ACTIVO DIFUSIÓN FUNCIONANDO MULTICAST  MTU:1500  Métrica:1
          Paquetes RX:108554 errores:0 perdidos:0 overruns:0 frame:0
          Paquetes TX:119590 errores:0 perdidos:0 overruns:0 carrier:0
          colisiones:0 long.colaTX:1000
          Bytes RX:60091563 (60.0 MB)  TX bytes:17759382 (17.7 MB)

lo        Link encap:Bucle local 
          Direc. inet:127.0.0.1  Másc:255.0.0.0
          Dirección inet6: ::1/128 Alcance:Anfitrión
          ACTIVO BUCLE FUNCIONANDO  MTU:16436  Métrica:1
          Paquetes RX:30496 errores:0 perdidos:0 overruns:0 frame:0
          Paquetes TX:30496 errores:0 perdidos:0 overruns:0 carrier:0
          colisiones:0 long.colaTX:0
          Bytes RX:1496970 (1.4 MB)  TX bytes:1496970 (1.4 MB)

tun0      Link encap:UNSPEC  direcciónHW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          Direc. inet:10.59.200.87  P-t-P:10.59.200.87  Másc:255.255.255.255
          ACTIVO PUNTO A PUNTO FUNCIONANDO NOARP MULTICAST  MTU:1412  Métrica:1
          Paquetes RX:1076 errores:0 perdidos:0 overruns:0 frame:0
          Paquetes TX:900 errores:0 perdidos:0 overruns:0 carrier:0
          colisiones:0 long.colaTX:500
          Bytes RX:134470 (134.4 KB)  TX bytes:86186 (86.1 KB)


4) Para poder conectar por VPN a cualquier equipo de la red corporativa sin perder la conexión directa a internet en el navegador, skype y demás utilidades, deberemos ajustar las tablas de enrutamiento de nuesto Ubuntu:

sudo route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.59.200.87 dev tun0

Donde 10.0.0.0 son las direcciones IP de la red corporativa a las que necesitaríamos acceder (todas).
Donde 255.0.0.0 es la máscara para la red corporativa.
Donde 10.59.200.87 es la IP que nos han asignado al conectar a la VPN.
Donde tun0 es el interfaz del tunneling.


5) Para poder conectar por VPN únicamente a nuestro PC de la red corporativa sin perder la conexión directa a internet en el navegador, skype y demás utilidades, deberíamos teclear:

sudo route add -net 192.168.0.38 netmask 255.255.255.255 gw 10.59.200.87 dev ppp0

Donde 192.168.0.38 es la dirección IP de la máquina a la que queremos acceder.
Donde 255.255.255.255 es la máscara de red para una única máquina.
Donde 10.59.200.87 es la IP que nos han asignado al conectar a la VPN.
Donde tun0 es el interfaz del tunneling.


Referencias:
    http://www.taringa.net/posts/linux/17183350/Configurar-VPN-sin-perder-Internet.html

martes, 8 de octubre de 2013

Salida por el proxy corporativo autenticando en un dominio Windows

En redes Widows se usa NTLM (NT Lan Manager) que es un conjunto de protocolos de Microsoft que proporcionan autenticación, integridad y confidencialidad a los usuarios.

NTLMv2, introducido con Windows NT 4.0 SP4 y soportado por Windows 2000, amplía las capacidades de NTLM al soportar métodos criptográficos más modernos.

Mientras Kerberos ha reemplazado a NTLM como protocolo de autenticación por defecto del Directorio Activo (AD), NTML es aún muy usado.

CNTLM es una implementación libre de NTLM/NTLMv2 que podemos usar en Ubuntu a la hora de autenticarnos a la hora de conectar a través de un proxy que utilice NTLM.

CNTLM se sitúa entre las aplicaciones y los proxy corporativos.

Instalación:

sudo apt-get install cntlm

Configuración:

Editamos el fichero de configuración:

sudo gedit /etc/cntlm.conf

Ajustamos las líneas siguientes:

Username    xxxxxxxxxx
Domain        yyyyyyyyyy
Password     ppppppp


Proxy        xxx.xxx.xxx.xxx:pppp


Listen        rrrr

Donde xxxxxxxxxx es el nombre de usuario en el dominino.
Donde yyyyyyyyyy es el nombre del dominio.
Donde ppppppp es la password del usuario en el dominio. 
Donde xxx.xxx.xxx.xxx es la dirección IP del proxy corporativo
Donde pppp es el puerto del proxy corporativo
Donde rrrr es el puerto del proxy cntlm que deberemos configurar en las aplicaciones de nuestro sistema 

Ajuste de aplicativos:

Ya sólo queda ajustar el proxy del sistema apuntanto a localhost:rrrr y el proxy de todos aquellos aplicativos que no dependan de la configuración del proxy a nivel de sistema, por ejemplo wget, apt-get, etc.

Por último reiniciamos la máquina y listo

Parar y arrancar cntlm:





Si necesitamos para el servicio lanzamos:

sudo service cntlm stop

Si necesitamos reiniciar el servicio lanzamos:

sudo service cntlm start

Referencias:

http://cntlm.sourceforge.net/
http://en.wikipedia.org/wiki/NTLM

jueves, 3 de octubre de 2013

Arrancar y parar una máquina remotamente vía LAN

Hola

Para arrancar remotamente un servidor desde un ordenador cliente a través de una conexión de área local (LAN) deberemos:

1) Verificar que el servidor soporta WoL, muchos ordenadores actuales  lo soportan gracias a las fuentes de alimentación ATX que, cuando el ordenador está apagado, siguen alimentando a ciertas partes de la placa base permitiendo asimismo el Wake on Ring, la posibilidad de arancar el ordenador pulsando una tecla del teclado, la posibilidad de que se encienda a una determinada hora, etc.

2) Tener instalado en la máquina cliente el aplicativo wakeonlan:

sudo apt-get install wakeonlan

3) Averiguar la dirección MAC del servidor partiendo de su dirección IP, que deberá ser fija. Para hacerlo podemos lanzar el comando:

$ arp -a XXX.XXX.XXX.XXX 
servidor.local (XXX.XXX.XXX.XXX) en XX:XX:XX:XX:XX:XX [ether] en eth4

Donde XXX.XXX.XXX.XXX es la dirección IP del servidor (que debería ser visible).

4) Por último, tras verificar que el servidor está apagado pero tiene el cable de red enchufado en la tarjeta de la MAC identificada, lanzamos en el cliente el comando:

wakeonlan XX:XX:XX:XX:XX:XX

Nota. En la VPN que utilizamos el comando NO es operativo, habrá que averiguar la razón, parece por temas de netmask.

Para parar remotamente un servidor desde un ordenador cliente a través de una conexión de área local (LAN) deberemos:

1) Deberemos tener instalado en nuestro servidor un servidor ssh. Para instalarlo debemos:

sudo apt-get install openssh-server

2) Seguidamente nos conectamos con el servidor vía ssh con:

ssh usuario@XXX.XXX.XXX.XXX

Donde XXX.XXX.XXX.XXX es la dirección IP del servidor

3) Una vez conectados al servidor remoto tenemos varias opciones:

Parar el servidor (Una vez apagado el servidor NO podríamos reiniciarlo vía VPN con el comando wakeonlan):

sudo halt

Reiniciar el servidor (Ésta es la opción recomandada vía VPN):

sudo shutdown -r


Un saludo