VPNC y el Guarddog

Cuando te querés conectar de un compu externo a la red de tu trabajo, conviene usar una herramienta de tunelamiento como lo es la VPN (de las siglas en inglés Virtual Private Network). En mi caso la universidad usa una red privada virtual Cisco. En este artículo expongo la configuración que hago de mi cortafuegos Guarddog en máquinas Debian y Kubuntu para poderse conectar a la VPN de mi trabajo:

Lo primero es la instalación del cliente vpnc, que como es Linux, está chupado y por eso no voy a extenderlo mucho. Sólo ejecutá:

sudo aptitude install vpnc

Luego viene la configuración del fichero /etc/vpnc/default.conf en esta tenés que poner todos los datos que te da el administrador del servidor VPN. Existe un fichero /etc/vpnc/example.conf que te puede dar una idea de cómo llenar el default.conf. Copio, pego y comento a continuación el contenido del archivo example.conf con algunos ejemplos (los comentarios van después del #):

IPSec gateway vpn.servidor.com # nombre del servidor VPN
IPSec ID mi_empresa # nombre colectivo que te da el administrador del servidor VPN
IPSec secret contraseña-compartida # la contraseña compartida que te da el administrador
#IKE Authmode hybrid
Xauth username usuario   # tu nombre de usuario para la red VPN
#Xauth password contraseña 

La línea donde se guarda la contraseña la dejo comentada por motivos de seguridad, no conviene escribir una contraseña en ninguna parte, y menos en donde no dejaría de buscar un intruso medianamente astuto. Al parecer la línea "IKE Authmode hybrid" no viene bien para máquinas Debian, así que mejor quitarlo. Una opción que viene bien es la IPSEC target network, pero esas son opciones más avanzadas así que la dejaremos para después.

En Debian el cortafuegos "guarddog" permite configurar de una manera sencilla el cortafuegos nativo de Linux (iptables). Una vez instalado se deben abrir los puertos que VPNC necesita. Si no estás muy preocupado por la seguridad abre para la zona exterior (Internet) los puertos con los siguientes nombres:

"Red" -> "ISAKMP - Internet security key management"
"Red" -> "ESP - Encapsulating Security Protocol"

En mi caso especial también fue necesario abrir el protocolo Red -> Ping. Pero es posible que vos no lo necesités hacer.

También si estas detrás de un NAT router [quiere decir que no tienes una IP fija, sino que el router asigna una IP ficticia para cada usuario de la subred (por ejemplo un router wifi) que es traducida por el router entre tu y la internet]. Si no entendés de qué hablo pero el vpnc no te anda y estás en una red doméstica, lo más seguro es que este sea tu caso. En ese caso tendrás que crear tu propio protocolo en Guarddog. En la sección "Avanzado" > "Protocolos definidos por el usuario" crea un protocolo para el puerto UDP/4500 dale el nombre que querás y luego activalo en la sección "Protocolo".

Opciones "Avanzadas"

Si estás un poco preocupado por la seguridad y no querés abrir estos puertos para todo la Internet, entonces crea una zona en el guarddog que incluya toda la red del servidor VPN al que te conectás. En esa zona habilitá los puertos mencionados anteriormente y desactiválos en la zona Internet del Guarddog.

Para mejorar la conexión con tu servidor VPN, conviene (a veces) activar la opción IPSEC target network. Después escribir la red y la máscara de red de las máquinas a las que te interesa conectarte por VPN.

Y por último y como siempre, no dejar de leer el manual del vpnc:

man vpnc

Algunas cosas de este post fueron tomadas de la página: http://www.penlug.org/twiki/bin/view/Main/CiscoVpn.