University of Valencia logo Logo ICT Service [SIUV] Logo del portal

Accés remot per VPN (Xarxa Privada Virtual) amb Linux

 

Triar entre eines lliures o propietàries

Per connectar-se a la xarxa VPN de la Universitat de València hi ha dos programes, tots dos operants, però amb diferències enormes quant a la llicència d'ús. El programa més emprat fins ara és el VPN Client de Cisco Systems, però només pot emprar-se amb xarxes basades en el Cisco VPN Concentrator. A més, no és possible baixar-lo lliurement d'Internet, sinó que s'ha de sol·licitar al Servei d'Informàtica o bé intentar baixar-lo d'una altra universitat del món, però emprar-lo fora de la Universitat de València podria ser il·legal.

Els sistemes operatius GNU/Linux (Debian, Gentoo i altres) tenen un manifest i un contracte social que en permeten el desenvolupament per a ús lliure i per incloure programari d'ús lliure, amb llicència GPL, LGPL, BSD, protegits per un "copyleft". Així, l'ús de programari propietari violaria els principis bàsics de GNU/Linux. La Fundació pel Programari Lliure segueix la regla de no instal·lar cap programa propietari més que temporalment amb el propòsit específic de reemplaçar codi lliure per aqueix programa. No hem de viure sota aquesta regla, però almenys siguem conscientes del que fem. Si voleu tota la informació sobre aquest tema, visiteu les pàgines de la Free Software Foundation i del projecte GNU.

Eina propietària: VPN Client de Cisco Systems

Abans de baixar i instal·lar el client VPN de Cisco, cal comprovar que estiguen instal·lades les fonts del kernel, perquè el programa haurà de compilar un mòdul específic. Per conéixer la versió exacta del kernel que s'està utilitzant, escriviu "uname -r" des de la consola:

danieli@aibuk:~$ uname -r
2.6.6

En aquest cas el kernel és un 2.6.6.

Podeu baixar el programa des d'ací. Els usuaris de RedHat 9 n'hauran de baixar la versió 3.7.3.
També podeu sol·licitar-lo al Servei d'Informàtica.

Descomprimiu el fitxer amb "tar -xvf"

danieli@aibuk:~$ tar -xvf vpnclient-linux-4.0.4.B-k9.tar
danieli@aibuk:~$ cd vpnclient/

El programa d'instal·lació ha d'executar-se amb privilegis de superusuari:

aibuk:~/vpnclient# ./vpn_install
Cisco Systems VPN Client Version x.x.x (Rel) Linux Installer
Copyright (C) 1998-2001 Cisco Systems, Inc. All Rights Reserved.

By installing this product you agree that you have read the
license.txt file (The VPN Client license) and will comply with
its terms. 

Directory where binaries will be installed [/usr/local/bin]

Pitgeu Enter per instal·lar els binaris en el directori per defecte.

Automatically start the VPN service at boot time [yes]

Pitgeu Enter per iniciar el servei en engegar l'ordinador.

In order to build the VPN kernel module, you must have the
kernel headers for the version of the kernel you are running.

For RedHat 6.x users these files are installed in /usr/src/linux by default
For RedHat 7.x users these files are installed in /usr/src/linux-2.4 by default
For Suse 7.3 users these files are installed in /usr/src/linux-2.4.10.SuSE by default

Directory containing linux kernel source code [/lib/modules/2.6.6/build]

Pitgeu Enter si és aqueix el directori on tenim el codi font del kernel, si no és així, l'heu d'introduir.

    • Binaries will be installed in "/usr/local/bin".
    • Modules will be installed in "/lib/modules/2.6.6/CiscoVPN".
    • The VPN service will be started AUTOMATICALLY at boot time.
    • Kernel source from "/lib/modules/2.4.2-2smp/build" will be used to build the module.

Is the above correct [y]

Pitgeu Enter si tot és correcte. Una vegada acabada la instal·lació, executeu:

aibuk:~# vpnclient_init start

per arrencar el servei. En reiniciar l'ordinador el servei s'arrencarà automàticament.

Configuració de la connexió amb Cisco VPN Client

Creeu l'arxiu uv.pcf en la carpeta /etc/CiscoSystemsVPNClient/Profiles i modifiqueu-lo incloent les dades ací baix. Si comença per l'exemple "sample.pcf" només cal modificar els camps en verd. Podeu també baixar l'arxiu directament des d'ací i escriure el vostre nom d'usuari ("Username") i segons que convinga, modificar "Host", posant:

  • 10.13.1.1 si hi accediu des de la Universitat (la xarxa sense fil i els punts d'accés públic de les biblioteques).
  • vpn.uv.es si ja teniu un accés a Internet.
[main]
Description=Universitat de Valencia
Host=10.13.1.1
AuthType=1
GroupName=uvalencia
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPCommand=
Username=vuestro_nombre_de_usuario
SaveUserPassword=0
EnableBackup=0
BackupServer=
EnableNat=1
CertStore=0
CertName=
CertPath=
CertSubjectName=
CertSerialHash=00000000000000000000000000000000
DHGroup=2
ForceKeepAlives=0

A l'hora de connectar-se el programa, us demanarà la contrasenya del grup "uvalencia", que és aquesta: universidad. Òbviament haureu d'escriure la vostra contrasenya d'usuari de la UV. Per connectar-se:

danieli@aibuk:~$ vpnclient connect uv

i configurar el servidor proxy.

Nota pels usuaris d'equips Macintosh

El client de Cisco Systems per a Linux funciona només en màquines x86, de manera que l'única opció és el programa vpnc.

Eina lliure: vpnc

El programa vpnc és també un client específic per a xarxes basades en Cisco VPN Concentrator, però es tracta de programari lliure amb llicència GPL i es pot utilitzar, copiar i modificar lliurement. Com que és codi font, funciona en diversos sistemes operatius lliures a més de Linux, com NetBSD, FreeBSD i OpenBSD.
Es troba encara en fase experimental, però funciona prou bé i suporta xifratge com el client propietari de Cisco Systems.

Abans d'instal·lar: requisits del sistema

Per instal·lar el programa no cal tenir les fonts del kernel, però es requereix el controlador TUN/TAP activat en el kernel, bé com a mòdul o compilat en el kernel monolític. Els kernel "genèrics" que venen amb les instal·lacions tradicionals de Linux tenen aquesta opció activada. Si heu compilat el kernel a mida, haureu de comprovar si està activada l'opció "Universal TUN/TAP device driver" en l'apartat "Network Device Support". Si el kernel és un 2.6.x, l'apartat és "Device drivers" -> "Networking support".
Un altre requisit és la llibreria libgcrypt (versió 1.1.9 o posterior), en cas que no la tingueu instal·lada, comproveu en els CD d'instal·lació de la vostra distribució de Linux. Per exemple, si heu instal·lat els CD de Suse, Mandrake, RedHat o Fedora teniu ja els paquets precompilats RPM en els CD. En qualsevol cas, podeu baixar el codi font i compilar-lo.

Usuaris de Debian GNU/Linux: apt-get instal·la tot allò necessari, però és aconsellable instal·lar també l'eina "resolvconf". Serà prou executar (com a superusuari):

aibuk:~# apt-get install vpnc resolvconf

i saltar directament a la configuració.

Instal·lació de vpnc (a partir del codi font)

Baixeu el codi font del programa des d' ací.

Descomprimiu el fitxer amb "tar -xvfz" i compileu el programa.

danieli@aibuk:~$ tar -xvfz vpnc-0.2-rm+zomb.1.tar.gz
danieli@aibuk:~$ cd vpnc-0.2-rm+zomb.1/
danieli@aibuk:~/vpnc-0.2-rm+zomb.1$ make

Una volta compilat el programa, instal·leu-lo amb privilegis de superusuari.

danieli@aibuk:~/vpnc-0.2-rm+zomb.1$ su -
Password:
aibuk:~/vpnc-0.2-rm+zomb.1# make install

Configuració de la connexió amb vpnc

Creeu l'arxiu /etc/vpnc.conf posant-ne les dades ací baix. Podeu també baixar l'arxiu directament des d'ací i teclejar el vostre nom d'usuari ("Xauth Username") i, segons què convinga, modificar "IPSEC gateway", posant:

  • 10.13.1.1 si hi accediu des de la Universitat (la xarxa sense fil i els punts d'accés públic de les biblioteques).
  • vpn.uv.es si ja teniu un accés a Internet.
IPSEC gateway 10.13.1.1
IPSEC ID uvalencia
IPSec secret universidad
Xauth username nombre_de_usuario
# Para los usuarios Debian que utilizan resolvconf,
# activar la opcion borrando la almohadilla 
#DNSUpdate no

El programa s'executa amb privilegis de superusuaris i després va en segon pla:

danieli@aibuk:~$ su -
Password:
aibuk:~# vpnc-connect
Enter password for usuario@10.13.1.1:
VPNC started in background (pid: 3996)...
aibuk:~# exit
logout
danieli@aibuk:~$

Configuració del servidor proxy (vàlida per a tots els clients)

Configuració permanent a través de variables d'entorn
La manera més simple de configurar el servidor proxy és definir unes variables d'entorn en la sessió. No serà necessari configurar els programes. Les variables es poden definir cada vegada, executant:

danieli@aibuk:~$ export HTTP_PROXY="proxy.uv.es:8080"
danieli@aibuk:~$ export FTP_PROXY="proxy.uv.es:8080"

o bé definir-les de manera permanent en l'arxiu /etc/profile

HTTP_PROXY="proxy.uv.es:8080"
FTP_PROXY="proxy.uv.es:8080"
export HTTP_PROXY
export FTP_PROXY

Configuració del servidor proxy en els programes
Per la quantitat enorme de programes disponible per navegar, xatejar i emprar Internet, no és possible proporcionar una explicació exhaustiva del funcionament de tots els programes. Generalment en els menús hi ha unes opcions de configuració i cal escriure el nom del servidor proxy i la porta, pels diferents protocols.

Pels protocols HTTP, FTP i Gopher: 

Nom del servidor: proxy.uv.es
Porta: 8080

Si ix algun missatge d'error, potser la direcció del servidor s'haja d'escriure d'altres maneres:

  • amb el prefix: http://proxy.uv.es
  • o amb la porta: proxy.uv.es:8080
  • o tot junt: http://proxy.uv.es:8080

Per a la configuració automàtica (script), escriviu l'adreça: http://www.uv.es/uval/proxy.pac

Podeu sol·licitar ajuda o demanar qualsevol informació.