Logo de la Universdad de Valencia Logo Servicio de informática [SIUV] Logo del portal

Acceso remoto por VPN (Red Privada Virtual) con Linux

 

Elegir entre herramientas libres o propietarias

Para conectarse a la red VPN de la Universitat de Valencia hay dos programas, los dos operantes, pero con enormes diferencias en cuanto a la licencia de uso. El programa más usado hasta ahora ha sido el VPN Client de Cisco Systems, pero sólo puede utilizarse con redes basadas en el Cisco VPN Concentrator. Además no es posible bajarlo libremente de internet, hay que solicitarlo al Servei d'Informatica o bien intentar bajarlo de otra universidad del mundo, pero su uso fuera de la Universitat de Valencia podría ser algo ilegal.

Los sistemas operativos GNU/Linux (Debian, Gentoo, y otros) tienen un manifiesto y un contrato social, lo hacen todo para ser libres y para incluir software libre, bajo licencia GPL, LGPL, BSD, protegidos por un "copyleft". Entonces el uso de software propietario violaría los principios básicos de GNU/Linux. La Fundación para el Software Libre sigue la regla de no instalar ningún programa propietario excepto temporalmente para el próposito específico de escribir un reemplazo libre para ese programa. No tenemos que vivir bajo esta regla pero por lo menos seamos conscientes de lo que hacemos. Si quiere toda la información sobre este tema, visite las páginas de la Free Software Foundation y del projecte GNU.

Herramienta propietaria: VPN Client de Cisco Systems

Antes de bajar e instalar el cliente VPN de Cisco, hay que comprobar si están instaladas las fuentes del kernel porque el programa tendrá que compilar un modulo específico. Para conocer la versión exacta del kernel que se está utilizando, escribir "uname -r" desde la consola:

danieli@aibuk:~$ uname -r
2.6.6

en este caso el kernel es un 2.6.6.

Puede bajar el programa desde aquí. Los usuarios de RedHat 9 tendrán que bajar la version 3.7.3.
También puede solicitarlo al Servei d'Informàtica.

Descomprimir el fichero con "tar -xvf"

danieli@aibuk:~$ tar -xvf vpnclient-linux-4.0.4.B-k9.tar
danieli@aibuk:~$ cd vpnclient/

El programa de instalación tiene que ejecutarse con privilegios de superusuario:

aibuk:~/vpnclient# ./vpn_install
Cisco Systems VPN Client Version x.x.x (Rel) Linux Installer
Copyright (C) 1998-2001 Cisco Systems, Inc. All Rights Reserved.

By installing this product you agree that you have read the
license.txt file (The VPN Client license) and will comply with
its terms. 

Directory where binaries will be installed [/usr/local/bin]

Presionar Enter para instalar los binarios en el directorio por defecto.

Automatically start the VPN service at boot time [yes]

Presionar Enter para iniciar el servicio al arrancar la máquina.

In order to build the VPN kernel module, you must have the
kernel headers for the version of the kernel you are running.

For RedHat 6.x users these files are installed in /usr/src/linux by default
For RedHat 7.x users these files are installed in /usr/src/linux-2.4 by default
For Suse 7.3 users these files are installed in /usr/src/linux-2.4.10.SuSE by default

Directory containing linux kernel source code [/lib/modules/2.6.6/build]

Presionar Enter si ese es el directorio donde tenemos el código fuente del kernel, si no es así, introducirlo.

    • Binaries will be installed in "/usr/local/bin".
    • Modules will be installed in "/lib/modules/2.6.6/CiscoVPN".
    • The VPN service will be started AUTOMATICALLY at boot time.
    • Kernel source from "/lib/modules/2.4.2-2smp/build" will be used to build the module.

Is the above correct [y]

Presionar Enter si todo es correcto. Una vez acabada la instalación, ejecutar:

aibuk:~# vpnclient_init start

para arrancar el servicio. Al reiniciar el ordenador el servicio será arrancado automaticamente.

Configuración de la conexión con Cisco VPN Client

Crear el archivo uv.pcf en la carpeta /etc/CiscoSystemsVPNClient/Profiles y modificarlo poniendo los datos aquí bajo. Si empieza por el ejemplo "sample.pcf" sólo hay que modificar los campos en verde. Puede también bajar el archivo directamente desde aquí y poner su nombre de usuario ("Username") y según convenga, modificar "Host", poniendo:

  • 10.13.1.1 si accede desde la Universidad (la red inalámbrica y los puntos de acceso público de las bibliotecas).
  • vpn.uv.es si ya tiene un acceso a Internet.
[main]
Description=Universitat de Valencia
Host=10.13.1.1
AuthType=1
GroupName=uvalencia
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPCommand=
Username=vuestro_nombre_de_usuario
SaveUserPassword=0
EnableBackup=0
BackupServer=
EnableNat=1
CertStore=0
CertName=
CertPath=
CertSubjectName=
CertSerialHash=00000000000000000000000000000000
DHGroup=2
ForceKeepAlives=0

A la hora de conectarse el programa le pedirá la contraseña del grupo "uvalencia" que es la siguiente: universidad. Obviamente tendrá que poner su contraseña de usuario de la UV. Para conectarse:

danieli@aibuk:~$ vpnclient connect uv

y configurar el servidor proxy.

Nota para los usuarios de equipos Macintosh

El cliente de Cisco Systems para Linux funciona sólo en máquinas x86, por lo tanto la única opción es el programa vpnc.

Herramienta libre: vpnc

El programa vpnc es también un cliente específico para redes basadas en Cisco VPN Concentrator, pero se trata de software libre bajo licencia GPL y puede ser utilizado, copiado y modificado libremente. Siendo código fuente, funciona en varios sistemas operativos libres además de Linux, como NetBSD, FreeBSD y OpenBSD.
Está aún en fase experimental, pero funciona bastante bien y soporta encriptación como el cliente propietario de Cisco Systems.

Antes de instalar: requisitos del sistema

Para instalar el programa no hace falta tener las fuentes del kernel, pero se requiere el driver TUN/TAP activado en el kernel, bien como módulo o compilado en el kernel monolítico. Los kernel "genéricos" que vienen con las instalaciones tradicionales de Linux tienen esta opción activada. Si ha compilado el kernel a medida, tendrá que comprobar si está activada la opción "Universal TUN/TAP device driver" en el apartado "Network Device Support". Si el kernel es un 2.6.x, el apartado es "Device drivers" -> "Networking support".
Otro requisito es la libreria libgcrypt (versión 1.1.9 o sucesiva), en el caso de que no la tenga instalada, compruebe en los CDs de instalación de su distribución de Linux. Por ejemplo si ha instalado los CDs de Suse, Mandrake, RedHat o Fedora tiene ya los paquetes precompilados RPM en los CDs. En cualquier caso puede bajar el código fuente y compilarlo.

Usuarios de Debian GNU/Linux: apt-get instala todo lo que haga falta, pero es aconsejable instalar también la herramienta "resolvconf". Bastará ejecutar (como superusuario):

aibuk:~# apt-get install vpnc resolvconf

y saltar directamente a la configuración.

Instalar vpnc (a partir del código fuente)

Bajar el código fuente del programa desde aquí.

Descomprimir el fichero con "tar -xvfz", y compilar el programa.

danieli@aibuk:~$ tar -xvfz vpnc-0.2-rm+zomb.1.tar.gz
danieli@aibuk:~$ cd vpnc-0.2-rm+zomb.1/
danieli@aibuk:~/vpnc-0.2-rm+zomb.1$ make

Una vez compilado el programa, instalarlo con privilegios de superusuario.

danieli@aibuk:~/vpnc-0.2-rm+zomb.1$ su -
Password:
aibuk:~/vpnc-0.2-rm+zomb.1# make install

Configurar la conexión con vpnc

Crear el archivo /etc/vpnc.conf poniendo los datos aquí bajo. Puede también bajar el archivo directamente desde aquí y poner su nombre de usuario ("Xauth Username") y según convenga, modificar "IPSEC gateway", poniendo:

  • 10.13.1.1 si accede desde la Universidad (la red inalámbrica y los puntos de acceso público de las bibliotecas).
  • vpn.uv.es si ya tiene un acceso a Internet.
IPSEC gateway 10.13.1.1
IPSEC ID uvalencia
IPSec secret universidad
Xauth username nombre_de_usuario
# Para los usuarios Debian que utilizan resolvconf,
# activar la opcion borrando la almohadilla 
#DNSUpdate no

El programa se ejecuta con privilegios de superusuarios y luego va en background:

danieli@aibuk:~$ su -
Password:
aibuk:~# vpnc-connect
Enter password for usuario@10.13.1.1:
VPNC started in background (pid: 3996)...
aibuk:~# exit
logout
danieli@aibuk:~$

Configuración del servidor proxy (válida para todos los clientes)

Configuración permanente a través de variables de entorno
La manera más simple de configurar el servidor proxy es definir unas variables de entorno en la sesión. Los programas no necesitarán ser configurados. Las variables se pueden definir cada vez, ejecutando:

danieli@aibuk:~$ export HTTP_PROXY="proxy.uv.es:8080"
danieli@aibuk:~$ export FTP_PROXY="proxy.uv.es:8080"

o bien definirlas de manera permanente en el archivo /etc/profile

HTTP_PROXY="proxy.uv.es:8080"
FTP_PROXY="proxy.uv.es:8080"
export HTTP_PROXY
export FTP_PROXY

 

Configuración del servidor proxy en los programas
Por la enorme cantidad de programas disponible para navegar, chatear y usar internet, no es posible dar una explicación exhaustiva del funcionamiento de todos los programas. Generalmente en los menus hay unas opciones de configuración y hay que escribir el nombre del servidor proxy y la puerta, para los varios protocolos.

 

Para los protocolos HTTP, FTP y Gopher:

 

Nombre del servidor: proxy.uv.es
Puerta: 8080

Si sale algún mensaje de error, puede que la dirección del servidor se deba escribir de otras formas:

  • con el prefijo: http://proxy.uv.es
  • o con la puerta: proxy.uv.es:8080
  • o todo junto: http://proxy.uv.es:8080

Para la configuración automática (script), escribir la dirección: http://www.uv.es/uval/proxy.pac

Puede solicitar ayuda o pedir cualquier información.