Desde hace mucho tiempo tengo instalados servidores IPCop que utilizan el addon OpenVPN de Zerina para comunicarse entre sí. La conexión net to net es excelente, jamas me ha dado ningún problema, pero por alguna razón no había intentado una conexión roadwarrior.

Establecer una conexión roadwarrior desde ubuntu es relativamente sencillo, estos son los pasos:

Crear el usuario en el servidor IPCop

Un paso antes aunque un poco obvio es tener un servidor IPCop con el addon OpenVPN de Zerina funcionando.

En el servidor IPCop vamos al menú VPNs - OpenVPN en la sección Roadwarrior Estado y control del cliente:, presionamos el botón Agregar y llenamos el formulario con la información necesaria.

La traducción que tengo es un poco inexacta, en donde dice Fichero de Contraseña PKCS12 teclean la contraseña (igual en la confirmación). No se les vaya a olvidar POOOOR FAVOOOOR

Una vez creado nuestro usuario aparecerá en la lista y descargamos el archivo con la configuración de la conexión y el certificado en un archivo .zip

Eso es todo lo que tenemos que hacer en el servidor IPCop.

Configurar Ubuntu para la conexión Roadwarrior.

El administrador de red de Gnome en Ubuntu no tiene soporte para redes OpenVPN, por eso es necesario instalarlo.

sudo apt-get install network-manager-openvpn

Ahora vamos a copiar el archivo zip a una carpeta de nuestro equipo con ubuntu y descomprimimos su contenido. Con una terminal y en el directorio donde descomprimimos los archivos tecleamos lo siguiente:

openssl pkcs12 -nocerts -in (nombre del archivo).p12 -out userkey.pem

openssl pkcs12 -nokeys -clcerts -in (nombre del archivo).p12 -out usercert.pem

openssl pkcs12 -nokeys -cacerts -in (nombre del archivo).p12 -out userca.pem

Donde (nombre del archivo).p12 es el nombre de su archivo ¡Abusados ehhhh!. Básicamente el archivo .p12 tiene toda la información de la conexión, pero nosotros necesitamos separarla en 3 archivos diferentes. Es normal que durante la ejecución les pida la contraseña del enlace, aquella que les pedí que no olvidaran ¿Recuerdan?.

A partir de aquí todo es muy sencillo, abrimos el Administrador de Red y vamos a la parte del menú que dice Conexiones VPN.

El archivo zip incluye un archivo con extensión .ovpn , lo vamos a importar.

Lo demás es ir llenando los espacios con los certificados que fuimos generando anteriormente y claro la contraseña del enlace.

Ahora si, llegó el momento cuchi cuchi…. el momento ya vas que chutas. Si todo salio bien el momento de selecciona la conexión VPN se enlazará con su servidor IPCop y mostrará un icono de un pequeño candado. ¡Felicidades! Ahora pueden trabajar desde cualquier lugar en el que se encuentren y tengan una conexión a Internet… ¡Momento !!!!!!!! Ufffff :S

Actualización 2011-06-26. OpenVPN y Ubuntu 11.04

Al actualizar a Ubuntu me di cuenta de que lo mencionado en este articulo ya no funcionaba. Pero es una buena noticia ya que se simplifico, ya no es necesario extraer los certificados del archivo .p12, en su lugar usamos este mismo archivo directamente en cada uno de los espacios.

Y eso es suficiente para lograr una conexión exitosa.

webgrafía:

OpenVPN and Gnome Network Manager

OpenVPN for IPCop

En ocasiones he tenido que hacer el papel de “detective” tratando de averiguar que es lo que pasa con el ancho de banda que administra mi servidor IPCop.

El problema es simple, supongamos que una persona esta bajando un archivo con un programa de esos llamados P2P (coof, ares, coof emule cof), estos programas pueden llegar a ser muy eficientes al momento de descargar archivos y por eficientes me refiero a que fácilmente pueden consumir todo tu ancho de banda.

Pero … ¿Cómo averiguar cuales son las computadoras que están ocupando el ancho de banda?

IPCop tiene un administrador de ancho de banda muy rudimentario. Solamente se pueden establecer prioridades a ciertos puertos pero nada más. Tampoco ofrece una opción de monitoreo, pero todavía podemos hacer algo al respecto.

Instalar IPTraf en IPCop.

Primero vamos a bajar de IPCop addon binaries, en esta página encontraras editores, utilerías, analizadores, pero el programa que nos interesa se llama IPTraf y esta en la sección de Net traffic monitoring.

El procedimiento de instalación es muy similar para todos los programas de esta página:

Descargar el programa de tu elección (en este caso IPTraf) de la página IPCop addon binaries.

Copiar el archivo a IPCop a cualquier directorio de tu elección, en windows puedes usar WinSCP o SCP, solo recuerda que el puerto es el 222 y tampoco se te olvide habilitar el acceso SSH en el menú Sistema - Acceso SSH.

Nos conectamos a IPCop mediante consola, para eso podemos usar putty en windows o ssh en linux , simplemente abrimos una terminal y tecleamos ssh root@192.168.0.1 -p 222 (recuerden cambiar la ip por la de su servidor ipcop).

Entrar como el usuario root.

Cambiar el directorio donde copiamos el archivo, por ejemplo cd /tmp

Descomprimir el archivo con tar xvfz archivodeladdon.tar.gz

Ir al directorio donde se descomprimieron los archivos.

Para instalar el addon teclear ./install -i (para desinstalar ./install -u )

Usando IPTraf.

La mitad del camino es instalar iptraf, lo que sigue es utilizarlo. En la misma terminal que acabamos de usar para instalar, tecleamos iptraf, si todo sale bien verán una pantalla como esta.

Vamos a la opción que dice LAN station monitor y aparecerá una lista de las interfaces de red. Elijo la que corresponde a GREEN en mi caso eth0. Si tienen duda sobre cual es su tarjeta de red GREEN, pueden ir al menú Estado - Estado de la red.

Dejamos que junte unos paquetes y podemos ver lo que pasa por la tarjeta eth0, lamentablemente lo que vemos son las mac address de las tarjetas de red.

Para averiguar la mac adress de la tarjeta GREEN, nuevamente vamos al menú Estado - Estado de la red, para las direcciones de los clientes podemos usar la información que muestra el servidor DHCP, menú Servicios - Servidor DHCP.

Una simple observación nos puede dar idea de como se esta repartiendo el ancho de banda.

En la parte superior (75.8) podemos ver el trafico correspondiente a la tarjeta GREEN, reconocida por su mac address, y en la parte inferior una computadora que esta usando 69.4, por lo tanto esta es la computadora que esta usando la mayor parte del ancho de banda usado por IPCop. Bueno estos valores no son elevados pero nos da una idea de quien esta usando el servicio.

Ahora que ya sabemos quién es el que esta consumiendo el ancho de banda podemos ir a desconectarle la tarjeta de red, echarle un vistazo o administrar su acceso a internet con Blockout traffic o URLFilter.

Tengan en cuenta que un aumento en el consumo de ancho de banda los probables culpables suelen ser programas p2p, virus, sitios de videos o las actualizaciones de windows, ahora sabrán que computadora origina todo esto y podrán tomar medidas al respecto.

Ayer si que tuve un día muy ajetreado, muy temprano comenzó con frecuentes desconexiones a internet, llamé a mi proveedor de internet y me dijo que todo estaba normal, fue cuando dije… Ohhh ohhhhh.

Y es que un servidor IPCop es un caballito de batalla, no se raja ni da problemas a meeeenos, a menos que tenga problemas con el hardware y eso fue lo que pasó.

Incluso no le tengo un monitor conectado, como esa computadora es de prender y haz lo tuyo no lo necesitaba, al conectarle un monitor ¡Horror!, me di cuenta de que mi servidor IPCop se estaba reiniciando de manera espontánea.

No aguantaba ni 5 minutos encendido, por eso iba y venía el internet.

Intenté detectar cual era la pieza que provocaba el fallo, pero llegué hasta la motherboard. En un principio creí que era el disco duro de 6 GB, este ha sido el disco duro con el que empecé a instalar IPCop, pero no, sigue tan sano como el primer día

Afortunadamente tenía otra computadora de la que pude tomar piezas para armar otro servidor. Aproveché para ponerle 512MB en RAM (originalmente tenía 256 MB) , le puse el mismo disco duro y la tarjeta de red 3COM de la computadora que falleció.

Tenía el pendiente de la tarjeta de red integrada, obvio eran diferentes y pensaba como le iba a hacer para que la reconociera o configurarla, pero al primer arranque funcionó.

De hecho me admiró como tomó el control nuevamente del Internet. Como si nada hubiera pasado.