![[Important]](./imagenes/important.png) | Importante |
|---|---|
Si tiene instalado en su sistema la aplicación SSH Sentinel, y quiere utilizar la pila IPSec de MS Windows, ha de desinstalar (o desabilitar) SSH Sentinel, y habilitar el servicio 'ipsec'. | |
![[Note]](./imagenes/note.png) | Nota |
|---|---|
En la siguiente dirección existen una serie de capturas de pantalla que muestran el proceso de importación de certificados en una máquina Windows: http://support.real-time.com/open-source/ipsec/index.html | |
Los pasos necesarios para configurar nuestro cliente MS Windows XP son los siguientes:
Cree el certificado para la máquina cliente, para ello siga los pasos detallados en la Sección 5, “Generación de los certificados”. A partir de este momento, asumiremos que se ha denominado al certificado para Windows XP de la siguiente forma: winhost.dominio.com
Desde el certificado generado para MS Windows, exporte un archivo .p12 para la máquina MS Windows. La forma de hacerlo es la siguiente:
# openssl pkcs12 -export -in winhost.dominio.com.pem -inkey winhost.dominio.com.key \ -certfile demoCA/cacert.pem -out winhost.dominio.com.p12 Enter pass phrase for host.dominio.com.key:req-password(enter) Enter Export Password:win-password(enter) Verifying - Enter Export Password:win-password(enter) |
| Nota |
|---|---|
Tenga en cuenta que puede necesitar añadir la opción '-name friendly_name', para que algunas versiones de MS Windows puedan leer el certificado. | |
Ejecute también el siguiente comando:
# openssl x509 -in demoCA/cacert.pem -noout -subject |
Deberá apuntar el resultado obtenido, ya que lo necesitará para la configuración de su VPN. El resultado obtenido en mi caso ha sido:
subject= /C=PT/ST=Braganca/L=Braganca/O=Instituto Politecnico de Braganca /OU=Comunicacoes/CN=Sergio Gonzalez Gonzalez/emailAddress=sergio.gonzalez@hispalinux.es |
Copie el archivo winhost.dominio.com.p12 a su máquina MS Windows de forma segura.
Antes de instalar la aplicación VPN de Marcus Müller, ha de instalar el programa ipeseccmd. Para ello instale las Win XP Support tools que están en el CD de MS Windows XP en el directorio \SUPPORT\TOOLS. Ejecute el archivo setup.exe y seleccione la instalación completa.
Descomprima la aplicación ipsec.exe de Marcus Müller a un directorio de su máquina MS Windows, por ejemplo: c:\ipsec.
En esta sección se han empleado las capturas de pantalla y la información de esta página: RealTimeEnterprises1.
1. Haz click sobre el botón inicio -> ejecutar
2. Teclee MMC y pulse OK
3. Pulse sobre el menú Archivo (o Console) y seleccione Add/Remove Snap-in
4. Pulse sobre Añadir
5. Pulse sobre Certificados y pulse sobre Añadir
Seleccione Cuenta de ordenador y pulse sobre Next
7. Seleccione Ordenador local y pulse sobre Finalizar
8. Busque y pulse la opción Administración de las políticas de seguridad IP y luego haga click sobre Añadir
9. Seleccione Ordenador local y pulse sobre Finalizar
10. Pulse sobre Cerrar
11. Pulse sobre Aceptar
En esta sección se han empleado las capturas de pantalla y la información de esta página: RealTimeEnterprises1.
1. Pulse sobre el signo más de la opción Certificados (ordenador local)
2. Pulse con el botón derecho sobre Personal y luego sobre Todas las tareas y más tarde sobre Importar
3. Pulse sobre Siguiente
4. Teclee la ruta al archivo .p12 (o busque y seleccione el archivo), y pulse sobre Siguiente
5. Teclee la clave del certificado y luego pulse Siguiente
6. Seleccione la opción Selección automática del almacenamiento del certificado basado en el tipo de certificado y pusle sobre Siguiente
7. Pulse sobre Finalizar, y diga Sí a cualquier ventana de aviso que se muestre
8. Pulse sobre Aceptar
9. Guarde la configuración actual en un archivo, así no tendrá que añadir de nuevo el Snap Ins cada vez
10. Utilize el nombre por defecto, y pulse sobre Guardar
11. Salga de MMC
Edite el archivo ipsec.conf (en la máquina MS Windows), reemplace la entrada “RightCA” con la salida obtenida al final de la Sección 9.2, “Obtener el certificado en formato .p12”, tras ejecutar el comando:
# openssl x509 -in demoCA/cacert.pem -noout -subject |
Nesecitará reformatear la salida como se muestra a continuación[8]:
conn roadwarrior
left=%any
right=193.146.99.5
rightca="C=PT,S=Braganca,L=Braganca,O=Instituto Politecnico de Braganca,
CN=Sergio Gonzalez Gonzalez,Email=sergio.gonzalez@hispalinux.es"
network=auto
auto=start
pfs=yes
conn roadwarrior-net
left=%any
right=193.146.99.5
rightsubnet=192.168.1.0/24
rightca="C=PT,S=Braganca,L=Braganca,O=Instituto Politecnico de Braganca,
CN=Sergio Gonzalez Gonzalez,Email=sergio.gonzalez@hispalinux.es"
network=auto
auto=start
pfs=yes |
Ejecute el comando ipsec.exe. A continuación se muestra un ejemplo de salida tras ejecutar dicho comando:
C:\ipsec>ipsec IPSec Version 2.1.4 (c) 2001,2002 Marcus Mueller Getting running Config ... Microsoft's Windows XP identified Host name is: (local_hostname) No RAS connections found. LAN IP address: 192.168.1.4 Setting up IPSec ... Deactivating old policy... Removing old policy... Connection roadwarrior: MyTunnel : 192.168.1.4 MyNet : 192.168.1.4/255.255.255.255 PartnerTunnel: 193.146.99.5 PartnerNet : 193.146.99.5/255.255.255.255 CA (ID) : C=PT,S=Braganca,L=Braganca,O=Instituto Politecnico de Braganca,... PFS : y Auto : start Auth.Mode : MD5 Rekeying : 3600S/50000K Activating policy... Connection roadwarrior-net: MyTunnel : 192.168.1.4 MyNet : 192.168.1.4/255.255.255.255 PartnerTunnel: 193.146.99.5 PartnerNet : 192.168.1.254/255.255.255.255 CA (ID) : C=PT,S=Braganca,L=Braganca,O=Instituto Politecnico de Braganca,... PFS : y Auto : start Auth.Mode : MD5 Rekeying : 3600S/50000K Activating policy... C:\ipsec> |
Una vez ha finalizado el arranque de IPSec, haga un ping a su gateway. Este debería decir 'Negotiating IP Security' varias veces, y después dar respuestas al comando ping.
| Nota |
|---|---|
Tenga en cuenta que el establecimiento del tunel puede llevar varios intentos; haciendo uso de una red T1 conectándose a un servidor detrás de un cable módem, el establecimiento toma unos 3-4 pings normalmente. | |