www.monografias.

com

Virtual Private Networks (VPN)

1. Necesidades y surgimiento de las VPNs 2. Estructura de las VPNs 3. Protocolos utilizados en las VPNs 4. $. on!iguraci"n de #rotocolos on!iguraci"n de una VPN %a&o '(N)*

+. ,i%liogra!-a

Necesidades y surgimiento de las VPNs Hasta no hace mucho tiempo, las diferentes sucursales de una empresa podan tener, cada una, una red local a la sucursal que operara aislada de las dems. Cada una de estas redes locales tena su propio esquema de nombres, su propio sistema de email, e inclusive usar protocolos que difieran de los usados en otras sucursales. Es decir, en cada lugar exista una configuracin totalmente local, que no necesariamente deba ser compatible con alguna o todas las dems configuraciones de las otras reas dentro de la misma empresa. medida que la computadora fue siendo incorporada a las empresas, surgi la necesidad de comunicar las diferentes redes locales para compartir recursos internos de la empresa. !ara cumplir este ob"etivo, deba establecerse un medio fsico para la comunicacin. Este medio fueron las lneas telefnicas, con la venta"a de que la disponibilidad es mu# alta # que se garanti$a la privacidad. dems de la comunicacin entre diferentes sucursales, surgi la necesidad de proveer acceso a los usuarios mviles de la empresa. %ediante &emote misma. El gran inconveniente del uso de las lneas telefnicas es su alto costo, #a que se suele cobrar un abono mensual ms una tarifa por el uso, en el que se tienen en cuenta la duracin de las llamadas # la distancia hacia donde se las hace. 'i la empresa tiene sucursales dentro del mismo pas pero en distintas reas telefnicas, #, adems, tiene sucursales en otros pases, los costos telefnicos pueden llegar a ser prohibitivos. dicionalmente, si los usuarios mviles deben conectarse a la red corporativa # no se encuentran dentro del rea de la empresa, deben reali$ar llamadas de larga distancia, con lo que los costos se incrementan. *as +irtual !rivate ,etwor-s (+!,) son una alternativa a la conexin . , mediante lneas telefnicas # al servicio & ', ba"ando los costos de /stos # brindando los mismos servicios, mediante el uso de la autenticacin, encriptacin # el uso de t0neles para las conexiones. ccess 'ervices(& '), este tipo de usuario puede conectarse a la red de la empresa # usar los recursos disponibles dentro de la

Estructura de las VPNs 1na +irtual !rivate ,etwor- (+!,) es un sistema para simular una red privada sobre una red p0blica, por e"emplo, 2nternet. Como se muestra en la figura siguiente, la idea es que la red p0blica sea 3vista4 desde dentro de la red privada como un cable lgico que une las dos o ms redes que pertenecen a la red privada.

*as +!,s tambi/n permiten la conexin de usuarios mviles a la red privada, tal como si estuvieran en una * , dentro de una oficina de la empresa donde se implementa la +!,. Esto resulta mu# conveniente para personal que no tiene lugar fi"o de traba"o dentro de la empresa, como podran ser vendedores, e"ecutivos que via"an, personal que reali$a traba"o desde el hogar, etc. *a forma de comunicacin entre las partes de la red privada a trav/s de la red p0blica se hace estableciendo t0neles virtuales entre dos puntos para los cuales se negocian esquemas de encriptacin # autentificacin que aseguran la confidencialidad e integridad de los datos transmitidos utili$ando la red p0blica. Como se usan redes p0blicas, en general 2nternet, es necesario prestar debida atencin a las cuestiones de seguridad, que se aborda a trav/s de estos esquemas de encriptacin # autentificacin # que se describirn luego. *a tecnologa de t0neles (35unneling4) es un modo de transferir datos en la que se encapsula un tipo de paquetes de datos dentro del paquete de datos de alg0n protocolo, no necesariamente diferente al del paquete original. paquetes via"an encriptados. *as t/cnicas de autenticacin son esenciales en las +!,s, #a que aseguran a los participantes de la misma que estn intercambiando informacin con el usuario o dispositivo correcto. *a autenticacin en +!,s es conceptualmente parecido al logeo en un sistema como nombre de usuario # contrase6a, pero con necesidades ma#ores de aseguramiento de validacin de l llegar al destino, el paquete original es desempaquetado volviendo as a su estado original. En el traslado a trav/s de 2nternet, los

identidades. *a ma#ora de los sistemas de autenticacin usados en +!, estn basados en un sistema de claves compartidas. *a autenticacin es llevada a cabo generalmente al inicio de una sesin, # luego aleatoriamente durante el curso de la misma, para asegurar que no ha#a alg0n tercer participante que se ha#a intrometido en la conversacin. *a autenticacin tambi/n puede ser usada para asegurar la integridad de los datos. *os datos son procesados con un algoritmo de hashing para derivar un valor incluido en el mensa"e como chec-sum. Cualquier desviacin en el chec-sum indica que los datos fueron corruptos en la transmisin o interceptados # modificados en el camino. E"emplos de sistemas de autenticacin son Challenge Handsha-e (CH !) # &' . 5odas las +!,s tienen alg0n tipo de tecnologa de encriptacin, que esencialmente empaqueta los datos en un paquete seguro. *a encriptacin es considerada tan esencial como la autenticacin, #a que protege los datos transportados de la poder ser vistos # entendidos en el via"e de un extremo a otro de la conexin. Existen dos tipos de t/cnicas de encriptacin que se usan en las +!,7 encriptacin de clave secreta, o privada, # encriptacin de clave p0blica. En la encriptacin de clave secreta, se utili$a una contrase6a secreta conocida por todos los participantes que necesitan acceso a la informacin encriptada. 8icha contrase6a se utili$a tanto para encriptar como para desencriptar la informacin. Este tipo de encriptacin posee el problema que, como la contrase6a es compartida por todos los participantes # debe mantenerse secreta, al ser revelada, debe ser cambiada # distribuida a los participantes, con lo cual se puede crear de esta manera alg0n problema de seguridad. *a encriptacin de clave p0blica implica la utili$acin de dos claves, una p0blica # una secreta. *a primera es enviada a los dems participantes. l encriptar, se usa la clave privada propia # l recibir la informacin, /sta es la clave p0blica del otro participante de la conversacin. uthentication !rotocol

desencriptada usando su propia clave privada # la p0blica del generador de la informacin. *a gran desventa"a de este tipo de encriptacin es que resulta ser ms lenta que la de clave secreta. En las +!,s, la encriptacin debe ser reali$ada en tiempo real. !or eso, los flu"os encriptados a trav/s de una red son encriptados utili$ando encriptacin de clave secreta con claves que son solamente buenas para sesiones de flu"o. El protocolo ms usado para la encriptacin dentro de las +!,s es 2!'ec, que consiste en un con"unto de proposals del 2E59 que delinean un protocolo 2! seguro para 2!v: # 2!v;. 2!'ec provee encriptacin a nivel de 2!. El m/todo de t0neles, como fue descrita anteriormente, es una forma de crear una red privada. !ermite encapsular paquetes dentro de paquetes para acomodar protocolos incompatibles. 8entro de los protocolos que se usan para la metodologa de t0neles se encuentran !oint<to< !oint 5unneling !rotocol (!!5!), *a#er<= 9owarding !rotocol (*=9!) # el modo t0nel de 2!'ec. Protocolos utilizados en las VPNs !!5!

!oint<to<!oint 5unneling !rotocol fue desarrollados por ingenieros de scend Communications, 1.'. &obotics, >Com Corporation, %icrosoft, # EC2 5elematics para proveer entre usuarios de acceso remoto # servidores de red una red privada virtual. Como protocolo de t0nel, !!5! encapsula datagramas de cualquier protocolo de red en datagramas 2!, que luego son tratados como cualquier otro paquete 2!. *a gran venta"a de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a trav/s de una red 2!, como 2nternet. !!5! fue dise6ado para permitir a los usuarios conectarse a un servidor & ' desde cualquier punto en 2nternet para tener la misma autenticacin, encriptacin # los mismos accesos de * , como si discaran directamente al servidor. En ve$ de discar a un modem conectado al servidor & ', los usuarios se conectan a su proveedor # luego 3llaman4 al servidor & ' a trav/s de 2nternet utili$ando !!5!. Existen dos escenarios comunes para este tipo de +!,7 el usuario remoto se conecta a un 2'! que provee el servicio de !!5! hacia el servidor & '. el usuario remoto se conecta a un 2'! que no provee el servicio de !!5! hacia el servidor & ' #, por lo tanto, debe iniciar la conexin !!5! desde su propia mquina cliente. !ara el primero de los escenarios, el usuario remoto estable una conexin !!! con el 2'!, que luego establece la conexin !!5! con el servidor & '. !ara el segundo escenario, el usuario remoto se conecta al 2'! mediante !!! # luego 3llama4 al servidor & ' mediante !!5!. *uego de establecida la conexin !!5!, para cualquiera de los dos casos, el usuario remoto tendr acceso a la red corporativa como si estuviera conectado directamente a la misma. *a t/cnica de encapsulamiento de !!5! se basa en el protocolo ?eneric &outing Encapsulation (?&E), que puede ser usado para reali$ar t0neles para protocolos a trav/s de 2nternet. *a versin !!5!, denominada ?&Ev=, a6ade extensiones para temas especficos como Call 2d # velocidad de conexin. El paquete !!5! est compuesto por un header de envo, un header 2p, un header ?&Ev= # el paquete de carga. El header de envo es el protocolo enmarcador para cualquiera de los medios a trav/s de los cuales el paquete via"a, #a sea Ethernet, frame rela#, !!!. El header 2! contiene informacin relativa al paquete 2!, como ser, direcciones de origen # destino, longitud del datagrama enviado, etc. El header ?&Ev= contiene informacin sobre el tipo de paquete encapsulado # datos especficos de !!5! concernientes a la conexin entre el cliente # servidor. !or 0ltimo, el paquete de carga es el paquete encapsulado, que, en el caso de !!!, el datagrama es el original de la sesin !!! que via"a del cliente al servidor # que puede ser un paquete 2!, 2!@, ,etAE12, entre otros. *a siguiente figura ilustra las capas del encapsulamiento !!5!.

!ara la autenticacin, !!5! tiene tres opciones de uso7 CH !, %'<CH ! # aceptar cualquier tipo, inclusive texto plano. 'i se utili$a CH !, standard en el que se intercambia un 3secreto4 # se comprueba ambos extremos de la conexin coincidan en el mismo, se utili$a la contrase6a de .indows ,5, en el caso de usar este sistema operativo, como secreto. %'<CH ! es un standard propietario de %icrosoft # resulta ser una ampliacin de CH !. !ara la tercer opcin, el servidor & ' aceptar CH !, %'<CH ! o ! ! (!assword utenthication !rotocol), que no encripta las contrase6as. !ara la encriptacin, !!5! utili$a el sistema &C: de &' , con una clave de sesin de :B bits. (P.ec 2!'ec trata de remediar algunas falencias de 2!, tales como proteccin de los datos transferidos # garanta de que el emisor del paquete sea el que dice el paquete 2!. 'i bien estos servicios son distintos, 2!'ec da soporte a ambos de una manera uniforme. 2!'ec provee confidencialidad, integridad, autenticidad # proteccin a repeticiones mediante dos protocolos, que son uthentication !rotocol ( H) # Encapsulated 'ecurit# !a#load (E'!). !or confidencialidad se entiende que los datos transferidos sean slo entendidos por los participantes de la sesin. !or integridad se entiende que los datos no sean modificados en el tra#ecto de la comunicacin. !or autenticidad se entiende por la validacin de remitente de los datos. !or proteccin a repeticiones se entiende que una sesin no pueda ser grabada # repetida salvo que se tenga autori$acin para hacerlo. H provee autenticacin, integridad # proteccin a repeticiones pero no as confidencialidad. *a diferencia ms importante con E'! es que direcciones de origen # destino. E'! provee autenticacin, integridad, proteccin a repeticiones # confidencialidad de los datos, protegiendo el paquete entero que sigue al header. H sigue al header 2! # contiene diseminaciones criptogrficas tanto en los datos como en la informacin de identificacin. *as diseminaciones pueden tambi/n cubrir las partes invariantes del header 2!. El header de E'! permite rescribir la carga en una forma encriptada. Como no considera los campos del header 2!, no garanti$a nada sobre el mismo, slo la carga. 1na divisin de la funcionalidad de 2!'ec es aplicada dependiendo de dnde se reali$a la encapsulacin de los datos, si es la fuente original o un gatewa#7 H protege partes del header 2!, como las

El modo de transporte es utili$ado por el host que genera los paquetes. En este modo, los headers de seguridad son antepuestos a los de la capa de transporte, antes de que el header 2! sea incorporado al paquete. En otras palabras, H cubre el header 5C! # algunos campos 2!, mientras que E'! cubre la encriptacin del header 5C! # los datos, pero no inclu#e ning0n campo del header 2!.

El modo de t0nel es usado cuando el header 2! entre extremos est #a incluido en el paquete, # uno de los extremos de la conexin segura es un gatewa#. En este modo, tanto H como E'! cubren el paquete entero, inclu#endo el header 2! entre los extremos, agregando al paquete un header 2! que cubre solamente el salto al otro extremo de la conexin segura, que, por supuesto, puede estar a varios saltos del gatewa#.

*os enlaces seguros de 2!'ec son definidos en funcin de 'ecurit#

ssociations (' ). Cada

' est definido para un flu"o unidireccional de datos # generalmente de un punto 0nico a otro, cubriendo trfico distinguible por un selector 0nico. 5odo el trfico que flu#e a trav/s de un ' es tratado de la misma manera. !artes del trfico puede estar su"eto a varios ' , cada uno de los cuales aplica cierta transformacin. ?rupos de ' son denominados ' Aundles. !aquetes entrantes pueden ser asignados a un ' especfico por los tres campos definitorios7 la cuando los H o E'!. direccin 2! de destino, el ndice del parmetro de seguridad # el protocolo de seguridad. El '!2 puede ser considerado una coo-ie que es repartido por el receptor del ' parmetros de la conexin son negociados. El protocolo de seguridad debe ser valor sea 0nico. 1n e"emplo de paquete H en modo t0nel es7

Como la direccin 2! de destino es parte de la tripleta antes mencionada, se garanti$a que este

1n e"emplo de paquete H en modo transporte es7

Como E'! no puede autentificar el header 2! ms exterior, es mu# 0til combinar un header H # E'! para obtener lo siguiente7

Este tipo de paquete se denomina 5ransport d"acenc#. *a versin de entunelamiento sera7

'in embargo, no es mencionado en las &9C que definen estos protocolos. Como en 5ransport d"acenc#, esto autenticara el paquete completo salvo algunos pocos campos del header 2! # tambi/n encriptara la carga. Cuando un header H # E'! son directamente aplicados como en esta manera, el orden de los header debe ser el indicado. Es posible, en el modo de t0nel, hacer una encapsulacin arbitrariamente recursiva para que el orden no sea el especificado. '2/P *a#er<= 5unneling !rotocol (*=5!) facilita el entunelamiento de paquetes !!! a trav/s de una red de manera tal que sea lo ms transparente posible a los usuarios de ambos extremos del t0nel # para las aplicaciones que /stos corran. El escenario tpico *=5!, cu#o ob"etivo es la creacin de entunelar marcos !!! entre el sistema remoto o cliente * C # un *,' ubicado en una * , local, es el que se muestra en la siguiente figura7

1n *=5! ccess Concentrator (* C) es un nodo que act0a como un extremo de un t0nel *=5! # es el par de un *,'. 1n * C se sit0a entre un *,' # un sistema remoto # manda paquetes entre ambos. *os paquetes entre el * C # el *,' son enviados a trav/s del t0nel *=5! # los paquetes entre el * C # el sistema remoto es local o es una conexin !!!. 1n *=5! ,etwor- 'erver (*,') act0a como el otro extremo de la conexin *=5! # es el otro par del * C. El *,' es la terminacin lgica de una sesin !!! que est siendo puesta en un t0nel desde el sistema remoto por el * C. 1n cliente * C, una mquina que corre nativamente *=5!, puede participar tambi/n en el t0nel, sin usar un * C separado. En este caso, estar conectado directamente a 2nternet. El direccionamiento, la autenticacin, la autori$acin # el servicio de cuentas son provedos por el Home * ,Cs %anagement 8omain. *=5! utili$a dos tipos de mensa"es7 de control # de datos. *os mensa"es de control son usados para el establecimiento, el mantenimiento # el borrado de los t0neles # las llamadas. 1tili$an un

canal de control confiable dentro de *=5! para garanti$ar el envo. *os mensa"es de datos encapsulan los marcos !!! # son enviados a trav/s del t0nel. *a siguiente figura muestra la relacin entre los marcos !!! # los mensa"es de control a trav/s de los canales de control # datos de *=5!.

*os marcos !!! son enviados a trav/s de un canal de datos no confiable, encapsulado primero por un encabe$ado *=5! # luego por un transporte de paquetes como 18!, 9rame &ela# o 5%. *os mensa"es de control son enviados a trav/s de un canal de control *=5! confiable que transmite los paquetes sobre el mismo transporte de paquete. 'e requiere que ha#a n0meros de secuencia en los paquetes de control, que son usados para proveer el envo confiable en el canal de control. *os mensa"es de datos pueden usar los n0meros de secuencia para reordenar paquetes # detectar paquetes perdidos. l correr sobre 18!D2!, *=5! utili$a el puerto EFBE. El paquete entero de *=5!, inclu#endo la parte de datos # el encabe$ado, via"a en un datagrama 18!. El que inicia un t0nel *=5! toma un puerto 18! de origen que est/ disponible, pudiendo ser o no el EFBE # enva a la direccin de destino sobre el puerto EFBE. Este extremo toma un puerto libre, que puede ser o no el EFBE, # enva la respuesta a la direccin de origen, sobre el mismo puerto iniciador. *uego de establecida la conexin, los puertos quedan estticos por el resto de la vida del t0nel. En la autenticacin de *=5!, tanto el * C como el *,' comparten un secreto 0nico. Cada extremo usa este mismo secreto al actuar tanto como autenticado como autenticador. 'obre la seguridad del paquete *=5!, se requiere que el protocolo de transporte de *=5! tenga la posibilidad de brindar servicios de encriptacin, autenticacin e integridad para el paquete *=5! en su totalidad. Como tal, *=5! slo se preocupa por la confidencialidad, autenticidad e integridad de los paquetes *=5! entre los puntos extremos del t0nel, no entre los extremos fsicos de la conexin. on!iguraci"n de #rotocolos on!iguraci"n de una VPN %a&o 0indows !ara configurar una +!, ba"o .indows se necesita lo siguiente7 Conexin a 2nternet tanto para el servidor local de ,5 como para las mquinas remotas. 1na direccin 2! esttica para el servidor ,5. !rox# que se e"ecute en el servidor ,5, para evitar el acceso desautori$ado al sistema. 8irecciones 2! para los recursos a compartir.

daptador virtual de la red instalado en la mquina remota o cliente.

*a secuencia de pasos es7 Hacer una lista de las direcciones 2! de los recursos que sern compartidos a trav/s de 2nternet. 2nstalacin # e"ecucin del prox#. En el servidor ,5, se deben configurar los archivos del usuario ,5 para que pueda llamar # conectarse al servidor, garanti$ando su acceso al sistema con los permisos de la +!,. *uego de estos pasos, se deber instalar el adaptador privado de la red en la mquina cliente, como se indica7 8entro del 8ilogo de &ed, que se muestra deba"o, # al cual se accede a trav/s de la opcin !ropiedades del icono Entorno de &ed, se presiona el botn dd.

parecer la siguiente pantalla, se deber seleccionar botn dd.

dapter # luego presionar el

parece el cuadro 'elect ,etwor- adapters, donde se deber elegir el fabricante # el adaptador como se muestra en la siguiente figura7

!osteriormente, para instalar la conexin a la * ,, se deber acceder al &emoto a &edes

cceso

'e selecciona %a-e a ,ew Connection, apareciendo la siguiente pantalla, donde se podr elegir el adaptador de +!,7

10

*uego de presionar el botn ,ext, se deber introducir la direccin 2! del servidor +!, en la siguiente pantalla7

s se finali$a la creacin de la nueva conexin7

11

!ara acceder al servidor ,5, se abre el cceso &emoto a &edes7

l hacer doble<clic- en el icono de la conexin +!,, aparecer la siguiente pantalla, donde se debe introducir el nombre de usuario, la contrase6a # la direccin 2! del servidor ,57

!ara configurar el servidor +!,, se deber configurar !!5!, activar el filtro !!5! # activar el soporte !!5! en los clientes. !ara configurar !!5! en el servidor & ' # en los clientes que va#an a utili$arlo, se debern reali$ar los siguientes pasos7 8entro de &ed en el !anel de Control, seleccionando !rotocolos, se deber presionar el botn gregar7

12

'e selecciona !oint to !oint 5unneling !rotocol, #, luego de copiados los archivos, aparecer el cuadro de dilogo Configuracin de !!5!. El campo ,0mero de redes privadas virtuales indica el n0mero de conexiones !!5! admitidas. En el e"emplo, se establecen = +!,7

*uego, se inicia la herramienta de configuracin & ', donde se deben a6adir los puertos virtuales que darn servicio a las redes privadas virtuales que se deseen establecer. & '7 l presionar el botn gregar, se accede al dialogo gregar dispositivo

13

8espu/s de ingresadas las entradas, se presiona ceptar. *uego se podr seleccionar cada entrada del dilogo 2nstalacin de cceso &emoto, para configurar el uso del puerto. *as opciones son7 'lo recibir llamadas o Hacer # recibir llamadas.

8espu/s de a6adir todos los dispositivos virtuales, se podr cerrar este dilogo para volver a la ficha !rotocolos. l reiniciar la computadora, #a estar configurado el server.

!ara la activacin del filtro !!5!, se debe selecciona la solapa !rotocolos de !anel de Configuracin D &ed. 8entro de esta pantalla, se elige !rotocolo 5C!D2!, luego !ropiedades. En la solapa 8ireccin 2!, se selecciona el adaptador de red sobre el que se aplicar el filtro. *uego de presionar el botn van$adas, se marca la casilla ctivar filtro !!5! #, por 0ltimo, se reinicia la mquina para activar la configuracin. Cuando un cliente se conecta a 2nternet, el procedimiento para establecer un t0nel +!, consta de dos pasos7 Establecimiento por parte del cliente mediante una conexin de acceso telefnico a trav/s de un 2'!. Establecimiento de una conexin !!5! con el servidor & '. cliente se conecta directamente a 2nternet, no es necesario establecer una

Cuando un

conexin de acceso telefnico. 'in embargo, el procedimiento para iniciar la conexin !!5! con el servidor & ' es id/ntico. !ara establecer una conexin !!5! es necesario crear una entrada especial en la gua telefnica. Esta entrada se distingue por dos caractersticas7 El campo %arcar utili$ado tiene uno de los dispositivos virtuales +!, a6adidos a la configuracin & ' al instalar !!5!. Esta lista slo muestra los +!, configurados para hacer llamadas. El campo !resentacin preliminar de n0mero telefnico contiene el nombre 8,' o la direccin 2! del servidor !!5!. *a creacin de una conexin !!5! implica tambi/n dos pasos7 'e abre la aplicacin cceso telefnico a redes, utili$ando la gua telefnica que permite acceder al 2'! a trav/s de un n0mero de tel/fono # un modem. Establecida la conexin, se debe abrir la entrada de la gua telefnica que se conecta al t0nel !!5! mediante un nombre 8,' o una direccin 2!. 'i el cliente est conectado directamente a 2nternet, slo es necesario el segundo paso. on!iguraci"n de una VPN %a&o '(N)* En este apartado se explica la configuracin del demonio de +!, (+!,8) sobre 8ebian, pero no debiera traer ning0n problema configurarlo en otra distribucin. +!,8 permite crear enlaces seguros sobre 5C!D2! con claves de hasta GE= bits # algoritmo de encriptacin A*H.92'H, montando una interfa$ virtual serie que proporciona la posibilidad de enrutamiento de 2! entre redes. *os pasos a seguir son7 8ar soporte '*2! en el -ernel *2,1@, recompilndolo # probando que funcione.

14

2nstalacin del paquete vnpd, que, en 8ebian, se puede hacer con I a#t1get install v#ndC. Creacin de una clave de sesin, utili$ando I v#nd 2m 3etc3vn#d3v#nd.keyC, que debe ser pasada al otro extremo de la +!, mediante un medio seguro, #a que es la clave que ambos extremos de la +!, comparten.

Configuracin de los extremos de la +!,, siguiendo la estructura ClienteD'ervidor. continuacin, se muestran el contenido de los archivos v#nd.con! de configuracin para el servidor # el cliente.

rchivo 3etc3v#n3v#nd.con! para el servidor7 mode server J 8ireccion 2! # puerto del servidor server a.b.c.d =BBE J 8ireccion 2! # puerto del cliente client w.x.#.$ =BBE J 8ireccion 2! privada del servidor local a.b.c.d J 8ireccion 2! privada del cliente remote w.x.#.$ J Hpciones generales autoroute Keepalive EB noanswer > -e#file DetcDvnpdDvnpd.-e# pidfile DvarDrunDvpnd.pid -e#ttl E=B ramdomdev DdevDurandom mtu E;BB rchivo 3etc3v#n3v#nd.con! para el cliente7 mode client J 8ireccion 2! # puerto del servidor client w.x.#.$ =BBE J 8ireccion 2! # puerto del cliente server a.b.c.d =BBE J 8ireccion 2! privada del servidor local w.x.#.$ J 8ireccion 2! privada del cliente remote a.b.c.d J Hpciones generales autoroute

15

Keepalive EB noanswer > -e#file DetcDvnpdDvnpd.-e# pidfile DvarDrunDvpnd.pid -e#ttl E=B ramdomdev DdevDurandom mtu E;BB 1na ve$ creados estos archivos, se podr levantar la +!,, iniciando los demonios con I3etc3init.d3v#nd startC. !ara comprobar el correcto funcionamiento, se puede hacer pings a las direcciones privada # del otro extremo # verificar con I i!con!ig 2aC que exista una nueva interfa$ como la siguiente7 slB *in- encap7 +L 'erial *ine 2! 2net addr7 EB.B.B.E !<t<!7 EB.B.B.= %as- 7 =GG.=GG.=GG 1! !H2,5H!H2,5 &1,,2,? ,H &! %1*52C '5 %517 E;BB %etric7 E &x pac-ets7B errors7 B dropped7B overruns7 B frame7 B Compressed7 B 5x pac-ets7B errors7 B dropped7B overruns7 B carrier7 B Collisions7 B compressed7 B txqueuelen7 EB &@ b#tes7 B (B.B b) 5@ b#tesM B (B.B b)

,i%liogra!-a .cott4 5arly4 0ol!e4 Paul4 Erwin4 6ike7 3+irtual !rivate ,etwor-s4, =N edicin, HC&eill# O ssociates, Enero EPPP. )niversidad de Valencia7 http7DDwww.uv.esDciuvDcasDvpnD 8#en,.97 http7DDwww.openbsd.orgDfaqDfaqE>.html :uti;rrez :onz<lez4 6a. Nieves4 .anc5o ,uz"n4 =na >osa4 Estudio sobre las +!, (&edes http7DDwww.infor.uva.esDQ"vegasDdocenciaDarDseminariosD+!,.pdf Valencia4 =.4 /ownsley4 0.4 >u%ens4 =.4 Pall4 :.4 ?orn4 :.4 Palter4 ,.7 &9C =;;E,EPPP. asas uadrado4 =madeo7 +irtuales), !rivadas

utor7 (ng. 6ariano @evia

16

mheviaRbi#csa.com.ar

17