RouterMaN’s Blog

Una configuración RoadWarrior es aquella en la cual se tiene una red privada con uno o varios clientes que accesarán a la red como si fueran parte de ella (arquitectura host-to-net). El presente tutorial explica como configurar correctamente el openvpn 2.0.9-4 en un Debian Etch que ya tiene configurado Shorewall. Tomé como base el tutorial de la configuración para CentOS y lo modifiqué de acuerdo a lo que yo quería.

Primero instalamos el openvpn:

apt-get install openvpn

El openvpn viene con un directorio llamado easy-rsa, que tiene scripts bastante útiles para la configuración. Este directorio lo copiamos a /etc/openvpn

cp -a /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn

Ahora nos vamos a ese directorio recién creado y ejecutamos los siguientes comandos

. vars
./clean-all
./build-ca

Con ellos lo que haremos es:
* Inicializar variables de ambiente para poder trabajar con los siguientes scripts de shell para generar las variables
* Inicializamos el directorio de las claves (borrando potenciales archivos viejos)
* build-ca: procedemos a generar el certificado CA

Nos pedirá datos sobre la organización. No poner cualquier cosa ya que las preguntas se van a repetir más adelante y debemos estar seguros de lo que habíamos escrito. En Common Name debemos poner cualquier cosa pero ponerla

Una vez creado el Certificate Authority (CA), creamos la llave del Servidor

./build-key-server servidor

En Common Name ponemos Servidor u otro nombre pero que sea diferente al anterior

Con este paso se crearon dos archivos (servidor.crt y servidor.key). Estos archivos debemos copiarlos al directorio /etc/openvpn

Ahora generamos las claves de los clientes. Debemos ejecutar los mismos para cada cliente:

./build-key cliente1

Esto genera los archivos cliente1.key (llave) y cliente1.crt (certificado)

Creamos los parámetros Diffie-Hellman:

./build-dh

Ahora todos los archivos creados menos los de los clientes deben ser copiados a /etc/openvpn/, es decir ca.crt, ca.key, server.crt, server.key y dh1024.pem

Ahora pasamos los archivos necesarios a los clientes. Estos archivos son clientex.crt, clientex.key y ca.crt, se los podemos pasar vía sftp o scp, pero siempre tratando de que sea seguro.

La configuración del servidor la ponemos en /etc/openvpn/server.conf

port 1194
proto udp
dev tun
persist-tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

#Direcciones que se asignaran a los
#clientes, el server es .1
server 10.1.1.0 255.255.255.0

ifconfig-pool-persist ipp.txt

#Ruta para que los clientes alcancen la red local del server (1.0/24)
push “route 192.168.1.0 255.255.255.0″

#Para que los clientes se visualicen entre ellos
#Debe ir junto con la opción routeback en el shorewall
client-to-client

keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 4

La red local de la VPN es 192.168.1.0/24 y la red de la VPN es 10.1.1.0/24. El usuario remoto, si está detrás de un NAT debe tener una dirección local no perteneciente a la red de la VPN.

La configuración de los clientes sería así:

client
dev tun
proto udp
remote host.dominio.com
float #debido a que la IP de arriba es dinamica
resolv-retry infinite
nobind
persist-key
persist-tun
ca “D:\\Archivos de programa\\OpenVPN\\ca.crt” #Tener cuidado con el doble backslash (\\)
cert “D:\\Archivos de programa\\OpenVPN\\clientx.crt”
key “D:\\Archivos de programa\\OpenVPN\\clientx.key”
comp-lzo
verb 4

Ahora solo falta inicializar en los clientes, para ello es necesario el siguiente código:

openvpn –config “ruta_cliente.ovpn”

En este caso no son necesarios los \\, con uno solo basta.

Con las líneas de arriba se arma la VPN, ahora solo falta modificar el firewall para que esa nueva interfaz sea procesada y sus paquetes sean aceptados. Uso shorewall como frontend de iptables, y las modificaciones necesarias son las siguientes:
/etc/shorewall/zones (agregamos la nueva zona llamada road)

#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
road ipv4

/etc/shorewall/interfaces

#ZONE INTERFACE BROADCAST OPTIONS
road tun+ detect routeback

El Broadcast y las opciones se ponen siempre y cuando se pueda accesar desde la red a los usuarios de la VPN

/etc/shorewall/tunnels

#TYPE ZONE GATEWAY GATEWAY ZONE
openvpnserver:1194 net 0.0.0.0/0

openvpnserver puede ser reemplazado por openvpn, aunque no se recomienda debido a que este último no soporta a clientes detrás de un NAT.

/etc/shorewall/policy

#SOURCE DESTINATION POLICY
road loc ACCEPT

Aceptamos todo el tráfico proveniente de la VPN

Reiniciamos el shorewall e iniciamos el openvpn y todo debería funcionar.

Soy exalumno del Colegio de la Inmaculada, colegio jesuita, y en el boletín que periódicamente nos envían, apareció un artículo de Santiago Roncagliolo, exalumno también de mi colegio y el ganador más joven del premio Alfaguara de Novela. Él escribió un artículo interesante sobre la educación jesuita que pasó a copiar.

Jesuitas

Los ex alumnos jesuitas somos una mafia. Esto no es novedad. Pero recientes sucesos me revelan que es más grave de lo que parecía.
La historia es larga. Recuerdo a un cura de mi colegio que nos daba la lata con las personalidades jesuitas de la historia universal: Descartes era alumno jesuita, Fidel Castro era alumno jesuita, esas cosas. Un día le respondí: Julio César Mezzich, número dos de Sendero Luminoso, era jesuita. El cura respondió: “a mí no me importa que ustedes sean grandes estadistas o grandes delincuentes. Lo importante es que sean grandes”. Esa era la filosofía. La mayoría de los colegios religiosos te exigían ser un reprimido. A los del Opus Dei les bastaba con que fueses rico. Pero los jesuitas te educaban para ser “importante”. El lema de San Ignacio, fundador de la Compañía, era “siempre más”.
Con el tiempo, mis compañeros de colegio desarrollaron un sentido de tropa que era el orgullo de los curas y la burla del resto de chicos de nuestra edad. Los de mi colegio eran conocidos por llevar la ropa deportiva escolar incluso fuera de las horas de clase, por andar siempre juntos y sentirse superiores, por cantar el himno del colegio en las borracheras.
El sentido gregario de los jesuitas es casi como una secta. Una vez, en Lima, yo preparaba un reportaje sobre cómo los doctores preparan a los pacientes para la muerte. El tema era tan desagradable que ningún doctor quería hablar. Cuando ya daba el reportaje por perdido, me encontré con un relacionista público de un hospital que era del colegio. Y él me presentó al director del hospital, que también era del colegio. Todo arreglado. En otra ocasión, recién llegado a República Dominicana, tuve acceso a una de las mejores bibliotecas del país porque era de los jesuitas. Bastó citar un par de nombres que certificasen mi currículum en la compañía. En Lima, ser del colegio te conseguía trabajos. Yo mismo, entre dos directores teatrales igualmente cualificados, escogí para mi obra al que era del colegio.
Hasta ahí, la historia es graciosilla. Pero ahora he encontrado una constante triste entre mis mejores amigos peruanos en España. Uno de ellos tiene sólo 24 años y ya es redactor principal de una revista cultural. Su opinión es valorada por algunos de los editores más importantes de este país. Muchos escritores hispanoamericanos mayores que él le damos nuestras novelas antes de publicarlas para escuchar sus comentarios. Su red de contactos parece la de un productor de Hollywood. Sin embargo, él lleva meses deprimido porque se siente “estancado”, y se considera capaz de enfrentar retos más complejos. 24 años tiene el niño.
Mi otro amigo fue siempre el prototipo del inmigrante de éxito en España: aún en los años más difíciles para todos nosotros, él tenía esposa, hija, casa, coche y trabajo en una corporación transnacional. Ahora se está comprando un piso de tres dormitorios con un balcón que mira hasta el mar de Barcelona, y trabaja en una empresa que cotiza en bolsa. Y sin embargo, se siente frustrado. Cree que en el Perú tendría un puesto más relevante, podría hacer cosas por el país. Hasta cierto punto, se siente culpable por no hacerlas.
Yo mismo soy incapaz de reconocer que me va bien, incluso cuando me va muy bien. Los que me conocen me dicen “tú siempre necesitas una razón para estar insatisfecho”. Ya ni siquiera puedo deprimirme porque no me toman en serio.
Hasta hace poco pensaba que yo era neurótico y, por lo tanto, tiendo a conseguir amigos neuróticos. Sólo hoy he tomado conciencia de que los tres somos del mismo colegio. Por Dios ¿Qué nos han hecho? ¿Por qué no se limitaron a despotricar contra los condones como todos los curas?

Hace un par de horas acaba de haber un terremoto de 7.7 grados en la escala de Richter en el Perú, con epicentro en Nazca. Felizmente me agarró en el micro yendo al Estadio para ver el U - Cristal, pero me gané con el pánico que originó el temblor y como la gente salía corriendo a la calle.

Bastantes personas con las que he hablado afirmaron ver como un resplandor instantáneo en el cielo en el momento del Terremoto, pues googleando encontré que ese fenómeno se llama Triboluminiscencia y ha sido ampliamente investigado por el geólogo japonés Kinkiti Musya. También encontré dos videos que los pongo a continuación: