Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1016
)
- ► septiembre (Total: 50 )
-
▼
febrero
(Total:
102
)
- El DJ serbio que se ha forrado recuperando dominio...
- La plaga de anuncios trampa con imágenes de famoso...
- Con una Raspberry Pi y un algoritmo de IA bloquea ...
- Hackean remotamente las impresoras 3D de Anycubic
- Disponible Kali Linux 2024.1 con 4 nuevas herramie...
- El ransomware Rhysida pide 3,6 millones de dólares...
- Browser In The Browser (BitB) sin marcos
- Botnet con Ubiquity EdgeRouter infectados
- Epic Games ha sido hackeada por Mogilevich: han ro...
- Amazon Prime Video incluirá anuncios en España a p...
- Samsung presenta una tarjeta microSD capaz de alca...
- El Bitcoin alcanza su valor más alto de los último...
- PlayStation despide a cientos de empleados y cance...
- Universal Music retira más canciones de TikTok e i...
- Novedades Tails 6.0
- Configurar una VPN con WireGuard y WireGuard-UI en...
- Configurar una VPN Site-to-Site con IPsec
- Influencers "Los Petazetaz" detenidos por violar y...
- Filtración datos personales titulares de las tarje...
- Energizer P28K: el móvil con la batería más grande...
- Lenovo presenta un prototipo de portátil con una p...
- Oppo presenta las Air Glass 3, sus gafas de realid...
- ¿Puede un malware ocultarse en una foto?
- Vulnerabilidades más aprovechadas para realizar at...
- Microsoft se une al club de Apple: diseñará sus pr...
- Nvidia supera las expectativas y sus ventas para c...
- Vuelve el grupo de ransomware LockBit
- Windows 11 aún no es compatible ni con Wi-Fi 7 ni ...
- Avast antivirus multada con 16,5 millones por alma...
- El cristal de las Apple Vision Pro se agrieta sin ...
- Consiguen hackear PlayStation Portal y ejecutar un...
- Google usará Reddit para entrenar su inteligencia ...
- Gemma, la nueva IA de código abierto de Google
- Menores de edad “venden” sus datos biométricos a W...
- Un pasajero en pleno vuelo publica en Reddit una i...
- Filtración programa integral de vigilancia global ...
- Un error en las cámaras domóticas Wyze permitió qu...
- Condenan a prisión en EE.UU. a una popular youtube...
- Más de 28.500 servidores correo Microsoft Exchange...
- Europol confisca los sitios del mayor grupo de ran...
- Microsoft anuncia su mayor inversión en España: 1....
- La Comisión Europea abre una investigación a TikTok
- Comisiones Obreras de España sufre un hackeo con l...
- La UE multará a Apple Music con 500 millones de eu...
- GhostTask: crea tareas programadas de forma sigilo...
- Acusan a X (Twitter) de recibir dinero de grupos t...
- LineageOS 21, la mejor ROM alternativa llega actua...
- KeyTrap: Vulnerabilidad crítica de diseño en DNS
- Europa dictamina que las puertas traseras en siste...
- Nothing Phone 2a: especificaciones, precio y diseño
- Se casa la pareja que solo se podía comunicar medi...
- Microsoft presenta su aplicación PC Manager para m...
- NVIDIA Chat with RTX, un chatbot de IA que se ejec...
- OpenAI presenta Sora, su nueva herramienta para ge...
- El ‘boom’ de los influencers de 10 años: el reto d...
- Suplantación del CEO utilizando la técnica de inte...
- Cuidado con enamorarte de una IA: son una trampa p...
- ChatGPT es el nuevo aliado de los grupos cibercrim...
- Las empresas empiezan a usar una herramienta de IA...
- Vuelve la fiebre por el Bitcoin: alcanza su máximo...
- Google, Meta y OpenAI anuncian medidas para identi...
- Vulnerabilidad crítica en Docker permite escapar d...
- Vulnerabilidad en el software Magician de Samsung SSD
- IA, pérdidas de trabajo y los despidos
- Filtrados los datos de 33 millones de pacientes fr...
- OnlyFake: identidades falsas de cualquier país
- Ovrdrive USB, el pendrive que se autodestruye
- Amazon es acusada de recomendar los productos más ...
- Descubren malware en mini-ordenadores vendidos en ...
- El cursor de tu ratón está torcido, y ha estado as...
- La telco mexicana Claro reconoce haber sufrido un ...
- Según Estados Unidos, los coches eléctricos chinos...
- Vulnerabilidad en productos Ivanti expone a miles ...
- Empresa de recuperación de datos avisa: «Pendrives...
- Rompen el cifrado BitLocker de Windows 10 y Window...
- Vulnerabilidad crítica que afecta a la mayoría de ...
- Apple presenta una IA de código abierto para edita...
- ¿Una botnet de DDoS con cepillos de dientes? No es...
- Vulnerabilidades en Cisco, Fortinet, VMware y QNAP
- Cómo ver todas las contraseñas de conexiones WiFi ...
- Google advierte por la creciente amenaza de empres...
- Operación Synergia de la Interpol arresta a 31 per...
- Roban 24 millones a una empresa suplantando al CEO...
- España gana el Ambassador World Cup 2023
- Cómo banear miles de direcciones IP's con ipset
- Facebook cumple 20 años
- Condenan a 40 años de cárcel al hacker que filtró ...
- Vulnerabilidad 0-day en el registro de eventos de ...
- Roban 15 millones de registros de Trello a través ...
- AnyDesk sufre una brecha de seguridad y recomienda...
- Importantes vulnerabilidades en el syslog() de la ...
- En España un ciberataque de ransomware deja sin si...
- Google cambiará el nombre de Bard a Gemini
- Google presenta ImageFX, su generador de imágenes ...
- Amazon anuncia el chatbot Rufus, un asistente de c...
- Demandan en España a Worldcoin, la empresa que esc...
- Binance filtra su código fuente e información conf...
- Microsoft ignoró avisos sobre un exploit de DALL-E...
- El impacto de la IA le está reportando millones de...
- Las SSD de 16 TB llegarán pronto
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Configurar una VPN Site-to-Site con IPsec
Por un lado tendremos la Zona Norte que la configuraremos utilizando pfSense para configurar IPsec. Y el otro extremo, tendremos la Zona Sur donde la configuraremos utilizando Strongswan en un Debian 12.
De esta manera veremos como configurar dos extremos usando diferentes tecnologías. Para que se entienda correctamente que configuración de red vamos a utilizar he creado este diagrama de red para que quede claro que redes tiene cada zona.
Como podemos observar, en la Zona Norte configuraremos una red WAN que será la IP pública del servidor y luego una LAN que será la red local. Para ello usaremos una red del rango 192.168.1.0/24. Y en la Zona Sur, configuraremos una red WAN que será la IP pública del servidor y la LAN que será del rango 10.20.10.0/24.
Habilitar puertos en el Firewall
Para que este entorno funcione correctamente es necesario habilitar los siguientes puertos:
- Puerto 500 (TCP/UDP) - IPSec
- Puerto 4500 (TCP/UDP) - IPSec2
- Puerto 5500 (TCP/UDP) - IPSec NAT
- Habilitar ICMP
- Protocolo 50
- Protocolo 51
Configuración para pfSense
Lo primero que haremos será acceder a pfSense para configurar la LAN de la Zona Norte. Deberemos de revisar que pfSense tenga configurada tanto la WAN como la LAN, para ello iremos a Interfaces - Assignments y revisaremos que tenemos las dos redes configuradas:
Configurar LAN
Para configurar la LAN deberemos de ir a Interfaces - LAN y habilitaremos la interfaz marcando la opción Enable Interface.
Luego en la opción IPv4 Configuration Type seleccionaremos la opción Static IPv4 y en el apartado nuevo que aparece para IPv4 Configuration Type y configuramos la IP:
Para guardar cambios abajo del todo le damos a Save y luego le damos a Apply Changes
Configuración de IPsec
El siguiente paso es configurar el túnel IPSec para configurar la VPN. Primero configuramos la Phase 1 y luego la Phase 2.
Phase 1
Tendremos que ir a VPN - IPsec y hacer clic sobre el botón Add P1.
En las opciones que nos aparece deberemos de añadir lo siguiente. En Remote Gateway deberemos de poner la IP pública de la Zona Sur.
En el apartado Phase 1 Proposal generaremos una Pre-Shared Key haciendo clic sobre el botón amarillo.
Luego configuraremos el apartado Encryption Algorithm de la siguiente forma:
El Life Time lo configuraremos con 7200
segundos. Añadimos una descripción al principio de todo para identificarla y le damos a Save y luego a Apply Changes.
Phase 2
Ahora que tenemos configurada la Phase 1 configuraremos la segunda fase. Para ello deberemos de hacer clic sobre Show Phase 2 Entries y luego a Add P2.
En Remote Gateway deberemos de poner la IP privada de la Zona Sur. Según nuestro esquema de más arriba la IP Privada es 10.20.10.0/24.
En el siguiente apartado, el de cifrado, deberemos de marcar los algoritmos de AES
con 265 bits
y en Hash Algorithm marcamos la opción SHA1
.
En Life Time deberemos de configurar 7200
segundos. Para guardar los cambios le damos a Save y luego a Apply Changes.
Comprobación de la conexión
En este tutorial aún tenemos que configurar el otro lado al que hemos llamado como Zona Sur, pero si estuviera configurada correctamente, podemos revisar si las dos fases se han conectado correctamente.
Esto desde pfSense se puede revisar Status - IPsec. En este apartado podremos observar que la Fase I se ha establecido correctamente y vemos que en el apartado de Status aparece un Established en verde. Por otro lado, en la Fase II podemos ver que el Status aparece como Installed.
Con las fases de esta forma, podemos decir que la conexión se ha realizado correctamente.
Ya tenemos por un lado configurado correctamente la Zona Sur de nuestra Site To Site, en el siguiente tutorial veremos como configurar la Zona Norte utilizando directamente un Debian y los paquetes correspondientes para IPSec.
En el segunda parte del tutorial vamos a ver como configurar la Zona Sur que se conectará a la Zona Norte. Este procedimiento lo haremos directamente en Debian 12.
Pasos previos
Antes de instalar paquetes y configurar servicios, hay que hacer una pequeña configuración para que funcione correctamente todo.
echo 'net.ipv4.ip_forward=1' | tee -a /etc/sysctl.conf
Comprobamos la configuración:
sysctl -p
Salida del comando
vm.swappiness = 0
vm.dirty_ratio = 60
vm.dirty_background_ratio = 20
net.ipv4.conf.all.arp_filter = 1
net.ipv4.conf.default.arp_filter = 1
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
kernel.printk = 3 4 1 3
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2
net.ipv4.ip_forward = 1
Configuración Firewall
Para que este entorno funcione correctamente es necesario habilitar los siguientes puertos:
- Puerto 500 (TCP/UDP) - IPSec
- Puerto 4500 (TCP/UDP) - IPSec2
- Puerto 5500 (TCP/UDP) - IPSec NAT
- Habilitar ICMP
- Protocolo 50
- Protocolo 51
Instalación de Strongswan
Para configurar IPsec en Debian utilizaremos el paquete de Strongswan que podemos encontrar en los repositorios de Debian.
apt install strongswan
Una vez hemos instalado el paquete deberemos de editar el fichero /etc/ipsec.conf con la siguiente configuración:
config setup
charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
conn %default
ikelifetime=7200s
keylife=6480s
rekeymargin=5m
keyingtries=3
keyexchange=ikev2
authby=secret
ike=aes256-sha1-modp1024
esp=aes256-sha1
conn ipsec-vpn-norte
left=%any
leftid=%any
leftsubnet=10.20.10.0/24
right=[IP_PUBLICA_SERVIDOR]
rightid=%any
rightsubnet=192.168.1.0/24
auto=start
Primero de todo creamos un apartado %default
donde habrá
configuración común con todas las conexiones que tengamos que crear. En
este caso solo habrá una, pero si queremos añadir más conexiones y
comparten algunos valores, para no repetir parámetros se puede añadir
directamente en este apartado.
Luego tendremos que crear la conexión que hemos llamado ipsec-vpn-norte
que es la conexión que establecerá el túnel hacia la Zona Norte.
Es importante siempre rellenar los siguientes datos:
left
: Dirección IP del servidor de StrongSwan.leftsubnet
: Redes del lado del servidor.right
: Dirección IP del otro extremo.rightsubnet
: Redes del otro extremo.
Configuración de la Clave Precompartida
La clave precompartida o PSK se utiliza para autenticar los dos extremos del túnel, para ello deberemos de editar el fichero /etc/ipsec.secrets
y añadir lo siguiente:
: PSK "2fe1b2002ea68450ef87140fb49032cc5f8ae5bc458b6b08d9d60f6b"
Una vez hemos configurado esto, podemos reiniciar IPsec para que se aplique la configuración
ipsec restart
Podemos ver el estado del túnel con:
ipsec statusall
Resultado:
Status of IKE charon daemon (strongSwan 5.9.8, Linux 6.1.0-9-amd64, x86_64):
uptime: 3 hours, since Feb 12 21:01:32 2024
malloc: sbrk 1830912, mmap 0, used 1250800, free 580112
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4
loaded plugins: charon aesni aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs12 pgp dnskey sshkey pem openssl pkcs8 fips-prf gmp agent xcbc hmac kdf gcm drbg attr kernel-netlink resolve socket-default connmark stroke updown eap-mschapv2 xauth-generic counters
Listening IP addresses:
XXX,XXX,XXX.70
10.20.10.2
Connections:
ipsec-vpn-nord: %any...XXX,XXX,XXX.70 IKEv2
ipsec-vpn-nord: local: uses pre-shared key authentication
ipsec-vpn-nord: remote: uses pre-shared key authentication
ipsec-vpn-nord: child: 10.20.10.0/24 === 192.168.1.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
ipsec-vpn-nord[5]: ESTABLISHED 74 minutes ago, XXX,XXX,XXX.70[XXX,XXX,XXX.70]...XXX,XXX,XXX.14[XXX,XXX,XXX.14]
ipsec-vpn-nord[5]: IKEv2 SPIs: dbd56a56d268d917_i dfc00a354e1b9c2b_r*, pre-shared key reauthentication in 38 minutes
ipsec-vpn-nord[5]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
ipsec-vpn-nord{183}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c0a7f126_i c7687791_o
ipsec-vpn-nord{183}: AES_CBC_256/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying in 27 minutes
ipsec-vpn-nord{183}: 10.20.10.0/24 === 192.168.1.0/24
Ahora que en la salida del comando vemos que se ha establecido
correctamente e instalado el túnel, podremos hacer ping a la interfaz
privada del pfSense con IP 192.168.1.1
:
# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=1.30 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=1.03 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.916 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.923 ms
Fuentes:
https://voidnull.es/configurar-una-vpn-site-to-site-con-ipsec/
https://voidnull.es/configurar-una-vpn-site-to-site-con-ipsec-parte-ii/
1 comentarios :
Buen día, tengo una duda, ya tengo toda la configuración tal como me indicas pero la fase 1 me conecta, sin embargo, la fase 2 no me sube, en este caso, a qué se podría deber?
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.