En este artículo os muestro lo simple que es configurar Vyatta para que funcione de modo transparente en nuestra red. Esta es la primera opción si queremos montar posteriormente un firewall transparente, túneles GRE / IPSEC  u otras opciones.

Se da por hecho que ya tenéis vuestro Vyatta operativo y de no ser así podéis seguir el artículo del blog Instalando Vyatta Open Networking - La alternativa de código abierto a Cisco.

El interfaz bridge que vamos a crear nos va a permitir tener nuestro Vyatta de modo transparente en nuestra red para posteriormente aplicar los diferentes servicios que nos ofrece este producto.

Para poder optar a una interfaz bridge necesitamos como mínimo dos interfaces, ya sean ethernet, bonding, openvpn, tunnel o wireless. Esto resulta obvio, ya que hay que encaminar el tráfico de un enlace de dato a otro.

El ejemplo de configuración que se va a mostrar se ha hecho con dos interfaces ethernet, que es el entorno más típico el cual podemos encontrar. Esta configuración se hace en tres sencillos pasos, sin contar los comandos de aplicar cambios y salvar configuración:

1. Crear la interfaz bridge, su nomenclatura ideal es la de brN, donde br hace referencia a bridge y N será el número de la interfaz. Ej: br0 (bridge cero). En modo configuración ejecutamos el siguiente comando:
   
   set interfaces bridge br0
2. Una vez creada la interfaz br0 vamos a asignarle las dos interfaces ethernet, por lo que ejecutamos los siguientes comandos:
   
   set interfaces ethernet eth0 bridge-group bridge br0
   set interfaces ethernet eth1 bridge-group bridge br0
3. Ya tenemos las interfaces ethernet asociadas al interfaz bridge. Ahora aplicamos los cambios y salvamos la configuración con los siguientes comandos:
   
   commit
   save

Espero que os resulte de ayuda y en posteriores artículos veremos como aprovechar la opción de un dispositivo transparente en nuestra red.

En este artículo mostraremos lo fácil que es activar el servicio web proxy, así como el filtrado web en sólo 5 minutos. El laboratorio lo realizaremos en un entorno virtual.

Para poder realizar el laboratorio tenemos que contar previamente con una instalación operativa de Vyatta, para ello podemos seguir el artículo Instalando Vyatta Open Networking. Hay que recordar que si deseamos tener funciones adicionales debemos usar la versión 6 Alpha.

Los pasos a seguir para poner en marcha nuestro filtrado Web son los siguientes:

1. Activar el servicio Web Proxy.
2. Instalar listas negras.
3. Activar el filtrado Web.
4. Configurar filtrado Web.
5. Probando el servicio.

Activar el servicio Web Proxy

El primer paso es acceder al modo configuración de nuestro Vyatta con el comando configure y a continuación ejecutar el comando set service webproxy.

A continuación, configuramos por cual dirección IP el servicio se mantendrá a la escucha de las peticiones clientes. En nuestro caso, la dirección IP que se encuentra escuchando en la red interna configurada en nuestro Vyatta es 192.168.2.254. Para ello ejecutamos el comando set service webproxy listen-address <dirección IP>.

Una vez ejecutados los comandos anteriores, es necesario aplicar los cambios para poder continuar con la activación del filtrado Web. Para ello ejecutamos el comando commit y seguidamente save.

Si no deseásemos dicho filtrado y sólo un servidor proxy para mejorar el rendimiento de la conexión a Internet usando la cache almacenada, sería suficiente con los pasos realizados.

Instalar listas negras

El siguiente paso es descargar las listas negras que usará nuestro filtrado Web si las activásemos. Para poder efectuar dicha descarga tenemos que estar fuera del modo configuración y ejecutar el comando update webproxy blacklists y confirmamos el mensaje.

Cuando haya finalizado la descarga, el sistema de forma automática descomprimirá el paquete e instalará las diferentes categorías de listas negras.

Activar el filtrado Web

El siguiente paso será activar el fitrado Web con la aplicación SquidGuard, la cual dispone nuestro Vyatta. Para activarlo ejecutamos el comando set service webproxy url-filtering squidguard. Para ello tenemos que acceder de nuevo al modo configuración con el comando configure.

Aplicamos los cambios con el comando commit y guardamos la configuración con save.

Configurar filtrado Web

El siguiente paso es configurar nuestro filtrado Web, nosotros activaremos todas las categorías disponibles en las listas negras, para ello ejecutamos el comando set service webproxy url-filtering squidguard block-category all. Aplicamos los cambios con commit y grabamos la configuración con save.

Ahora vamos a configurar las actualizaciones automáticas de la base de datos de las listas negras, para ello ejecutamos el comando set service webproxy url-filtering squidguard auto-update daily, para que lo haga diariamente. Aplicamos los cambios con commit y los grabamos con save.

Con los pasos que hemos realizado ya tenemos disponible nuestro Vyatta con filtrado Web. Si deseamos realizar otros tipos de configuraciones podemos utilizar los siguientes comandos dentro de la sentencia set service webproxy url-filtering squidguard:

• allow-ipaddr-url --> Permite direcciones IP de páginas Webs.
• default-action --> Establece la acción predeterminada del filtro Web, permitir o bloquear todo (allow/block).
• local-block --> Bloquea direcciones IP/URL Webs.
• local-block-keyword --> Bloquea páginas Webs que contengan dichas palabras.
• local-ok --> Permite direcciones IP/URL Webs.
• log --> Define el nivel de registro de eventos.
• redirect-url --> Redirección a otra URL para Webs filtradas.
• rule --> Permite crear reglas para grupos.
• source-group --> Define los miembros del grupo.
• time-period --> Define periodos de tiempos para aplicar a las reglas.

Probando el servicio

Para probar el servicio sólo tenemos que configurar nuestro explorador para que use un servidor proxy y lo haga por el puerto predeterminado de Squid que es el 3128.

Podemos probar el acceso a algunas páginas de contenido para adultos a ver si resultan bloqueadas, o de otro tipos de contenidos. Hay que tener en cuenta que bloqueará lo que exista en las bases de datos, si deseamos bloquear otro tipo de contenidos tendremos que usar el comando set service webproxy url-filtering squidguard local-block-keyword <palabra>.

]]> http://blog.e2h.net/2010/02/16/filtrado-web-con-vyatta-en-5-minutos/feed/ 15 http://blog.e2h.net/2009/12/28/creando-un-tunel-ipsec-esp-con-vyatta/ http://blog.e2h.net/2009/12/28/creando-un-tunel-ipsec-esp-con-vyatta/#comments Mon, 28 Dec 2009 22:51:44 +0000 José Luis Gómez Ferrer de Couto http://blog.e2h.net/?p=1044 En un artículo anterior vimos como crear un túnel GRE entre dos dispositivos, bastante útil para unir dos redes que se encuentran separadas por una distancia importante y necesitamos un túnel para comunicarlas ambas. Resultaba bastante interesante dicho artículo, pero GRE tiene un problema, los datos que viajan por el túnel no van encriptados, por lo que la seguridad es bastante baja.

En este artículo mostramos como crear un túnel IPSEC entre dos dispositivos, también podemos aplicarlo a nuestro túnel GRE existente para armarlo de seguridad. Con nuestro túnel IPSEC mejoraremos la confiabilidad de los datos y su integridad viajando por Internet.

Para realizar el artículo disponemos de dos máquinas virtuales ejecutadas con VMware Player 3, las cuales disponen de dos tarjetas de red cada una, teniendo en común una misma red para realizar la comunicación WAN. Si no disponemos aún de dicho entorno podemos seguir el artículo Instalando Vyatta Open Networking.

Los pasos que seguiremos durante el artículo son los siguientes:

1. Configurando direccionamiento router sede central.
2. Configurando IPSEC ESP en el router sede central.
3. Configurando direccionamiento router sucursal.
4. Configurando IPSEC ESP en el router sucursal.
5. Configurando enrutamiento estático.
6. Probando la solución.

Configurando direccionamiento router sede central

A continuación empezamos a configurar nuestro router, para ello introducimos las credenciales y entramos en el modo configuración con el comando configure.

El siguiente paso es configurar la interfaz interna de nuestro router así como la interfaz externa. Para ello introducimos los comandos:

• set interfaces ethernet <interfaz interna> address 192.168.1.254/24
• set interfaces ethernet <interfaz externa> address 10.10.10.1/24

Ahora vamos a configurar la descripción de las dos interfaces anteriormente configuradas así como el nombre host de nuestro router y activar el servicio SSH y HTTPS. Para realizar esta configuración introducimos los siguientes comandos:

• set interfaces ethernet <interfaz interna> description <descripción interfaz>
• set interfaces ethernet <interfaz externa> description <descripción interfaz>

• set system host-name <nombre>

• set service ssh
• set service https

A continuación vamos a salvar los cambios antes de continuar con nuestra configuración, para evitar cualquier pérdida. Es aconsejable salvar los cambios cada cierta cantidad de datos configurados, ya que una falla en el dispositivo nos hará tener que configurar de nuevo los parámetros perdidos. Para ello ejecutamos los commandos commit para aplicar la configuración y el comando save para salvar los cambios.

Configurando IPSEC ESP en el router sede central

Una vez disponemos de una configuración básica, vamos a configurar el apartado VPN. Para ello comenzamos introduciendo el comando set vpn ipsec ipsec-interfaces interface <interfaz externa>, donde decimos en que interfaz queremos activar IPSEC, en nuestro caso la interfaz externa (WAN).

El siguiente paso es configurar los parámetros del grupo IKE, para ello vamos a dar de alta un grupo IKE con el comando set vpn ipsec ike-group <nombre grupo> proposal 1.

Ahora vamos a configurar el nivel de encriptación, en nuestro caso vamos a elegir aes256 introduciendo el comando set vpn ipsec ike-group <nombre grupo> proposal 1 encryption aes256.

A continuación vamos a configurar el algoritmo hash a usar, nosotros usaremos sha1 introduciendo el comando set vpn ipsec ike-group <nombre grupo> proposal 1 hash sha1.

El siguiente paso es configurar el intercambio de llaves DH, nosotros vamos a usar dh5, para ello introducimos el comando set vpn ipsec ike-group <nombre grupo> proposal 1 dh-group 5.

Por último en la configuración de los parámetros en nuestro grupo IKE falta el tiempo de vida, para ello introducimos el comando set vpn ipsec ike-group <nombre grupo> lifetime 28800.

Ahora vamos a configurar los parámetros del grupo ESP, para ello damos de alta un grupo con el comando set vpn ipsec esp-group <nombre grupo> proposal 1.

Ahora vamos a configurar el nivel de encriptación, introduciendo el comando set vpn ipsec esp-group <nombre grupo> proposal 1 encryption aes256.

A continuación vamos a configurar el algoritmo hash a usar, nosotros usaremos sha1 introduciendo el comando set vpn ipsec esp-group <nombre grupo> proposal 1 hash sha1.

El siguiente paso es activar PFS en nuestro grupo ESP, para ello ejecutamos el comando set vpn ipsec esp-group <nombre grupo> pfs enable.

Por último nos falta configurar en nuestro grupo ESP el tiempo de vida, para ello ejecutamos el comando set vpn ipsec esp-group <nombre grupo> lifetime 3600.

Una vez tenemos configurados los grupos IKE y ESP, vamos a configurar el par al que vamos conectar, para ello introducimos el comando set vpn ipsec site-to-site peer <IP/Host remoto>.

A continuación vamos a configurar el modo de autenticación, vamos a elegir la clave secreta precompartida, para ello ejecutamos el comando set vpn ipsec site-to-site peer <IP/Host remoto> authentication mode pre-shared-secret.

Ahora vamos a introducir la clave, lo hacemos ejecutando el comando set vpn ipsec site-to-site peer <IP/Host remoto> authentication pre-shared-secret '<contraseña>'. Se aconseja usar una contraseña compleja alfanumérica de al menos 8 caractéres, entre mayúsculas, minúsculas y caracteres especiales; además escribiremos la contraseña entre comillas simples.

A continuación asociamos a este par el grupo IKE que creamos, para ello ejecutamos el comando set vpn ipsec site-to-site peer <IP/Host remoto> ike-group <nombre grupo IKE>.

El siguiente paso es elegir la IP por la que comunicarán con nosotros, en nuestro caso la IP de la interfaz externa (WAN). Ejecutamos el comando set vpn ipsec site-to-site peer <IP/Host remoto> local-ip <IP EXT_IF>.

Una vez configurado los parámetros básicos de nuestro par, es hora de configurar el túnel, donde diremos cual es la red local y la red remota que comunicarán así como el grupo ESP asociado.

Para realizar estos pasos necesitamos crear el túnel, para ello ejecutamos set vpn ipsec site-to-site peer <IP/Host remoto> tunnel <nº túnel>.

Ahora introducimos la red local que comunicará por el túnel escribiendo el comando set vpn ipsec site-to-site peer <IP/Host remoto> tunnel <nº túnel> local-subnet <red local>.

A continuación introducimos la red local remota a la que conectaremos introduciendo el comando set vpn ipsec site-to-site peer <IP/Host remoto> tunnel <nº túnel> remote-subnet <red local remota>.

Por último asociamos el grupo ESP que creamos anteriormente a nuestro túnel ejecutando el comando set vpn ipsec site-to-site peer <IP/Host remoto> tunnel <nº túnel> esp-group <nombre grupo ESP>.

Ya tenemos configurado nuestra primera parte del túnel, antes de continuar aplicamos los cambios y guardamos la configuración ejecutando los comandos commit y save.

Configurando direccionamiento router sucursal

Para configurar el router de la sucursal realizaremos los mismos pasos que con el router de la sede central, para ello vamos a mostrar todos los comandos que aplicaremos a este router.

• configure
• set interfaces ethernet <interfaz interna> address 192.168.2.254/24
• set interfaces ethernet <interfaz externa> address 10.10.10.2/24
• set interfaces ethernet <interfaz interna> description <descripción interfaz>
• set interfaces ethernet <interfaz externa> description <descripción interfaz>
• set system host-name <nombre>
• set service ssh
• set service https
• commit
• save

Con los comandos anteriores ya tenemos la configuración básica de nuestras interfaces, a continuación configuramos nuestro túnel IPSEC ESP.

Configurando IPSEC ESP en el router sucursal

Ejecutamos los siguientes comandos como hicimos anteriormente en el túnel IPSEC:

• set vpn ipsec ipsec-interfaces interface <interfaz externa>
• set vpn ipsec ike-group <nombre grupo> proposal 1
• set vpn ipsec ike-group <nombre grupo> proposal 1 encryption aes256
• set vpn ipsec ike-group <nombre grupo> proposal 1 hash sha1
• set vpn ipsec ike-group <nombre grupo> proposal 1 dh-group 5
• set vpn ipsec ike-group <nombre grupo> lifetime 28800
• set vpn ipsec esp-group <nombre grupo> proposal 1
• set vpn ipsec esp-group <nombre grupo> proposal 1 encryption aes256
• set vpn ipsec esp-group <nombre grupo> proposal 1 hash sha1
• set vpn ipsec esp-group <nombre grupo> pfs enable
• set vpn ipsec esp-group <nombre grupo> lifetime 3600
• set vpn ipsec site-to-site peer <IP/Host remoto>
• set vpn ipsec site-to-site peer <IP/Host remoto> authentication mode pre-shared-secret
• set vpn ipsec site-to-site peer <IP/Host remoto> authentication pre-shared-secret '<contraseña>'
• set vpn ipsec site-to-site peer <IP/Host remoto> ike-group <nombre grupo IKE>
• set vpn ipsec site-to-site peer<IP/Host remoto> local-ip <IP EXT_IF>
• set vpn ipsec site-to-site peer <IP/Host remoto> tunnel <nº túnel>
• set vpn ipsec site-to-site peer <IP/Host remoto> tunnel <nº túnel> local-subnet <red local>
• set vpn ipsec site-to-site peer <IP/Host remoto> tunnel <nº túnel> remote-subnet <red local remota>
• set vpn ipsec site-to-site peer <IP/Host remoto> tunnel <nº túnel> esp-group <nombre grupo ESP>
• commit
• save

Configurando enrutamiento estático

Para poder llegar a las redes LAN existentes, necesitamos crear rutas estáticas. Para ello en el router CENTRAL ejecutamos el siguiente comando en modo configuración, donde introducimos la red de destino y la IP remota de nuestro túnel IPSEC.

• set protocols static route 192.168.2.0/24 next-hop 10.10.10.2
• commit
• save

Realizamos el mismo procedimiento en el router de la SUCURSAL.

• set protocols static route 192.168.1.0/24 next-hop 10.10.10.1
• commit
• save

Probando la solución

Además de poder realizar un ping entre equipos de las redes locales, un modo de probar el funcionamiento del túnel es consultando el estado del mismo. Para ello podemos ejecutar varios comandos en el modo usuario los cuales mostramos:

• show vpn ike sa

• show vpn ipsec sa

• show vpn debug

Con este último comando tendremos una visión detallada del proceso completo que existe para establecerse el túnel, resulta útil cuando existe algún problema y no sabemos a que es debido.

Muestra de ello es la siguiente ilustración, donde se muestra la existencia de un túnel entre la sede central y una sucursal a través de Internet, sin la necesidad de disponer líneas punto a punto costosas de implementar y administrar.

Para realizar este artículo contamos con dos máquinas virtuales operativas con Vyatta instalado. Estas cuentan con dos tarjetas de red cada una, para ser usadas en la red interna e Internet. Si no disponemos de estas máquinas instaladas podemos seguir en este mismo blog el artículo  Instalando Vyatta Open Networking.

Una vez tengamos preparado el entorno de pruebas, vamos a enumerar los pasos que seguiremos durante el artículo:

1. Asignar el direccionamiento a los distintos dispositivos.
2. Configurar sede central.
3. Configurar sucursal.
4. Crear enrutamiento estático.
5. Probando la solución.

Asignar el direccionamiento a los distintos dispositivos

Antes de nada vamos a establecer el direccionamiento a usar durante el artículo, para no tener dudas a la hora de configurar nuestro entorno. Podemos guiarnos por la ilustración principal, si de ese modo nos resulta más cómodo, sino aconsejamos que en cualquier instalación, proyecto o resolución de problema usemos esquemas en papel, así todo nos resultará más fácil y cómodo.

En la sede central usaremos el siguiente direccionamiento:

• Red LAN: 192.168.1.0/24
• Router interfaz LAN: 192.168.1.254/24
• Router interfaz WAN: 10.10.10.1/24
• Router interfaz TÚNEL: 1.1.1.1/30

En la sucursal usaremos el siguiente direccionamiento:

• Red LAN: 192.168.2.0/24
• Router interfaz LAN: 192.168.2.254/24
• Router interfaz WAN: 10.10.10.2/24
• Router interfaz TÚNEL: 1.1.1.2/30

Para conocer el laboratorio que tenemos montado, mostramos un esquema donde se especifica la configuración de nuestro VMware Server 2.

Configurar sede central

A continuación empezamos a configurar nuestro router, para ello introducimos las credenciales y entramos en el modo configuración con el comando configure.

El siguiente paso es configurar la interfaz interna de nuestro router así como la interfaz externa. Para ello introducimos los comandos:

• set interfaces ethernet <interfaz interna> address 192.168.1.254/24
• set interfaces ethernet <interfaz externa> address 10.10.10.1/24

Ahora vamos a configurar la descripción de las dos interfaces anteriormente configuradas así como el nombre host de nuestro router y activar el servicio SSH y HTTPS. Para realizar esta configuración introducimos los siguientes comandos:

• set interfaces ethernet <interfaz interna> description <descripción interfaz>
• set interfaces ethernet <interfaz externa> description <descripción interfaz>

• set system host-name <nombre>

• set service ssh
• set service https

A continuación vamos a salvar los cambios antes de continuar con nuestra configuración, para evitar cualquier pérdida. Es aconsejable salvar los cambios cada cierta cantidad de datos configurados, ya que una falla en el dispositivo nos hará tener que configurar de nuevo los parámetros perdidos. Para ello ejecutamos los commandos commit para aplicar la configuración y el comando save para salvar los cambios.

Ahora vamos a dar de alta el interfaz túnel que usaremos para unir la sede central con la sucursal, le asignaremos una descripción y una dirección IP.

• set interfaces tunnel <interfaz túnel>
• set interfaces tunnel <interfaz túnel> description <descripción interfaz>
• set interfaces tunnel <interfaz túnel> address 1.1.1.1/30

En el siguiente paso es configurar en nuestro túnel que IP usaremos como origen y que IP como destino, en otras palabras, si estuviésemos hablando de Internet serían nuestras direcciones públicas asignadas por nuestro ISP. En nuestro caso hemos emulado ese ISP asignando las direcciones IP 10.10.10.1 y 10.10.10.2 (nuestras direcciones públicas). Por lo tanto en nuestra sede central usamos la dirección origen 10.10.10.1 y como dirección remota la dirección 10.10.10.2. Introducimos los siguientes comandos:

• set interfaces tunnel tun0 local-ip 10.10.10.1
• set interfaces tunnel tun0 remote-ip 10.10.10.2

El siguiente el configurar la encapsulación que vamos a usar en nuestro túnel, en nuestro caso usamos GRE. Para ello ejecutamos el comando:

• set interfaces tunnel tun0 encapsulation gre

Para finalizar la configuración de nuestro router central aplicamos de nuevo nuestros cambios y los salvamos con los commandos commit y save.

Ya tenemos configurado en nuestro router central el túnel ahora configuraremos el router de la sucursal.

Configurar sucursal

Para configurar el router de la sucursal realizaremos los mismos pasos que con el router de la sede central, para ello vamos a mostrar todos los comandos que aplicaremos a este router.

• configure
• set interfaces ethernet <interfaz interna> address 192.168.2.254/24
• set interfaces ethernet <interfaz externa> address 10.10.10.2/24
• set interfaces ethernet <interfaz interna> description <descripción interfaz>
• set interfaces ethernet <interfaz externa> description <descripción interfaz>
• set system host-name <nombre>
• set service ssh
• set service https
• commit
• save

Con los comandos anteriores ya tenemos la configuración básica de nuestras interfaces, a continuación configuramos nuestra interfaz túnel.

El último paso es configurar el túnel, seguiremos los mismos pasos que el túnel anterior pero cambiando el direccionamiento, mostramos los comandos a ejecutar.

• set interfaces tunnel <interfaz túnel>
• set interfaces tunnel <interfaz túnel> description <descripción interfaz>
• set interfaces tunnel <interfaz túnel> address 1.1.1.2/30
• set interfaces tunnel <interfaz túnel> local-ip 10.10.10.2
• set interfaces tunnel <interfaz túnel> remote-ip 10.10.10.1
• set interfaces tunnel <interfaz túnel> encapsulation gre
• commit
• save

Para comprobar el funcionamiento de nuestro túnel realizamos un ping desde el router SUCURSAL al router CENTRAL, para ello necesitamos salir del modo configuración, tecleamos el comando exit. Una vez en el modo usuario ejecutamos el comando ping 1.1.1.1. Para parar el ping pulsamos CTRL+C.

Crear enrutamiento estático

Para poder llegar a las redes LAN existentes, necesitamos crear rutas estáticas. Para ello en el router CENTRAL ejecutamos el siguiente comando en modo configuración, donde introducimos la red de destino y la IP remota de nuestro túnel.

• set protocols static route 192.168.2.0/24 next-hop 1.1.1.2
• commit
• save

Realizamos el mismo procedimiento en el router de la SUCURSAL.

• set protocols static route 192.168.1.0/24 next-hop 1.1.1.1
• commit
• save

Probando la solución

Por último ya vimos que nuestro túnel funcionaba correctamente, ahora comprobamos que el enrutamiento es correcto, para ello lanzamos un ping a las redes LAN desde el router opuesto. Mostramos un ping realizado desde el router CENTRAL a la red LAN de la sucursal y un ping desde el router SUCURSAL a la red LAN de la centra.

Ping router CENTRAL -> Interfaz interna router SUCURSAL

Ping router SUCURSAL -> Interfaz interna router CENTRAL

]]> http://blog.e2h.net/2009/12/26/creando-un-tunel-gre-con-vyatta/feed/ 2 http://blog.e2h.net/2009/12/19/vyatta-open-networking-la-alternativa-de-codigo-abierto-a-cisco/ http://blog.e2h.net/2009/12/19/vyatta-open-networking-la-alternativa-de-codigo-abierto-a-cisco/#comments Sat, 19 Dec 2009 10:47:48 +0000 José Luis Gómez Ferrer de Couto http://blog.e2h.net/?p=677 Vyatta es una solución de código abierto para enrutamiento y seguridad con un rendimiento excelente. Se encuentra disponible en software y appliance, pudiendo llegar a ser usado incluso en máquinas virtuales. La versión de código abierto tiene la misma funcionalidad que la comercial, la única diferencia como en todos estos productos, es que con la versión de pago disponemos de soporte por parte de la compañía.

Vyatta proporciona los siguientes servicios al más alto rendimiento:

• Enrutamiento avanzado: IPv4, IPv6, BGP, OSPF, RIP, VRRP, 802.1Q y muchos más.
• Seguridad: Cortafuegos, IPSec VPN, IDS, SSL VPN, Filtrado URL y mucho más.
• Optimizador de rendimiento: QoS, Balanceador WAN, Agrupación de enlaces y mucho más.

En este artículo vamos a instalar Vyatta en una máquina virtual, la cual la ejecutamos con VMware Player. Este método resulta útil para realzar laboratorios como en nuestro caso, pero tenemos disponibles plantillas en la web de Vyatta para nuestro entorno de virtualización Citrix XenServer y VMware vSphere.

Los pasos a seguir durante este artículo van a ser los siguientes:

1. Descargar Vyatta desde el sitio oficial.
2. Crear una máquina virtual con VMware Player.
3. Instalar Vyatta en la máquina virtual.
4. Configuración básica.
5. Probando la solución.

Descargar Vyatta desde el sitio oficial

El primer paso que vamos a realizar es la descarga de la imagen ISO del producto, para ello nos dirigimos al sitio oficial. Desde la página principal hacemos clic en el apartado Download y seguidamente bajamos la imagen ISO. También podríamos elegir la imagen para VMware y arrancarla con nuestro VMware Player, pero el artículo se basa en una instalación estándar, válida para cualquier hardware.

Crear una máquina virtual con VMware Player

Una vez tenemos descargada la imagen ISO, vamos a crear una máquina virtual en VMware Player, para ello será necesario que dispongamos de la versión 3 del producto, de no ser así podemos visitar EasyVMX y crearnos una máquina virtual que podremos descargar con un tamaño de pocos KB.

Arrancamos nuestro VMware Player 3 y hacemos clic en la opción Create a New Virtual Machine.

A continuación elegimos la opción Installer disc image file (iso) y hacemos clic sobre el botón Browse... para elegir nuestra imagen descargada. Nos avisa que no ha detectado el sistema operativo que almacena la imagen, diciendo que tenemos que elegirlo posteriormente. Una vez marcada la opción y elegida la imagen hacemos clic en el botón Next.

Elegimos el sistema operativo Linux y la versión Other Linux 2.6.x kernel y hacemos clic en el botón Next.

Introducimos el nombre de la máquina virtual, en nuestro caso Vyatta y donde queremos almacenarla. Una vez introducidas las opciones hacemos clic en el botón Next.

En el siguiente paso decidimos que almacenamiento asignar a la máquina virtual. Vyatta necesita al menos 1 GB, en nuestro caso vamos a crear un disco de 2 GB por si queremos en un futuro instalar nuevos servicios. Una vez introducido el almacenamiento hacemos clic en el botón Next.

Por último vamos a parametrizar la máquina virtual quitando componentes innecesarios, para ello hacemos clic en el botón Customize Hardware...

Eliminamos la disquetera, el controlador USB y la tarjeta de sonido, para ello marcamos y hacemos clic en el botón Remove.

Una vez eliminados esos componentes hacemos clic en el botón OK y posteriormente Finish. Nuestra máquina virtual comenzará su arranque hasta llegar la pantalla donde introducir las credenciales de acceso.

Instalar Vyatta en la máquina virtual

Los pasos que vamos a seguir a continuación, son totalmente válidos para una instalación en cualquier tipo de hardware.

Lo primero que debemos hacer es iniciar sesión en nuestro Vyatta, para ello introducimos el usuario root y la contraseña vyatta.

Lo siguiente es lanzar el comando de instalación, para ello tecleamos install-system y pulsamos la tecla enter. NOTA: el teclado se encuentra en inglés.

A continuación comienza un asistente de instalación donde la primera pregunta es si deseamos realizar la instalación, de forma predeterminada está elegida la opción Yes, pulsamos la tecla enter para continuar.

Comprueba si disponemos de un almacenamiento, al encontrarlo nos da la opción de elegir como particionar el almacenamiento, de forma predeterminada aparece la opción Auto elegida, por lo que pulsamos la tecla enter para continuar. Nota: podemos observar el comentario anterior sobre el almacenamiento mínimo, es de 1 GB.

En el siguiente nos muestra el tamaño del disco detectado y nos permite elegir en que disco instalar, si tuviésemos más de uno nos lo mostraría, en nuestro caso como solo tenemos uno y es el que aparece seleccionado (sda) pulsamos la tecla enter para continuar.

Nos aparece un mensaje de advertencia diciendo que se perderán todos los datos del disco, para continuar tecleamos yes y pulsamos la tecla enter.

En este paso introducimos el tamaño de la partición root, como sabemos al menos 1 GB, nosotros tecleamos 1000 para dejar el resto libre y pulsamos la tecla enter.

A continuación ha detectado un fichero de configuración y nos pregunta si deseamos copiarlo, lo dejamos de forma predeterminada y pulsamos la tecla enter.

Nos pregunta si deseamos crear una contraseña para el usuario del sistema, de forma predeterminada aparece yes, lo dejamos así y pulsamos la tecla enter.

Introducimos las contraseñas del usuario root y vyatta confirmándolas.

Nos informa la necesidad de instalar un gestor de arranque como GRUB, nos aparece de forma predeterminada el disco donde hemos instalado. Pulsamos la tecla enter para continuar.

Termina la instalación, ahora sólo reiniciamos la máquina virtual escribiendo reboot y pulsamos la tecla enter. Nos aparece que confirmemos, pulsamos la tecla enter.

Configuración básica

Antes de realizar la configuración, desconectamos la imagen ISO, hacemos clic en el icono inferior con forma de cd y elegimos Disconnect.

La configuración de nuestro Vyatta siempre la haremos con el usuario vyatta, para comenzar iniciamos sesión con él introduciendo las credenciales creadas durante la instalación.

Para mostrar todos los comandos disponibles tabulamos dos veces y aparecerán.

Para poder parametrizar nuestro Vyatta necesitamos entrar en el modo configuración, para ello tecleamos configure y pulsamos la tecla enter.

El siguiente paso es configurar una dirección IP para poder administrarlo, nosotros vamos a usar DHCP, pero es la misma sentencia pero en vez de escribir la palabra DHCP, introducimos la IP/Máscara. Para ello tecleamos set interfaces ethernet eth0 address dhcp y pulsamos la tecla enter.

Configuramos a continuación los servicios SSH y HTTPS, para ello tecleamos los comandos set service ssh y set service https y pulsamos la tecla enter.

Para guardar los cambios tecleamos commit y seguidamente salimos del modo configuración tecleando exit y pulsando la tecla enter.

Para mostrar la configuración IP de la interfaz ethernet tecleamos el comando show interfaces ethernet eth0 y pulsamos la tecla enter.

Probando la solución

Por último vamos a probar el acceso tanto SSH como HTTPS. El primer paso será usar un cliente SSH como putty e introducir la dirección IP 192.168.17.128 y comprobar que disponemos de acceso mediante el usuario vyatta.

Y para el acceso HTTPS abrimos nuestro explorador y tecleamos https://192.168.17.128, debemos aceptar el aviso del certificado e introducir las credenciales del usuario vyatta.

]]> http://blog.e2h.net/2009/12/19/vyatta-open-networking-la-alternativa-de-codigo-abierto-a-cisco/feed/ 12