Red Hat Training

A Red Hat training course is available for RHEL 8

14.2. Configuración de una conexión VPN mediante nm-connection-editor

Este procedimiento describe cómo configurar una conexión VPN utilizando nm-connection-editor.

Requisitos previos

  • El paquete NetworkManager-libreswan-gnome está instalado.
  • Si configura una conexión de intercambio de claves de Internet versión 2 (IKEv2):

    • El certificado se importa a la base de datos de los servicios de seguridad de la red IPsec (NSS).
    • Se conoce el apodo del certificado en la base de datos del NSS.

Procedimiento

  1. Abre un terminal y entra:

    $ nm-connection-editor
  2. Pulse el botón para añadir una nueva conexión.
  3. Seleccione el tipo de conexión IPsec based VPN y haga clic en Crear.
  4. En la pestaña VPN:

    1. Introduzca el nombre de host o la dirección IP de la pasarela VPN en el campo Gateway y seleccione un tipo de autenticación. En función del tipo de autenticación, debe introducir información adicional diferente:

      • IKEv2 (Certifiate) autentifica al cliente utilizando un certificado, lo cual es más seguro. Esta configuración requiere el apodo del certificado en la base de datos de IPsec NSS
      • IKEv1 (XAUTH) autentifica al usuario mediante un nombre de usuario y una contraseña (clave precompartida). Esta configuración requiere que se introduzcan los siguientes valores:

        • Nombre de usuario
        • Contraseña
        • Nombre del grupo
        • Secreto
    2. Si el servidor remoto especifica un identificador local para el intercambio IKE, introduzca la cadena exacta en el campo Remote ID. Si el servidor remoto ejecuta Libreswan, este valor se establece en el parámetro leftid del servidor.

      nm connection editor vpn tab

    3. Opcionalmente, configure ajustes adicionales haciendo clic en el botón Avanzado. Puede configurar los siguientes ajustes:

      • Identificación

        • Domain - Si es necesario, introduzca el nombre del dominio.
      • Seguridad

        • Phase1 Algorithms corresponde al parámetro ike Libreswan. Introduzca los algoritmos que se utilizarán para autenticar y establecer un canal cifrado.
        • Phase2 Algorithms corresponde al parámetro esp Libreswan. Introduzca los algoritmos que se utilizarán para las negociaciones de IPsec.

          Marque el campo Disable PFS para desactivar el Perfect Forward Secrecy (PFS) para asegurar la compatibilidad con servidores antiguos que no soportan PFS.

        • Phase1 Lifetime corresponde al parámetro ikelifetime Libreswan. Este parámetro define el tiempo de validez de la clave utilizada para cifrar el tráfico.
        • Phase2 Lifetime corresponde al parámetro salifetime Libreswan. Este parámetro define el tiempo de validez de una asociación de seguridad.
      • Conectividad

        • Remote network corresponde al parámetro rightsubnet Libreswan y define la red privada remota de destino a la que se debe llegar a través de la VPN.

          Marque el campo narrowing para habilitar el estrechamiento. Tenga en cuenta que sólo es efectivo en la negociación IKEv2.

        • Enable fragmentation corresponde al parámetro fragmentation de Libreswan y define si se permite o no la fragmentación de IKE. Los valores válidos son yes (por defecto) o no.
        • Enable Mobike corresponde al parámetro mobike Libreswan. El parámetro define si se permite el Protocolo de Movilidad y Multihoming (MOBIKE) (RFC 4555) para permitir que una conexión migre su punto final sin necesidad de reiniciar la conexión desde cero. Esto se utiliza en dispositivos móviles que cambian entre conexiones de datos por cable, inalámbricas o móviles. Los valores son no (por defecto) o yes.
  5. En la pestaña IPv4 Settings, seleccione el método de asignación de IP y, opcionalmente, configure direcciones estáticas adicionales, servidores DNS, dominios de búsqueda y rutas.

    Ficha IPsec IPv4

  6. Guarda la conexión.
  7. Cerrar nm-connection-editor.
Nota

Cuando se añade una nueva conexión haciendo clic en el botón , NetworkManager crea un nuevo archivo de configuración para esa conexión y luego abre el mismo diálogo que se utiliza para editar una conexión existente. La diferencia entre estos diálogos es que un perfil de conexión existente tiene una entrada de menú Details.

Recursos adicionales

  • Para más detalles sobre los parámetros IPsec soportados, consulte la página man nm-settings-libreswan(5).