Red Hat Training
A Red Hat training course is available for RHEL 8
14.2. Configuración de una conexión VPN mediante nm-connection-editor
Este procedimiento describe cómo configurar una conexión VPN utilizando nm-connection-editor
.
Requisitos previos
-
El paquete
NetworkManager-libreswan-gnome
está instalado. Si configura una conexión de intercambio de claves de Internet versión 2 (IKEv2):
- El certificado se importa a la base de datos de los servicios de seguridad de la red IPsec (NSS).
- Se conoce el apodo del certificado en la base de datos del NSS.
Procedimiento
Abre un terminal y entra:
$ nm-connection-editor
- Pulse el botón para añadir una nueva conexión.
-
Seleccione el tipo de conexión
IPsec based VPN
y haga clic en Crear. En la pestaña
VPN
:Introduzca el nombre de host o la dirección IP de la pasarela VPN en el campo
Gateway
y seleccione un tipo de autenticación. En función del tipo de autenticación, debe introducir información adicional diferente:-
IKEv2 (Certifiate)
autentifica al cliente utilizando un certificado, lo cual es más seguro. Esta configuración requiere el apodo del certificado en la base de datos de IPsec NSS IKEv1 (XAUTH)
autentifica al usuario mediante un nombre de usuario y una contraseña (clave precompartida). Esta configuración requiere que se introduzcan los siguientes valores:- Nombre de usuario
- Contraseña
- Nombre del grupo
- Secreto
-
Si el servidor remoto especifica un identificador local para el intercambio IKE, introduzca la cadena exacta en el campo
Remote ID
. Si el servidor remoto ejecuta Libreswan, este valor se establece en el parámetroleftid
del servidor.Opcionalmente, configure ajustes adicionales haciendo clic en el botón Avanzado. Puede configurar los siguientes ajustes:
Identificación
-
Domain
- Si es necesario, introduzca el nombre del dominio.
-
Seguridad
-
Phase1 Algorithms
corresponde al parámetroike
Libreswan. Introduzca los algoritmos que se utilizarán para autenticar y establecer un canal cifrado. Phase2 Algorithms
corresponde al parámetroesp
Libreswan. Introduzca los algoritmos que se utilizarán para las negociaciones deIPsec
.Marque el campo
Disable PFS
para desactivar el Perfect Forward Secrecy (PFS) para asegurar la compatibilidad con servidores antiguos que no soportan PFS.-
Phase1 Lifetime
corresponde al parámetroikelifetime
Libreswan. Este parámetro define el tiempo de validez de la clave utilizada para cifrar el tráfico. -
Phase2 Lifetime
corresponde al parámetrosalifetime
Libreswan. Este parámetro define el tiempo de validez de una asociación de seguridad.
-
Conectividad
Remote network
corresponde al parámetrorightsubnet
Libreswan y define la red privada remota de destino a la que se debe llegar a través de la VPN.Marque el campo
narrowing
para habilitar el estrechamiento. Tenga en cuenta que sólo es efectivo en la negociación IKEv2.-
Enable fragmentation
corresponde al parámetrofragmentation
de Libreswan y define si se permite o no la fragmentación de IKE. Los valores válidos sonyes
(por defecto) ono
. -
Enable Mobike
corresponde al parámetromobike
Libreswan. El parámetro define si se permite el Protocolo de Movilidad y Multihoming (MOBIKE) (RFC 4555) para permitir que una conexión migre su punto final sin necesidad de reiniciar la conexión desde cero. Esto se utiliza en dispositivos móviles que cambian entre conexiones de datos por cable, inalámbricas o móviles. Los valores sonno
(por defecto) oyes
.
En la pestaña
IPv4 Settings
, seleccione el método de asignación de IP y, opcionalmente, configure direcciones estáticas adicionales, servidores DNS, dominios de búsqueda y rutas.- Guarda la conexión.
-
Cerrar
nm-connection-editor
.
Cuando se añade una nueva conexión haciendo clic en el botón , NetworkManager crea un nuevo archivo de configuración para esa conexión y luego abre el mismo diálogo que se utiliza para editar una conexión existente. La diferencia entre estos diálogos es que un perfil de conexión existente tiene una entrada de menú Details.
Recursos adicionales
-
Para más detalles sobre los parámetros IPsec soportados, consulte la página man
nm-settings-libreswan(5)
.