Páginas

viernes, 16 de febrero de 2018

VPN PIA en Aldos

Instalar Aldos - Joel Barrios de Alcance Libre


Al finalizar la instalación del sistema reinicie e introduzca la contraseña o frase de paso, utilizada durante la instalación para descifrar el disco y continuar cargando el sistema.

Configuración correcta para un disco duro ssd:

# echo "noop" > /sys/block/sda/queue/scheduler

Los cambios se perderán después de un reinicio. Para hacerlos definitivo edite el archivo /boot/grub/menu.lst y al final de quiet añadir elevator=noop

# vim /boot/grub/menu.lst


Virtual Private Network en Aldos (Centos)

Tunel VPN - Private Internet Access

Instalar openvpn

# yum -y install openvpn

Crear el directorio
# mkdir -p /etc/private-internet-access
# cd /etc/private-internet-access

Descargar el archivo openvpn.zip

# wget https://www.privateinternetaccess.com/openvpn/openvpn.zip
# unzip openvpn.zip

Copiar los archivos necesarios

# mkdir /etc/openvpn/client
# cd /etc/openvpn/client
# cp /etc/private-internet-access/ca.rsa.2048.crt . # no olvide el punto final
# cp /etc/private-internet-access/crl.rsa.2048.pem .

El archivo que contiene el nombre de usuario y contraseña de PIA

# touch password.conf
# vi password.conf
username
password

# chown root:root /etc/openvpn/password.conf
# chmod 600 /etc/openvpn/password.conf

Archivo de configuración PIA

# cp /etc/private-internet-access/France.ovpn /etc/openvpn/pia_vpn.con
# nano /etc/openvpn/pia_vpn.conf

client
dev tun
proto udp4
remote france.privateinternetaccess.com 1198
resolv-retry infinite
nobind
persist-key
persist-tun
cipher aes-128-cbc
auth sha1
tls-client
remote-cert-tls server
auth-user-pass
comp-lzo
verb 1
reneg-sec 0
crl-verify /etc/openvpn/client/crl.rsa.2048.pem
ca /etc/openvpn/client/ca.rsa.2048.crt
disable-occ
auth-user-pass /etc/openvpn/client/password.conf
auth-nocache

# chkconfig --add openvpn
# chkconfig --level 5 --type sysv openvpn on


Cambios necesarios en el script de inicio de opnvpn

Modificar el script de inicio /etc/init.d/openvpn para indicar el directorio de trabajo, por defecto de /etc/openvpn a /etc/openvpn/client

# cp /etc/init.d/openvpn /etc/init.d/openvpn-orig

# vim /etc/init.d/openvpn
work=/etc/openvpn/client/


Iniciar el servicio
# service openvpn start

También el script de inicio se puede alterar para que ignore el archivo password.conf al iniciar los servicios:

for c in `/bin/ls *.conf 2>/dev/null`; do
for c in `/bin/ls *.conf 2>/dev/null|grep -v password.conf`; do




Aldos es genial!.

Configurar NTP en Centos

Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123.

NTP es uno de los protocolos de internet más viejos que siguen en uso, desarrollado en 1981 y descrito por primera vez en RFC 778. NTP fue diseñado originalmente por David L. Mills de la Universidad de Delaware1​, el cual lo sigue manteniendo, en conjunto con un equipo de voluntarios.

NTP utiliza el Algoritmo de Marzullo con la escala de tiempo UTC, incluyendo soporte para características como segundos intercalares.

Instalar a través de yum

# yum -y install ntp ntpdate

Edite el archivo /etc/sysconfig/iptables y añada la siguiente línea

-A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT

Reiniciar el servicio iptables

# service iptables restart

Archivo de configuración /etc/ntp.conf


# Se establece la política predeterminada para cualquier

# servidor de tiempo utilizado: se permite la sincronización

# de tiempo con las fuentes, pero sin permitir a la fuente 

# consultar (noquery), ni modificar el servicio en el 

# sistema (nomodify) y declinando proveer mensajes de 

# registro (notrap).

restrict default nomodify notrap noquery

restrict -6 default nomodify notrap noquery

# Permitir todo el acceso a la interfaz de retorno del

# sistema.

restrict 127.0.0.1

restrict -6 ::1

# Se le permite a las redes local sincronizar con el servidor

# pero sin permitirles modificar la configuración del

# sistema y sin usar a éstos como iguales para sincronizar.

# Cambiar por las que correspondan a sus propias redes locales.

restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap 

restrict 192.168.3.0 mask 255.255.255.128 nomodify notrap

restrict 10.0.1.0 mask 255.255.255.248 nomodify notrap

# Reloj local indisciplinado.

# Este es un controlador emulado que se utiliza sólo como

# respaldo cuando ninguna de las fuentes reales están

# disponibles.

fudge   127.127.1.0 stratum 10

server  127.127.1.0

# Archivo de variaciones.

driftfile /var/lib/ntp/drift

broadcastdelay  0.008

# Archivo de claves si acaso fuesen necesarias para realizar

# consultas

keys            /etc/ntp/keys

# Lista de servidores de tiempo de estrato 1 o 2.

# Se recomienda tener al menos 3 servidores listados.

# Mas servidores en:

#               http://kopernix.com/?q=ntp

#               http://www.eecis.udel.edu/~mills/ntp/servers.html

server 0.pool.ntp.org iburst

server 1.pool.ntp.org iburst

server 2.pool.ntp.org iburst

server 3.pool.ntp.org iburst

# Permisos que se asignarán para cada servidor de tiempo. 

# En los ejemplos, se impide a las fuente consultar o modificar

# el servicio en el sistema, así como también enviar mensaje de 

# registro.

restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery

restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery

restrict 2.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery

restrict 3.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery

# Se activa la difusión hacia los clientes

broadcastclient


Reiniciar para aplicar los cambios

# service ntpd restart

Para sincronizar la hora de inmediato en este servidor.

# ntpdate -u 0.pool.ntp.org

Activar el servicio ntpd con el siguiente reinicio del sistema en los niveles de ejecución 2,3,4 y 5

# chkconfig ntpd on

Configuración de los clientes

Instalar el paquete NTP y sabiendo que la dirección IP del servidor es 192.168.0.1, compruebe que existe conectividad hacia el servidor.

# ntpdate -u 192.168.0.1

La salida será algo similar a esto

16 Feb 13:52:46 ntpdate[3305]: adjust time server 64.113.44.54 offset -0.065594 sec

Asignación de servidores NTP de área local a través de DHCP

# vim /etc/dhcp/dhcp.conf

Utilice la opción ntp-servers para definir una lista separada por comas de todos los servidores NTP que se quiera utilizar en la red de área local:

option ntp-servers 192.168.0.1;

#
# DHCP Server Configuration file.

#   see /usr/share/doc/dhcp*/dhcpd.conf.sample

#   see 'man 5 dhcpd.conf'

ddns-update-style interim;

ignore client-updates;

authoritative;

default-lease-time 900;

max-lease-time 7200;

option ip-forwarding off;

option domain-name "linux.bcn";



ddns-update-style none;

subnet 192.168.0.0 netmask 255.255.255.0 {

option routers 192.168.0.1;

option subnet-mask 255.255.255.0;

option broadcast-address 192.168.0.255;

option domain-name-servers 8.8.8.8,8.8.4.4,192.168.0.1;

option ntp-servers 192.168.0.1;

range 192.168.0.50 192.168.0.99;

}


Reiniciar el servidor dhcpd

# service dhcpd restart



OpenBSD es genial!.