Manual de usuario de eBox

A aquellas personas que ya tengan instalada la plataforma eBox o estén pensando instalarla y deseen conocer de una forma breve y concisa su funcionamiento y las posibilidades que ofrece.

Si su interés se centra en el funcionamiento interno del programa o desea aprender cómo funciona la plataforma de desarrollo sobre la que está escrita eBox, consulte la guía del desarrollador.

eBox es una plataforma que incorpora servicios de red y una aplicación de gestión de dichos servicios a través de un interfaz web. Entre estos servicios se encuentran: cortafuegos, compartición de ficheros, proxy caché, filtro de contenidos, servidor de correo, servidor NTP, servidor DHCP, servidor de impresoras y gestión de objetos de red.

eBox se ha diseñado de forma modular, por lo que es posible que su instalación no incluya todos los módulos que se detallan en este manual. En cualquier caso puede consultar la información acerca de los módulos que no posee y averiguar si le resultan útiles, necesarios o si aportan un valor añadido a su plataforma eBox actual.

La dirección predeterminada para acceder al interfaz de administración de eBox es https://hostname/eBox, donde hostname es la dirección IP o el nombre de la máquina donde está instalado eBox.

En la configuración por defecto de eBox el interfaz de usuario se encuentra dividido en tres partes fundamentales:

Una particularidad importante de eBox es su forma de hacer efectivas todas las variaciones que hagamos en la aplicación, es decir como y cuando se guardarán los cambios.

Existen varias excepciones en las cuales no es necesario Guardar Cambios, es suficiente con ejecutar la acción correspondiente del formulario en el que nos encontramos, estas situaciones son:

Se accede a la configuración general del interfaz a través de Sistema → General del menú lateral izquierdo.

Desde esta sección se pueden hacer tres cambios:

Se accede a la gestión de copias de respaldo (backups) de eBox a través de Sistema → Backup del menú que se encuentra en el lateral izquierdo.

Desde el interfaz de backup se permitirá hacer una copia de seguridad del último estado guardado de eBox o restaurar copias de seguridad anteriores. Existen dos tipos de copias de seguridad que se explican en detalle a continuación.

El interfaz para apagar o reiniciar el computador sobre el que funciona su sistema eBox es accesible a través de Sistema → Apagar → reiniciar.

No se debe olvidar que si el sistema eBox es la puerta de enlace para la conexión a Internet, se perderá dicha conexión mientras la máquina esté apagada o reiniciándose.

Si se encuentra alguna anomalía durante el funcionamiento de eBox se puede generar un fichero con el informe de error correspondiente en Sistema → Informe de error y enviarlo por correo electrónico a support@ebox-platform.com

Se accede a la configuración horaria a través de Sistema → Fecha/hora y Sistema → Zona horaria

En Sistema → Fecha/hora se permite ajustar la fecha y la hora de eBox. Existen dos opciones distintas para ajustar la fecha y la hora correctamente: manualmente, deshabilitando la sincronización con un servidor NTP, y a través de un servidor NTP externo, habilitando la sincronización con un servidor NTP

A través de Sistema → Zona horaria se puede configurar la zona horaria en la que se encuentra el sistema, sólo tiene que seleccionar una zona geográfica de la lista desplegable de la izquierda y una ciudad de la lista desplegable de la derecha que pertenezcan a su huso horario y aceptar la configuración.

El estado de cada módulo de eBox se maneja desde aquí en vez de tener que habilitar cada módulo desde una de sus páginas de configuración. Esto permite tener a simple vista que módulos están habilitados de manera análoga como se hace con el sumario de cada módulo en la página de sumario. Cada módulo eBox es deshabilitado por defecto incluyendo módulos como Red (Capítulo 3) o Cortafuegos (Capítulo 6).

Hay módulos que dependen de otros para ser habilitados. En una instalación típica, por ejemplo el módulo squid tiene una cadena de dependencias para habilitarse como se muestra: squid -> cortafuegos -> red. Así para habilitar el módulo Squid, tenemos que habilitar primero sus dependencias. Un módulo puede tener múltiples dependencias para funcionar correctamente.

La primera vez que habilitas un módulo, eBox te preguntará si puede realizar una serie de acciones y modificaciones en ciertos ficheros que debes aceptar explicítamente para habilitar el módulo. Esto es así para cumplir la política Debian la cual indica que cada paquete debe manejar sus propios datos y si modifica datos o configuraciones de otros paquetes, estas modificaciones deben ser aceptadas explícitamente por el usuario. Cada acción a realizar tiene una razón explicada de manera acorde. Hasta que no se salvan cambios, los módulos no se habilitarán ni sus cambios serán confirmados.

Cada vez que un usuario hace una modificación en un fichero controlado por eBox, se informará que un cambio se ha realizado y que va a ser anulado. Esta comprobación se hace al guardar cambios. Esta monitorización se realiza únicamente en aquellos ficheros que afectan a módulos habilitados. Si ya sólo se usa la Interfaz de eBox para configurar los servicios, no saldrán más diálogos de este tipo.

Para deshabilitar un módulo, simplemente tilda en la columna Estado del módulo deseado. Si el módulo es una dependencia de otros módulos, éstos también se deshabilitarán.

Se accede a la configuración de los interfaces de red a través de Red → Interfaces en el menú lateral izquierdo.

Para cada interfaz de red podemos establecer un nuevo nombre útil para diferenciarla y el método de configuración de la misma. Los métodos de configuración son:

Se pueden especificar las direcciones IP de los servidores de nombres a través de los cuales se desea resolver nombres. Puedes poner tantos como quieras, el primero de ellos será el primario que si se queda no disponible, el secundario en cambio será usado y así sucesivamente.

Se pueden usar estas herramientas para comprobar que la configuración de red es correcta.

Desde Red → Diagnóstico se puede realizar un ping a una máquina que sea alcanzable a través de sus interfaces de los red o se podrá resolver un nombre de dominio.

El resultado de estas operaciones se mostrará en esta misma página y corresponde a la salida estándar de las órdenes ping y dig respectivamente.

A través de esta sección puede establecer los routers donde se dirige tu tráfico de red. Esto puede ser muy útil para dividir o balancear tu tráfico con Internet.

Eligiendo Red → Routers puedes añadir tantos routers como quieras. Los siguientes atributos son necesarios cuando se añade un router:

Los valores correctos para tasas de subida y bajada son críticos para asegurar el correcto funcionamiento del módulo de moldeado de tráfico .

Una vez has añadido un router, aparecerá en la lista de routers. Posteriormente, puedes borrarlo o editar sus valores a través de los iconos que aparecen en la parte derecha de la lista.

En configuraciones avanzadas, definir una conjunto de routers y de reglas que aplicar a ellos no es suficiente. Por ello la creación de tablas de rutas por el usuario quizá ayude:

En esos casos podemos usar rutas estáticas. Esta tabla especifica aquellas redes cuyo tráfico será redirigido a un router determinado, que debes ser alcanzable desde la máquina eBox. Cada ruta debe tener una única red a encaminar dentro de la tabla. Además, se puede añadir una descripción opcional para añadir información sobre la razón de la ruta y facilitar así su mantenimiento.

Los objetos de red son una manera de poner nombre a un elemento de una red o a un conjunto de ellos. Sirven para simplificar la gestión de la configuración de la red pudiendo elegir comportamientos para elementos individuales o conjuntos de elementos con un sólo nombre explicativo.

Por ejemplo, pueden servir para ponerle un nombre a una direccion IP o a un grupo de direcciones IP. En el caso de ser un grupo de direcciones IP, en lugar de definir reglas de acceso cada una de las direcciones, bastaría simplemente con definirlas para el objeto de red para que todas las direcciones pertenecientes al objeto adquirieran dicha configuración.

Los objetos de red con los que trabaja eBox se pueden crear, modificar y borrar de una forma sencilla e intuitiva gracias al interfaz web.

Puedes añadir tantos objetos como quieras. Se debe dar un nombre. Tras ello, debes entrar en el campo miembros donde puedes definir:

Editar un objeto o un miembro de éste se realiza pinchando en el icono del lápiz en el campo Acción. De la misma manera el borrado de objetos/miembros se realiza pinchando en el icono del cubo de basura.

Como ocurría en Capítulo 4, los servicios de red son una abstracción para facilitar la gestión de tu red. Cada servicio de red describe un conjunto de puertos para protocolos de Internet donde un servicio acepta peticiones. Dado un nombre más una descripción opcional te permite gestionar las políticas de un servicio de red de forma más intuitiva y menos propensa a errores.

Los servicios de red se usan en los módulos de cortafuegos (Capítulo 6) y el módulo de moldeado de tráfico . De todas maneras, como base de la filosofía eBox cada característica que use un servicio de red debe tener en cuenta a este módulo para funcionar y facilitar la vida al administrador.

Para ir a la gestión de servicios de red hay que ir en el menú a Servicios.

Quizás ya hayas notado que hay varios servicios que ya han sido creados para ti por eBox. Estos servicios los manejan los módulos eBox. Por ejemplo, el servicio dhcp se describe como un servicio interno llamado 'Dynamic Host Configuration Protocol'. Este servicio es de sólo lectura ya que es gestionado automáticamente por el módulo dhcp. Cada servicio tiene una configuración donde se configuran el protocolo y los puertos conocidos tanto origen como destino del flujo. Hay tres servicios especiales para definir una abstracción genérica cada cada servicio (cualquiera) y cada servicio TCP/UDP. Se han introducido para manejar fácilmente reglas definidas en otros módulos.

Cuando introduzcas un nuevo servicio tendrá los siguientes elementos:

Quizás recorriendo varios de los servicios definidos por el sistema antes de añadir los propios pueda ayudar. De todas maneras, se puede un servicio definido por un usuario cuando se instalen servicios de red adicionales para instalar encima de una instalación de eBox. Por ejemplo, introduciendo el servicio FTP (File Transfer Protocol).

Una de las características más importantes de eBox es su módulo de cortafuegos. Puedes acceder a través de Cortafuegos. Allí puedes hacer filtrado de tráfico (Sección 6.3) o redirección de puertos (Sección 6.2).

El cortafuegos tiene diferente comportamiento con los interfaces internos y externos. Los interfaces internos están conectados a las redes locales. No tienen las mismas restricciones que se aplican a los interfaces externos.

Los interfaces externos se conectan a las redes externas y eBox sólo permite las redirecciones desde ellas.

Las redirecciones de puertos permiten llevar un tráfico procedente del exterior de la red hacia una máquina detrás de un cortafuegos equipado con eBox. Se puede acceder a la configuración de las redirecciones de puertos a través de Cortafuegos → Redirecciones .

Para añadir una nueva redirección, en primer lugar debe seleccionarse el Interfaz que atenderá las peticiones de conexión. Este debe ser uno de los designados como externos en la configuración de los interfaces de red. Además, debe especificarse el Puerto externo sobre el que se espera recibir el tráfico, y el Protocolo que este empleará.

En cuanto a la máquina destino, se debe introducir su Dirección IP y el Puerto al que se reencaminarán los paquetes.

Una vez suministrados todos estos datos, basta escoger entre las Acciones la correspondiente a añadir, y pulsar sobre ella.

Para eliminar una regla, debe seleccionarse borrar entre las Acciones, y pulsar sobre ella.

La configuración de una redirección puede modificarse simplemente cambiando los parámetros sobre la misma y pulsando entre las Acciones en la correspondiente a modificar.

Desde Cortafuegos → Filtrado de paquetes se pueden configurar las reglas de filtrado de paquetes. Puedes usar las abstracciones dadas anteriormente como los servicios de red o los objetos de red. Usando estos conceptos mejora la flexibilidad y claridad de las reglas, reduciendo su número.

A primera vista, tenemos cinco flujos diferentes de tráfico para establecer las reglas de cortafuegos.

Ten en cuenta que los últimos dos conjuntos de reglas conceden acceso a redes no confiables sobre tus redes. Esto puede comprometer la seguridad de tu red. Según la política de seguro por defecto se recomienda, no modificar estas reglas a menos que se sepa lo que se está haciendo. La figuraFigura 6.1 trata de aclarar el concepto:

Figura 6.1. Conjuntos de reglas del cortafuegos

La política de denegación de paquetes para el cortafuegos de eBox es de ignorar paquetes. Esto hace que los paquetes filtrados sean descartados sin notificar al remitente.

Cada conjunto de reglas definen un comportamiento determinado para los flujos de tráfico en el que se aplican. Estas reglas se comprobarán de arriba a abajo, por tanto el orden es importante. Cada regla está formada por estos campos, algunos de ellos están sólo disponibles para algún conjunto de reglas determinado por su construcción:

eBox es capaz de actualizar automáticamente el software que utiliza su sistema. Esta opción se puede activar en Gestión de software → Configuración

Al automatizar las actualizaciones de software del sistema se simplifica la tarea de mantener el sistema funcionando con la ultima versión disponible y evitar posibles bugs o problemas de seguridad tan pronto como aparezca una solución.

En Gestión de software → Componentes eBox se permite instalar, actualizar o eliminar los diferentes paquetes de eBox que existen. Sólo se excluyen de la desinstalación algunos de los módulos por resultar imprescindibles para el correcto funcionamiento básico de eBox.

De la misma forma que se gestionan los componentes de eBox se puede gestionar el resto del software del sistema sobre el que está instalado eBox.

Mediante Proxy HTTP → General se accede a la configuración general del proxy-caché HTTP de eBox.

En la ventana de configuración se pueden configurar los detalles que se detallan a continuación:

En Proxy HTTP → Parámetros de filtrado, puedes seleccionar los parámetros para el filtrado en aquellos elementos de la red cuya política sea la de filtrado.

Permite establecer un nivel de restricción para contenidos que tienen que ver con sexo y violencia en aquellos elementos que se encuentren filtrados por el proxy.

A través de Proxy HTTP → Políticas es posible establecer una conexión entre la política designada con cada objeto de red, permitiendo una configuración diferente para cada objeto nuevo creado. Esta configuración se antepondrá a la política global del proxy para los objetos seleccionados.

El servidor de fecha y hora sólo puede ser activado o desactivado en Estado de los módulos pinchando en "Habilitar" en su fila correspondiente como se explica en Sección 2.6.

Si se encuentra activado, los clientes que tengan eBox como servidor NTP mantendrán sincronizada su configuración horaria con la que posea eBox, que a su vez puede ser configurada siguiendo las instrucciones que se indican en Configuración horaria

A través de Usuarios → Añadir Usuario es posible crear usuarios de eBox y modificar la configuración asignada a cada uno de ellos.

Para crear un usuario basta con introducir la información en el formulario que se muestra en la ventana de configuración y hacer click en Crear. Hay campos para introducir nombre de usuario, nombre real, un comentario sobre el usuario, su contraseña (con confirmación) y el grupo al que pertenecerá, si existe.

Posteriormente, la configuración de cada usuario creado puede ser modificada seleccionando el usuario en la tabla disponible en Usuarios → Editar Usuario y pinchar en el icono que muestra el lápiz.

La ventana de edición de usuarios es dinámica, lo cual quiere decir que su contenido cambiará dependiendo de los módulos que estén instalados en eBox. Hay dos bloques que serán fijos dentro de la ventana: en la parte superior se mostrara la información general del usuario para permitir su modificación, incluyendo comentario, nombre y contraseña (con confirmación); en la parte inferior aparecerá un botón Eliminar usuario que borrará el usuario de eBox, así como sus dependencias con los módulos instalados. Entre estos dos bloques puede aparecer información referente a cada uno de los módulos de eBox que se encuentren instalados y habilitados y puedan ofrecer servicio a usuarios de manera individualizada: cuentas de correo, compartición de archivos, acceso a impresoras... Cada módulo tiene una sección donde explica su interacción con usuarios y grupos.

Entrando en Grupos se pueden crear grupos nuevos o editar la configuración de los grupos existentes.

Para crear un grupo nuevo sólo es necesario introducir un nombre de grupo, un comentario sobre el grupo (opcional) y hacer click en el botón Crear.

Si se desea editar un grupo, al igual que para la edición de usuarios, simplemente hay que seleccionarlo en la lista desplegable inferior y pulsar el botón Editar.

La ventana de edición de grupos es dinámica al igual que la de usuarios y también incluye dos bloques de configuración fijos: en la parte superior se permite cambiar el comentario del grupo y los usuarios que pertenecen o no pertenecen a dicho grupo; y en la parte inferior se muestra un botón Eliminar grupo que borrara el grupo de eBox y todas las dependencias del grupo con los módulos que se encuentren instalados. Entre los dos bloques se mostrará la información que tiene que ver con los módulos instalados que se encuentran habilitados en el momento actual y que poseen alguna configuración específica para grupos de usuarios.

Se pueden crear impresoras en eBox a través de Impresoras → Añadir impresora . Cada impresora creada podrá ser compartida en la red, permitiendo o denegando el acceso a usuarios y grupos de usuarios para su uso.

La creación una impresora en eBox requiere conocer información acerca de qué tipo de conexión tiene con eBox, fabricante, modelo y driver si se quiere asegurar un correcto funcionamiento. El sistema irá solicitando los datos y ofreciendo las posibilidades existentes al usuario para que configure la impresora de una manera sencilla e intuitiva.

Por medio de Impresoras → Administrar impresoras se puede acceder a la administración de impresoras de eBox.

Desde aquí es posible consultar y modificar el estado actual de la compartición de impresoras en el sistema y visualizar la lista de dispositivos de impresión configuradas en el sistema, así como eliminarlas de eBox o modificar su estado y parámetros actuales.

En cualquier momento después de la creación de una impresora, es posible borrarla pinchando en la acción correspondiente de la impresora seleccionada, o acceder a su configuración específica con la acción editar de dicha impresora.

Si se decide editar la configuración de una impresora, aparecerá una ventana de configuración con cuatro pestañas que darán acceso a cada uno de los aspectos de administración de la impresora:

Se accede a la configuración de la compartición de ficheros a través de Compartir ficheros . Para activar la compartición de ficheros, visita la Sección 2.6 para saber como hacerlo.

Hay dos modos de funcionamiento para este módulo. Se puede comportar como un simple servidor de ficheros usando el protocolo SMB/CIFS o también como un método de autenticación centralizado usando Primary Domain Controller (PDC) para entrar en sistemas basados en Windows NT.

Ambos modos de funcionamiento necesitan tener los siguientes campos configurados:

Esta lista de parámetros sólo tienen sentido en el modo PDC:

Si el módulo de compartir ficheros está instalado y habilitado en eBox, quizá quieras compartir ficheros entre usuarios del mismo grupo o publicar ficheros dentro de la red de área local. Para conseguirlo, deberías ir a Usuarios y editar al usuario que pueda publicar ficheros en la red local. Allí, se puede habilitar al usuario para hacerlo y, lo que es más, darle derechos de administrador para que pueda añadir máquinas al dominio, si el modo de funcionamiento es PDC. Visita la sección de usuarios para saber más sobre la configuración de usuarios eBox.

Si quieres compartir un directorio entre los usuarios dentro de un mismo grupo, debes ir a Grupos y editar el grupo que quieras. Allí puedes poner un nombre para ese directorio.

Para acceder a la configuración general del servidor de correo de eBox hay que entrar en Correo → General . En la ventana de configuración, en la parte superior, aparecerán varias pestañas referentes a distintos aspectos de configuración del servidor de correo:

En Correo → Dominio Virtual se pueden administrar los dominios virtuales, que dan nombre de dominio a las cuentas de correo de los distintos usuarios de eBox.

Para crear un dominio basta con elegir un nombre para el dominio y un tamaño por defecto para los buzones de correo de los usuarios de eBox que pertenezcan al dominio. Posteriormente se puede modificar el tamaño por defecto de los buzones e incluso forzar el cambio de los buzones ya existentes a ese tamaño desde el menú al que se accede utilizando el boton de accion Editar del dominio correspondiente. Si se desea borrar uno de los dominios existentes simplemente se debe pulsar el boton de acción correspondiente a borrar de dicho dominio.

Si el módulo de correo está instalado y activado en eBox y se desea crear una cuenta de correo para un determinado usuario, habrá que hacerlo a través de Usuarios editando el usuario correspondiente, donde también se podrá fijar un alias para la dirección de correo. Ver Cuentas de usuario para saber cómo acceder a la configuración de un usuario de eBox.

Para poner alias a grupos de usuarios hay que acceder a la configuración del grupo usando Grupos . Si el módulo de correo está activado se podrá fijar un alias para todos los miembros del grupo. Ver Grupos de usuarios para saber cómo se accede a la configuración de un grupo.

Se puede acceder a la configuración del servidor DHCP a través de DHCP .

Sólo se podrá configurar el servidor DHCP si hay algún interfaz de red configurado como estático. Si hay varios interfaces configurados como estáticos se podrá elegir cuál de ellos configurar a través del selector que está en la parte superior de la configuración. El servidor DHCP funciona también con interfaces estáticos virtuales. Para servir direcciones IP en un interfaz estático se requiere tener al menos un rango de direcciones o una asignación estática configurada.

Para activar el servidor DHCP, visite la Sección 2.6 para obtener detalles de como hacerlo.

Se puede configurar el funcionamiento del servidor DHCP correspondiente en distintos aspectos:

Ten en cuenta que cada opción en la lista de rangos y las asignaciones estáticas no se deben superponer entre ellas. No sólo el mismo interfaz sino también en los demás. Estas comprobaciones las hace eBox y se avisa cuando dichas guardas no se cumplen.

Si se encuentra el servicio DNS activado actuará automáticamente como un servicio de DNS caché. Permitirá que varias peticiones DNS iguales a eBox se resuelvan con una sola petición DNS externa, reduciendo así el tiempo de respuesta y el tráfico por la red para los sitios más frecuentados.

Hay una característica más avanzada que te permitirá crear dominios para tu red local. Esto es muy útil si quieres que tus usuarios usen los nombres de máquinas para tus máquinas locales en vez recordar las direcciones IP.

El servicio DNS en eBox se caracteriza para ser usado en los casos más simples y usuales. Añadir dominios dando a cada dominio máquinas y alias para dichas máquinas. Ten en cuenta que carece de características como transferencia de zonas, subdominios y demás. Estas mejoras se añadirán en un futuro.

Además, la traducción inversa se hace también automáticamente por este módulo. Cada máquina que tiene una dirección IP asociada, ante una petición de nombre de dicha dirección IP el servicio DNS responderá con el mismo nombre asociado.

Se puede acceder a la configuración del servidor Jabber a través de Jabber y a través de las opciones de cada uno de los usuarios.

El servidor de Jabber configura el acceso a una red de mensajería, para una red local o que pueda tener también acceso externo. Controla además el acceso por cada usuario, pudiendo aceptarles o denegarles la conexión a cada uno de ellos.

Para activar el servidor Jabber, visite la Sección 2.6 para obtener detalles de como hacerlo.

Se puede configurar el comportamiento del servidor Jabber en los siguientes aspectos:

En la configuración de cada usuario nos encontraremos con dos nuevas opciones para la configuración de su acceso a Jabber:

Es necesario un conocimiento básico de la infraestructura de clave pública (PKI) para el uso del módulo de Gestión de Certificados. Un buen sitio para empezar a iniciarse en el tema puede ser el artículo de Wikipedia sobre PKI

Puedes acceder a la Gestión de la Autoridad de Certificados a través de Gestor de Certificados

El propósito del módulo de Gestión de la Autoridad de Certificados es permitir la creación de certificados para su uso por otros módulos eBox o por aplicaciones externas.

Los certificados se crean usando un certificado de la autoridad de certificación (CA : "Certification Authority") que será creado con este módulo.

Primero, es necesario expedir el certificado de la CA, que es firmado por sí mismo. El certificado de la CA es necesario para expedir nuevos certificados; así que el resto de funcionalidad del módulo no estará disponible hasta que ésta sea creada.

Para crearlo simplemente entraremos en la página del módulo y nos encontraremos ante el formulario para crear el certificado de la CA. Se requerirán el nombre de la organización y el número de días que transcurrirán antes de la expiración del certificado.

Una vez creado el certificado de la CA, seremos capaces de generar certificados con él.

Para generarlos tan sólo tendremos que usar el formulario que aparece en la parte superior de la página de la autoridad de certificación. Los datos necesarios son el nombre común del certificado y los días que permanecerá activo antes de expirar. Este último dato está limitado por el hecho de que ningún certificado puede ser válido más tiempo que el certificado de la CA.

Una vez el certificado haya sido creado, aparecerá en la lista de certificados y estará disponible para los módulos de eBox que usen certificados y las demás aplicaciones externas.

A través de la lista de certificados podemos acceder a distintas acciones que realizar con ellas. Las acciones disponibles son descargar archivos, revocar y renovar.

Puedes acceder a la configuración de Redes Privadas Virtuales (VPN) en OpenVPN .

Para crear el servicio VPN, se necesita primero configurar una autoridad de certificación. eBox también da cobertura a este servicio que puedes crear a través de Autoridad de Certificación .

El módulo OpenVPN puede configurar a eBox tanto como un servidor OpenVPN como cliente. Se pueden poner en marcha tantos clientes/servidores como queramos.

Como VPN es un servicio bastante complicado, ilustramos con dos escenarios típicos su configuración con eBox.

18.2.1. "Road warrior"

Se puede configurar a eBox para dar soporte a "Road Warriors". Esto es, una máquina eBox trabajando como puerta de enlace y como servidor OpenVPN, que tiene una red de área local (LAN) detrás, permitiendo a clientes en Internet (road warriors) conectarse a dicha red local vía servicio VPN. La siguiente figura puede dar una mejor visión:

Figura 18.1. Escenario "Road Warrior"

Nuestro objetivo es conectar al cliente 3 con los otros 2 clientes lejanos (1 y 2) y estos últimos entre sí.

Para ello, necesitamos crear una "Autoridad de Certificación" y certificados para todos los elementos presentes en el sistema, el servidor OpenVPN y los dos clientes lejanos. Aquí, la máquina eBox actúa también como autoridad de certificación.

Nota

Para obtener información detallada sobre el módulo de Autoridad de Certificación, visitar su propia parte del manual

Una vez tenemos los certificados, deberíamos poner a punto el servidor OpenVPN en eBox en Crear un nuevo servidor. Se deben dar un nombre, un par protocolo/puerto, un certificado (aquel que acabamos de crear previamente) y una subred donde trabajar. Para los demás elementos se pueden dejar los valores por defecto. Como vemos, el servidor OpenVPN estará escuchando en todas las interfaces externas, por tanto debemos poner al menos una de nuestras interfaces como externa vía Red → Interfaces . En nuestro escenario sólo se necesitan dos interfaces, uno interna para la LAN y otra externa para escuchar en Internet.

Tras crear el servidor OpenVPN, debemos habilitar el servicio y guardar los cambios. Luego, comprobar en Estado que un servidor OpenVPN está funcionando.

Tras ello, debemos anunciar redes, dichas redes serán accesibles por los clientes OpenVPN autorizados. Para conseguirlo, necesitamos redes que sean accesibles desde la máquina eBox. En nuestro escenario, deberemos añadir la red local para hacer visible el cliente 3 a los otros dos clientes.

Es momento de configurar los clientes. Un cliente OpenVPN puede configurarse con nuestros paquetes que están disponibles en la tabla Servidores y pinga en el icono Flecha para abajo. Dos paquetes para dos sistemas operativos se han creado, elije uno de ellos. Si usas un entorno BSD-like como MacOS™, elije el sistema Linux. Elijo aquellos certificados que dar al cliente y establece la dirección IP externa a la cual los clientes VPN se deben conectar. eBox tratará de adivinarla usando un servicio Web. Si el sistema seleccionado es Windows™, el instalador de OpenVPN para Win32 se incluye también. Te da un archivo para ser distribuido al cliente.

Este paquete incluye el fichero de configuración y los ficheros necesarios para comenzar una conexión VPN. Por ejemplo, en Linux, simplemente descomprime el archivo y ejecuta dentro del recientemente creado directorio el el siguiente comando: openvpn --config filename. Ahora tenemos acceso al cliente 3 desde los dos clientes remotos. Para conectar entre sí los clientes remotos, necesitamos activar la opción Habilitar conexiones cliente-a-cliente dentro de la configuración del servidor OpenVPN. Para comprobar que la configuración es correcta, observar la tabla de rutas donde las nuevas red anunciadas se han añadido al interfaz virtual tapX.

18.2.2. Conectar dos oficinas con eBox y OpenVPN

Este segundo escenario trata de mostrar un caso de uso común para eBox. Dos oficinas en diferentes redes necesitan estar conectadas a través de una red privada. Para hacerlo, usaremos eBox en ambas como puertas de enlace y una como cliente OpenVPN y otra como servidora. La siguiente imagen trata de aclarar la situación:

Figura 18.2. eBox como servidor OpenVPN vs. eBox como cliente OpenVPN

Nuestro fin es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estuviesen en la misma red local. Por tanto, debemos configurar un servidor OpenVPN como hacemos en Sección 18.2.1. Sin embargo, se necesita hacer dos pequeños cambios habilitando la opción Permitir túneles eBox a eBox para intercambiar rutas entre máquinas eBox y contraseña túnel eBox a eBox para establecer la conexión en un entorno un poco más seguro entre las dos oficinas.

Para configurar eBox como un cliente OpenVPN, podemos hacerlo a través del botón Crear un nuevo cliente dentro del menú OpenVPN. Debes dar un nombre al cliente y si lo activas. Puedes establecer la configuración del cliente manualmente o automáticamente usando el paquete dado por el servidor VPN como hemos hecho en la Sección 18.2.1. En la primera opción se pide el par protocolo/puerto donde escucha el servidor así como su dirección IP, los certificados y la contraseña del túnel, en cambio, en el segundo caso esta información es obtenida directamente desde el paquete. Cuando salvas los cambios, en el sumario, se puede ver un nuevo demonio OpenVPN en la red 2 ejecutándose como cliente con la conexión objetivo dirigido a la otra eBox dentro de la LAN 1.