Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripción completa de los motivos para ejecutar comandos específicos, consulte los pasos correspondientes en Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.
Lleve a cabo los pasos de este procedimiento en ambos sistemas.
Este procedimiento utiliza los siguientes parámetros.
Parámetro |
Europa |
California |
||
---|---|---|---|---|
Nombre del sistema |
|
|
||
Interfaz de la intranet del sistema |
|
|
||
Interfaz de Internet del sistema |
|
|
||
Dirección de intranet del sistema |
|
|
||
Dirección de Internet del sistema |
|
|
||
Nombre del enrutador de Internet |
|
|
||
Dirección del enrutador de Internet |
|
|
||
Nombre de túnel |
|
|
En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.
La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.
Controle el flujo de paquetes antes de configurar IPsec.
Para ver los efectos de estos comandos, consulte el Paso 2 de Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.
Asegúrese de que el reenvío de IP y el enrutamiento dinámico de IP estén desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabled |
Si el reenvío de IP y el enrutamiento dinámico de IP están habilitados, puede inhabilitarlos escribiendo:
# routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u |
Active los hosts múltiples de destino estricto de IP.
# ndd -set /dev/ip ip6_strict_dst_multihoming 1 |
El valor de ip6_strict_dst_multihoming vuelve al predeterminado cuando se inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cómo evitar la falsificación de la IP .
Desactive la mayoría de los servicios de red, y posiblemente todos.
Si su sistema se instaló con el perfil SMF "limitado", puede omitir este paso. Los servicios de red se desactivan, a excepción de Solaris Secure Shell.
La desactivación de los servicios de red evita que los paquetes IP dañen el sistema. Por ejemplo, podrían aprovecharse un daemon SNMP, una conexión telnet o una conexión rlogin.
Elija una de las siguientes opciones:
Si ejecuta Solaris 10 11/06 o una versión posterior, ejecute el perfil SMF "limitado".
# netservices limited |
De lo contrario, desactive los servicios de red de forma individual.
# svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default |
Compruebe que la mayoría de los servicios de red estén inhabilitados.
Compruebe que los montajes de realimentación y el servicio ssh se estén ejecutando.
# svcs | grep network online Aug_02 svc:/network/loopback:default ... online Aug_09 svc:/network/ssh:default |
Agregue un par de SA entre los dos sistemas.
Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuración de IKE (mapa de tareas) para configurar IKE para la VPN.
Si tiene motivos para administrar las claves manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.
Agregue una directiva IPsec para la VPN.
Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN.
En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} |
En el sistema partym, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} |
(Opcional) Compruebe la sintaxis del archivo de directiva IPsec.
# ipsecconf -c -f /etc/inet/ipsecinit.conf |
Para configurar el túnel y protegerlo con IPsec, siga los pasos en función de la versión de Solaris:
Configure el túnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0.
En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up |
En el sistema partym, agregue la entrada siguiente al archivo hostname.ip6.tun0:
6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up |
Proteja el túnel con la directiva IPsec que ha creado.
# svcadm refresh svc:/network/ipsec/policy:default |
Para leer el contenido del archivo de configuración de túnel en el núcleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default |
Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.
Agregue manualmente una ruta predeterminada a través de hme0.
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento.
Configure un túnel seguro, ip6.tun0.
Los siguientes pasos configuran un túnel en un sistema que esté ejecutando una versión anterior a Solaris 10 4/09.
En el sistema enigma, escriba los comandos siguientes:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 |
En el sistema partym, escriba los comandos siguientes:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 |
Proteja el túnel con la directiva IPsec que ha creado.
# ipsecconf |
Muestre el enrutador para el túnel.
# ifconfig ip6.tun0 router up |
En cada sistema, active el reenvío de IP para la interfaz hme1.
# ifconfig hme1 router |
Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.
# ifconfig hme0 private |
Agregue manualmente una ruta predeterminada a través de hme0.
La ruta predeterminada debe ser un enrutador con acceso directo a Internet.
Asegúrese de que la VPN se inicie tras un reinicio, mediante la adición de una entrada al archivo /etc/hostname6.ip6.tun0.
La entrada replica los parámetros que se hayan transferido al comando ifconfig en el Paso 14.
En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up |
En el sistema partym, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up |
En cada sistema, configure los archivos de interfaz para transferir los parámetros correctos al daemon de enrutamiento.
En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private |
# cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router |
En el sistema partym, modifique los archivos /etc/hostname. interfaz.
# cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private |
# cat /etc/hostname6.hme1 ## partym 2001::eeee:3333:3333 inet6 router |
Ejecute un protocolo de enrutamiento.
# routeadm -e ipv6-routing # routeadm -u |
Podría ser que antes de ejecutar el protocolo de enrutamiento fuese necesario configurarlo. Para obtener más información, consulte Protocolos de enrutamiento en Oracle Solaris. Para obtener un procedimiento, consulte Configuración de un enrutador IPv6.