Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripción completa de los motivos para ejecutar comandos específicos, consulte los pasos correspondientes en Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.
Lleve a cabo los pasos de este procedimiento en ambos sistemas.
Este procedimiento utiliza los siguientes parámetros.
Parámetro |
Europa |
California |
||
---|---|---|---|---|
Nombre del sistema |
|
|
||
Interfaz de la intranet del sistema |
|
|
||
Interfaz de Internet del sistema |
|
|
||
Dirección de intranet del sistema |
|
|
||
Dirección de Internet del sistema |
|
|
||
Nombre del enrutador de Internet |
|
|
||
Dirección del enrutador de Internet |
|
|
||
Nombre de túnel |
|
|
En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.
La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.
Controle el flujo de paquetes antes de configurar IPsec.
Asegúrese de que el reenvío de IP y el enrutamiento dinámico de IP estén desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabled |
Si el reenvío de IP y el enrutamiento dinámico de IP están habilitados, puede inhabilitarlos escribiendo:
# routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u |
Active los hosts múltiples de destino estricto de IP.
# ndd -set /dev/ip ip6_strict_dst_multihoming 1 |
El valor de ip6_strict_dst_multihoming vuelve al predeterminado cuando se inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cómo evitar la falsificación de la IP .
Compruebe que la mayoría de los servicios de red estén inhabilitados.
Compruebe que los montajes de realimentación y el servicio ssh se estén ejecutando.
# svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default |
Agregue un par de SA entre los dos sistemas.
Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuración de IKE (mapa de tareas) para configurar IKE para la VPN.
Si tiene motivos para administrar las claves manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.
Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN.
En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1} |
En el sistema partym, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1} |
(Opcional) Compruebe la sintaxis del archivo de directiva IPsec.
# ipsecconf -c -f /etc/inet/ipsecinit.conf |
Para configurar el túnel y protegerlo con IPsec, siga los pasos en función de la versión de Solaris:
Configure el túnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0.
En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up |
En el sistema partym, agregue la entrada siguiente al archivo hostname.ip6.tun0:
6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up |
Proteja el túnel con la directiva IPsec que ha creado.
# svcadm refresh svc:/network/ipsec/policy:default |
Para leer el contenido del archivo hostname.ip6.tun0 en el núcleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default |
Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.
Agregue manualmente una ruta predeterminada a través de hme0.
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento.
Configure un túnel seguro, ip6.tun0.
Los siguientes pasos configuran un túnel en un sistema que esté ejecutando una versión anterior a Solaris 10 4/09.
En el sistema enigma, escriba los comandos siguientes:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 |
En el sistema partym, escriba los comandos siguientes:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 |
Proteja el túnel con la directiva IPsec que ha creado.
# ipsecconf |
Muestre el enrutador para el túnel.
# ifconfig ip6.tun0 router up |
Active el reenvío de IP para la interfaz hme1.
# ifconfig hme1 router |
Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.
# ifconfig hme0 private |
En cada sistema, agregue manualmente una ruta predeterminada mediante hme0.
La ruta predeterminada debe ser un enrutador con acceso directo a Internet.
En cada sistema, asegúrese de que la VPN se inicie tras un reinicio agregando una entrada al archivo /etc/hostname6.ip6.tun0 .
La entrada replica los parámetros que se hayan transferido al comando ifconfig en el Paso 14.
En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up |
En el sistema partym, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up |
Configure los archivos de interfaz para transferir los parámetros correctos al daemon de enrutamiento.
En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private |
# cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router |
En el sistema partym, modifique los archivos /etc/hostname. interfaz.
# cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private |
# cat /etc/hostname6.hme1 ## partym2001::eeee:3333:3333 inet6 router |
Ejecute un protocolo de enrutamiento.
# routeadm -e ipv6-routing # routeadm -u |
En este ejemplo, el administrador conecta un sistema Solaris 10 7/07 con un sistema con la versión Solaris 10. Por tanto, el administrador utiliza la sintaxis de Solaris 10 en el archivo de configuración e incluye los algoritmos IPsec en el comando ifconfig.
El administrador sigue el procedimiento Cómo proteger una VPN con un túnel IPsec en modo transporte mediante IPv6 con los siguientes cambios en la sintaxis.
Para el Paso 4, la sintaxis del archivo ipsecinit.conf es la siguiente:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1} |
Para el proceso del Paso 14 al Paso 17, la sintaxis para configurar un túnel seguro es la siguiente:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip6.tun0 inet6 router up |
La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al reiniciar, cada sistema lee el archivo ipsecinit.conf para su directiva.
Para el Paso 20, la sintaxis del archivo hostname6.ip6.tun0 es la siguiente:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 router up |