1. Actualización del Servidor

Primero, asegúrate de que el servidor Ubuntu esté actualizado.

Ejecutar en el servidor:

sudo apt update && sudo apt upgrade -y

2. Instalación de WireGuard

Instala WireGuard en el servidor.

Ejecutar en el servidor:

sudo apt install wireguard -y

3. Generación de Llaves del Servidor

Genera las claves privadas y públicas del servidor.

Ejecutar en el servidor:

wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key

4. Configuración del Servidor WireGuard

Crea el archivo de configuración de WireGuard para el servidor.

Ejecutar en el servidor:

vim /etc/wireguard/wg0.conf

Agrega el siguiente contenido al archivo wg0.conf:

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = 

# Habilitar NAT e IP Forwarding
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; echo 1 > /proc/sys/net/ipv4/ip_forward
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; echo 0 > /proc/sys/net/ipv4/ip_forward

# Guardar configuración entre reinicios (opcional)
SaveConfig = true

Reemplaza con la clave privada del servidor generada previamente:

Ejecutar en el servidor:

sudo cat /etc/wireguard/server_private.key

5. Habilitación y Arranque de WireGuard

Activa y arranca el servicio WireGuard.

Ejecutar en el servidor:

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

6. Verificación del Estado del Servidor WireGuard

Comprueba que WireGuard esté funcionando correctamente.

Ejecutar en el servidor:

sudo wg

Parte 2: Configuración de los Clientes WireGuard

1. Generación de Llaves del Cliente

Genera las claves privadas y públicas del cliente.

Ejecutar en el servidor:

wg genkey | tee /etc/wireguard/client1_private.key | wg pubkey > /etc/wireguard/client1_public.key

2. Añadir la Configuración del Cliente en el Servidor

Edita el archivo de configuración del servidor para añadir al cliente.

Ejecutar en el servidor:

sudo vim /etc/wireguard/wg0.conf

Agrega el siguiente bloque al final del archivo:

[Peer]
PublicKey = 
AllowedIPs = 10.0.0.2/32

Reemplaza con la clave pública del cliente que generaste:

Ejecutar en el servidor:

sudo cat /etc/wireguard/client1_public.key

3. Creación del Archivo de Configuración del Cliente

Crea el archivo de configuración del cliente.

Ejecutar en el servidor:

sudo nano /etc/wireguard/client1.conf

Agrega el siguiente contenido al archivo client1.conf:

[Interface]
PrivateKey = 
Address = 10.0.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = 
Endpoint = :51820
AllowedIPs = 0.0.0.0/0

Reemplaza con la clave privada del cliente:

Ejecutar en el servidor:

sudo cat /etc/wireguard/client1_private.key

Reemplaza con la clave pública del servidor:

Ejecutar en el servidor:

sudo cat /etc/wireguard/server_public.key

Reemplaza con la dirección IP pública del servidor.

4. Generación de un Código QR para el Cliente

WireGuard permite que los clientes móviles configuren fácilmente la VPN mediante un código QR.

Instala la herramienta qrencode en el servidor:

sudo apt install qrencode -y

Genera el código QR para la configuración del cliente:

Ejecutar en el servidor:

qrencode -t ansiutf8 < /etc/wireguard/client1.conf

Este comando generará un código QR en la terminal que el cliente puede escanear con su aplicación WireGuard en Android o iOS.

5. Instalación y Configuración de WireGuard en el Cliente

Instala WireGuard en el dispositivo cliente:

Linux:

Ejecutar en el cliente:

sudo apt update && sudo apt install wireguard resolvconf iptables -y

Windows/Mac:

Descarga e instala la aplicación WireGuard desde el sitio oficial: https://www.wireguard.com/install/

Android/iOS:

Descarga la aplicación WireGuard desde Google Play Store o Apple App Store.

Configura WireGuard en el cliente:

Para Linux/Windows/Mac:

Importa el archivo de configuración client1.conf en la aplicación WireGuard.

Para dispositivos que no pueden usar un código QR, transfiere el archivo de configuración client1.conf al dispositivo cliente.

Una opción puede ser ejecutar desde el servidor el siguiente SCP si el servidor tiene acceso por SSH al cliente:

scp /etc/wireguard/client1.conf usuario@ip_cliente:/ruta/de/destino/

El fichero debe quedar en la ruta «/etc/wireguard/wg0.conf», si has podido hacer el SCP ya lo has completado, si no puedes  hacerlo, crea el fichero directamente en esa ruta y copia el contenido.

Android/iOS:

Abre la aplicación WireGuard y escanea el código QR generado anteriormente.
Conecta el Cliente a la VPN:

En la aplicación WireGuard del cliente, activa la conexión.

6. Verificación de la Conexión

Una vez conectado, prueba la conexión:

Ejecutar en el cliente:

ping 10.0.0.1

Esto debería devolver respuestas del servidor, indicando que la conexión VPN está funcionando correctamente.

Parte 3: Mantenimiento y Gestión

1. Añadir Más Clientes

Para añadir más clientes, simplemente repite los pasos de la Parte 2 para generar nuevas llaves, configurar nuevos pares en el servidor, y crear archivos de configuración para cada cliente.

2. Reiniciar el Servicio WireGuard

Si realizas cambios en la configuración del servidor, asegúrate de reiniciar el servicio:

Ejecutar en el servidor:

sudo systemctl restart wg-quick@wg0

3. Monitoreo del Estado de la VPN

Puedes verificar el estado de los pares conectados y sus estadísticas:

Ejecutar en el servidor:

sudo wg show

Vídeo

Esto te proporcionará información sobre los clientes conectados y el tráfico que están generando.

Siguiendo esta guía paso a paso, deberías poder configurar un servidor WireGuard en Ubuntu y conectar clientes de manera sencilla, incluyendo la opción de usar un código QR para la configuración en dispositivos móviles.

La entrada Cómo crear un servicio VPN con Wireguard se publicó primero en Aprende IT.

En la era digital, mantener la privacidad y seguridad en línea es más crucial que nunca. Una de las maneras de proteger tu identidad y datos en la red es a través del uso de un servidor proxy SOCKS. Este tipo de proxy actúa como un intermediario entre tu dispositivo y el internet, ocultando tu dirección IP real y cifrando tu tráfico de internet. En este artículo, te guiaremos paso a paso en cómo configurar tu propio servidor proxy SOCKS en Ubuntu utilizando Dante, un servidor proxy versátil y de alto rendimiento.

Iniciando la instalación de Dante

Antes de sumergirnos en la configuración de Dante, es esencial preparar tu sistema y asegurarte de que está actualizado. Para ello, abre una terminal y ejecuta los siguientes comandos:

sudo apt update
sudo apt install dante-server

Estos comandos actualizarán la lista de paquetes de tu sistema y luego instalarán Dante, respectivamente.

Configuración del archivo danted.conf

Una vez instalado Dante, el siguiente paso es configurar el servidor proxy. Esto se hace editando el archivo de configuración danted.conf ubicado en /etc/danted/. Para ello, usa tu editor de texto preferido. Aquí, utilizaremos vim:

vim /etc/danted.conf

Dentro de este archivo, debes especificar detalles cruciales como las interfaces externa e interna, el método de autenticación y las reglas de acceso. A continuación, te mostramos una configuración ejemplo que puedes ajustar según tus necesidades:

logoutput: syslog
user.privileged: root
user.unprivileged: nobody

# La interfaz externa (puede ser tu dirección IP pública o el nombre de la interfaz)
external: eth0

# La interfaz interna (usualmente la dirección IP de tu servidor o loopback)
internal: 0.0.0.0 port=1080

# Método de autenticación
socksmethod: username

# Reglas de acceso
client pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    log: connect disconnect error
}

# Quién puede utilizar este proxy
socks pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    command: bind connect udpassociate
    log: connect disconnect error
    socksmethod: username
}

Esta configuración define un servidor SOCKS que escucha en todas las interfaces disponibles (0.0.0.0) en el puerto 1080. Utiliza autenticación por nombre de usuario y permite conexiones desde y hacia cualquier dirección.

Creación de un usuario para el proxy

Para que el proxy sea seguro y no esté abierto al público, es necesario crear un usuario específico para la conexión. Esto se logra con los siguientes comandos:

sudo useradd -r -s /bin/false nombre_usuario
sudo passwd nombre_usuario

Aquí, nombre_usuario es el nombre de usuario que deseas para la conexión al proxy. El comando useradd crea el usuario, y passwd te permite asignarle una contraseña.

Reiniciar y habilitar el servicio Dante

Con el usuario creado y el archivo de configuración ajustado, es momento de reiniciar el servicio Dante y asegurarse de que se ejecute al inicio del sistema:

sudo systemctl restart danted.service
sudo systemctl enable danted.service
sudo systemctl status danted.service

Además, es importante asegurarse de que el puerto 1080, que es donde escucha el proxy, esté permitido en el firewall:

sudo ufw allow 1080/tcp

Comprobación de la conexión

Finalmente, para verificar que todo está funcionando correctamente, puedes probar la conexión a través del proxy con el siguiente comando:

curl -v -x socks5://nombre_usuario:contraseña@tu_ip_del_servidor:1080 https://cualesmiip.es/

Recuerda reemplazar nombre_usuario, contraseña y tu_ip_del_servidor con tus datos específicos. Este comando utilizará tu servidor proxy para acceder a un sitio web que muestra tu dirección IP pública, verificando así que el tráfico realmente está siendo redirigido a través del proxy SOCKS.

Configurar un servidor proxy SOCKS con Dante puede parecer complejo al principio, pero siguiendo estos pasos, podrás tener un poderoso sistema

Puedes configurar un servidor proxy SOCKS5 utilizando OpenSSH en Ubuntu 22.04, lo cual es una alternativa más sencilla y directa en ciertos casos, especialmente para uso personal o en situaciones donde ya tienes un servidor SSH configurado. A continuación, te explico cómo hacerlo:

Crear un proxy Socks 5 con OpenSSH

A diferencia de dante, con el cual podemos crear un servicio de proxy con autenticación, con OpenSSH, podemos crear un tunel en un puerto que se puede utilizar de proxy socks sin autenticación por lo que lo conveniente es que se utilice solo para localhost dentro de un solo equipo (luego explicaremos mejor esto)

Instalación de OpenSSH Server

Si aún no tienes OpenSSH Server instalado en tu servidor que va a hacer de proxy, puedes instalarlo con el siguiente comando siempre y cuando sea una distribución basada en Debian / Ubuntu:

sudo apt update
sudo apt install openssh-server

Asegúrate de que el servicio está activo y se ejecuta correctamente con:

sudo systemctl status ssh

Configuración del Servidor SSH (Opcional)

Por defecto, OpenSSH escucha en el puerto 22. Puedes ajustar configuraciones adicionales editando el archivo /etc/ssh/sshd_config, como cambiar el puerto, restringir el acceso a ciertos usuarios, etc. Si realizas cambios, recuerda reiniciar el servicio SSH:

sudo systemctl restart ssh

Uso de SSH como un Proxy SOCKS5

Para configurar un túnel SSH que funcione como un proxy SOCKS5, utiliza el siguiente comando desde tu cliente (no en el servidor). Este comando establece un túnel SSH que escucha localmente en tu máquina en el puerto especificado (por ejemplo, 1080) y redirige el tráfico a través del servidor SSH:

ssh -D 1080 -C -q -N usuario@direccion_servidor

• -D 1080 especifica que SSH debe crear un proxy SOCKS5 en el puerto local 1080.
• -C comprime los datos antes de enviarlos.
• -q habilita el modo silencioso que minimiza los mensajes de log.
• -N indica que no se ejecuten comandos remotos, útil cuando solo quieres establecer el túnel.
• usuario es tu nombre de usuario en el servidor SSH.
• direccion_servidor es la dirección IP o dominio de tu servidor SSH.

En este punto es donde comentamos que con la opción -D debemos indicar unicamente el puerto ya que si exponemos el puerto a toda la red podemos estar permitiendo que otros equipos de la red utilicen este proxy sin autenticarse:

[ger@ger-pc ~]$ ssh -D 0.0.0.0:1081 root@192.168.54.100

Si lo comprobamos con el comando ss o con netstat podemos ver que está escuchando en todas las redes:

[ger@ger-pc ~]$ ss -putan|grep 1081
tcp LISTEN 0 128 0.0.0.0:1081 0.0.0.0:* users:(("ssh",pid=292405,fd=4)) 
[ger@ger-pc ~]$

Sin embargo, si conectamos especificando unicamente el puerto sin 0.0.0.0 o sin ninguna IP, lo hara solo en localhost:

[ger@ger-pc ~]$ ssh -D 1081 root@192.168.54.100

.......

[ger@ger-pc ~]$ ss -putan|grep 1081
tcp LISTEN 0 128 127.0.0.1:1081 0.0.0.0:* users:(("ssh",pid=292485,fd=5)) 
tcp LISTEN 0 128 [::1]:1081 [::]:* users:(("ssh",pid=292485,fd=4)) 
[ger@ger-pc ~]$

Conexión a través del Proxy SOCKS5:

Ahora puedes configurar tu navegador o aplicación para utilizar el proxy SOCKS5 en localhost y el puerto 1080. Cada aplicación tiene una manera diferente de configurar esto, así que necesitarás revisar las preferencias o la documentación de la aplicación.

Automatización de la Conexión (Opcional):
Si necesitas que el túnel se establezca automáticamente al inicio o sin interacción manual, puedes considerar usar una herramienta como autossh para mantener la conexión del túnel abierta y reconectar en caso de que se caiga.

Esta es una forma efectiva de establecer un proxy SOCKS5 rápido para un usuario o unos pocos usuarios, especialmente útil para eludir restricciones de red o asegurar tu tráfico en redes no confiables. La principal ventaja de este método es su simplicidad y que aprovecha la infraestructura SSH existente, sin necesidad de configurar software adicional en el servidor.

La entrada Crear Proxy SOCKS con Dante y con OpenSSH se publicó primero en Aprende IT.

Sumergiéndonos en el mundo del Subnetting

Antes de entrar en detalle, deberías saber qué es el subnetting. Es un proceso que divide una red IP en redes más pequeñas, o subredes. Este proceso nos permite gestionar mejor nuestro espacio de direcciones IP, proporcionándonos más flexibilidad y control sobre nuestra red.

En este proceso, usamos algo que se conoce como «máscara de red». Una máscara de red es una cadena de números que define cuántos hosts pueden estar en una red. Por ejemplo, una máscara de red común es 255.255.255.0, que permite hasta 254 hosts en una red.

Pero, ¿cómo hacemos subnetting? Vamos a verlo de forma rápida. Necesitamos tener en cuenta el Classless Inter-Domain Routing (CIDR), que nos permite definir la longitud de la máscara de red. Si partimos de una red con la máscara /24 (equivalente a 255.255.255.0), y queremos dividirla en subredes más pequeñas, podríamos optar por una máscara /25. Esto nos daría dos subredes, cada una con capacidad para 126 hosts.

Para llevar a cabo el subnetting, primero decidimos cuántas subredes necesitamos y cuántos hosts queremos en cada una. A continuación, ajustamos nuestra máscara de red en consecuencia. ¡Y listo! Ya hemos segmentado nuestra red.

VLANs: Tu nuevo aliado en la red

Después de aclarar el subnetting, toca hablar de las VLANs o Virtual Local Area Networks. Las VLANs son básicamente «subredes virtuales» que agrupan a diferentes hosts, independientemente de su ubicación física en la red.

Existen dos tipos de VLANs que deberías conocer: tagged y untagged. En una VLAN tagged, los paquetes de datos llevan una etiqueta que identifica a qué VLAN pertenecen. Esto permite que varios paquetes de diferentes VLANs coexistan en la misma trama de red. En cambio, en una VLAN untagged, los paquetes no llevan etiquetas. Por tanto, solo pueden pertenecer a una VLAN a la vez.

Además, existen dos modos de enlaces de VLANs: acceso y troncal. Un enlace de acceso es aquel que conecta a un dispositivo final (como tu ordenador) con la red. Este enlace solo puede pertenecer a una VLAN a la vez y, generalmente, se configura como una VLAN untagged. Por otro lado, los enlaces troncales son los que conectan switches entre sí, y permiten el paso de paquetes de varias VLANs, es decir, son tagged.

VLANs y seguridad: Un dúo dinámico

Las VLANs aportan una serie de ventajas de seguridad que las convierten en un recurso muy valioso. Al segmentar tu red en diferentes VLANs, estás aislando la comunicación entre los diferentes segmentos de tu red. Esto significa que, si un intruso consigue acceder a tu red, su capacidad para moverse y acceder a diferentes recursos estará limitada.

Además, las VLANs te permiten implementar políticas de seguridad a nivel de red de forma más precisa. Puedes configurar firewalls, listas de control de acceso y otras medidas de seguridad a nivel de cada VLAN. Esto te da un gran control sobre quién puede hacer qué y dónde en tu red.

Subnetting y VLANs: Una combinación ganadora

Llegados a este punto, te preguntarás: ¿por qué no es buena idea hacer subnetting sobre una misma VLAN? Pues bien, aunque parezca una buena idea en un principio, hacer subnetting dentro de una misma VLAN puede llevar a problemas de rendimiento de la red.

La razón es que las VLANs y las subredes operan en diferentes niveles del modelo OSI. Mientras que las subredes trabajan en la capa 3 (la capa de red), las VLANs operan en la capa 2 (la capa de enlace de datos). Esto significa que, aunque estés segmentando tu red a nivel de IP con el subnetting, todos los paquetes aún tienen que pasar por la misma VLAN. Esto puede provocar cuellos de botella y disminuir el rendimiento de tu red.

Por tanto, lo más eficiente es combinar VLANs y subnetting. De esta forma, cada VLAN tiene su propia subred, lo que evita los problemas de rendimiento y proporciona un mayor aislamiento y seguridad entre las diferentes partes de tu red. Además, te da más flexibilidad para gestionar y escalar tu red según tus necesidades.

En resumen, tanto el subnetting como las VLANs son herramientas valiosas para cualquier profesional de redes. Combinándolas adecuadamente, puedes obtener una red más eficiente, segura y fácil de administrar. Espero que este post te haya servido para aclarar tus dudas. ¿Quieres saber más sobre algún otro tema de redes? Déjame tus sugerencias en los comentarios. ¡Nos vemos en el próximo post!

La entrada Mejorando la eficiencia de redes: Explorando las sinergias de Subnetting y VLANs se publicó primero en Aprende IT.

¿Qué es Netplan?

Netplan es un software de gestión de red que aparece en Ubuntu 17.10 como reemplazo de NetworkManager pero puedes utilizar la configuración «legacy» de red. En Ubuntu 20.04 no tendrás mas remedio que administrar la red con Netplan.

Empezando con Netplan

Netplan se configura a partir de ficheros YAML. Estos ficheros se localizan en /etc/netplan/

Cada vez que realices cambios en el fichero de configuración tienes que ejecutar el siguiente comando para comprobar si está todo correcto:

netplan try

Para aplicar la configuración de todos los ficheros existentes (recargar la configuración de red) ejecutamos:

netplan apply

Configurando nuestro fichero YAML de red para Netplan

Vamos a configurar una interfaz de red con la siguiente configuración:

• Interfaz: eno3
• IP: 192.168.1.32/24
• Mascara (como se puede ver en la IP): 255.255.255.0
• Gateway: 192.168.1.1

Para ello generamos el fichero de configuración en «/etc/netplan/«. Aquí tenemos que tener mucho cuidado, si existen mas ficheros debemos o bien editar estos o si no nos interesa su configuración, borrarlos o truncarlos. Generamos «/etc/netplan/mi-configuracion.yml«:

network:
  version: 2
  ethernets:
    eno3:
      addresses:
      - 192.168.1.32/24
      dhcp4: false
      dhcp6: false
      gateway4: 192.168.1.1
      nameservers:
        addresses:
        - 8.8.8.8
        - 1.1.1.1
      routes:
      - to: 0.0.0.0/0
        via: 192.168.1.1
        on-link: true

Sin embargo si queremos configurar la misma interfaz de red con DHCP simplemente tenemos que editar el mismo fichero con lo siguiente:

network:
  version: 2
  ethernets:
    eno3:
      dhcp4: true
      dhcp6: true

Configurar bridges en Netplan

Vamos a configurar los mismos datos pero configurando una interfaz de bridge (añadimos comprobación de mac):

• Interfaz: eno3
• Interfaz de bridge: br01
• IP: 192.168.1.32/24
• Gateway: 192.168.1.1

network:
    version: 2
    ethernets:
        eno3:
            dhcp4: false
            dhcp6: false
            match:
                macaddress: a1:b2:c3:d4:e5:f6
            set-name: eno3
    bridges:
        br01:
            interfaces:
            - eno3
            addresses:
            - 192.168.1.32/24
            dhcp4: false
            dhcp6: false
            gateway4: 192.168.1.1
            nameservers:
              addresses:
              - 8.8.8.8
              - 1.1.1.1
            routes:
            - to: 0.0.0.0/0
              via: 192.168.1.1
              on-link: true

Si ya tienes el bridge configurado tendrás que ejecutar:

ip link set down br0
ip link del dev br0
systemctl restart systemd-networkd

Configurando VLANs en Netplan

Vamos a configurar los mismos datos pero configurando una interfaz de una vlan especifica:

• Interfaz: eno3
• Interfaz de vlan: eno3.20
• vlan: 20
• IP: 192.168.1.32/24
• Gateway: 192.168.1.1

network:
    version: 2
    ethernets:
        eno3:
            dhcp4: false
            dhcp6: false
    vlans:
      eno3.20:
        accept-ra: no
        id: 20
        link: eno3
        addresses:
        - 192.168.1.32/24
        dhcp4: false
        dhcp6: false
        gateway4: 192.168.1.1
        nameservers:
          addresses:
          - 8.8.8.8
          - 1.1.1.1
        routes:
        - to: 0.0.0.0/0
          via: 192.168.1.1
          on-link: true
        

Mas información

Puedes ver ejemplos de configuraciones como politica de rutas, interfaces especiales y mucho mas en el sitio oficial https://netplan.io/examples/

La entrada Administrar redes con netplan en Ubuntu 20.04 se publicó primero en Aprende IT.

UTM Security with Fortinet: Mastering FortiOS

Desde 44.67€

Ver en Amazon

Easy Guide: Fortinet Certified Network Security Administrator: Questions and Answers

Desde 12.27€

Ver en Amazon

Fortinet NSE 4 FortiOS 6.2 Network Security Professional NSE4_FGT-6.2: Actual Exam Questions and Answers

Desde 20.79€

Ver en Amazon

La entrada Top 25 de comandos de utilidad fortinet se publicó primero en Aprende IT.