Como muchos organismos, entes, organizaciones, empresas, etc,etc,etc, tienen políticas para el uso de internet, el lugar donde trabajo no escapa de esto, el internet se maneja a través de cajas (boxes o appliance), que realmente funcionan bien (solo dije bien, no MUY BIEN, ni EXCELENTE)(me echaron paja al bajarme un exploit [pero eso fue por tarado, si no ni se enteran] para los mismo, mas no cuando se los ejecute, que curiosa la seguridad no?), manejan jerarquías de usuarios, bla bla bla, pero mi usuario era un poquito mas alto que el puesto del “baña perro”, aun asi hay sitios que se me antojaba buscar documentación y estaban bloqueados.
Bien, existen 2 vlan’s, la de cachilapos (donde se encuentra mi maquina) y la de servidores (donde estan los servidores [valga la rebuznancia]) la conexión al llegar al extremo de la calle o a la wan se encuentran con su respectivo IPS -INTRUSION PREVENTION SYSTEM- (cada vlan con su IPS) que funcionan como analizadores de contenido web, el IPS de los servidores esta mas restringido que el de cachilapos (porque? no debería ser al revés?).
Entonces, si monto un proxy en la vlan de servidores al salir por el ips, KAPUT “PNP” Pagina No Permitida, la solución mas aceptable fue montar un proxy en la red de cahilapos con una dirección ip sacada del underground el cual tenia permiso de navegación sin proxy, peeero esta al llegar al IPS, KAPUT again, aunque con menos páginas.
Lo que me lleva a la siguiente escapatoria, ya que tengo un servidor en USA que no tiene restricciones de ningún tipo, que pasa si hago una VPN (Virtual Private Network) con openvpn, y toda la navegación se entuba (agregar termino a la RAE, aunque lo correcto creo que seria “enruta”) por el VPN y adios IPS, adios PROXY, adios FIREWALL! la utopia, pero como lo hago?
Suponiendo que ya tienes:
- el tunel básico
- la unidad certificadora
- el certificado para cada host firmado
- y el dh
en la documentación de la pagina sale el parámetro push “redirect-gateway def1″ , segundo que se enmascare todo el tráfico que viene de la vpn hacia internet “iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE“ (esto va en el servidor), tal como dice el manual todo el tráfico (sera enrutado [web, dhcp, dns, etc]) así que tienes que configurar la máquina cliente para que use como dns el dns del ISP del servidor externo.
El siguiente problema es cuando una maquina de otro segmento de la red de donde esta el proxy intente accesar al proxy, este enviara el paquete por la vpn y por lo tanto no hay comunicación, la tabla de ruteo tiene estas regla (se omiten algunas reglas)
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
0.0.0.0 tu_gateway 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 10.0.0.5 128.0.0.0 UG 0 0 0 tun0
lo que hace que todos los paquetes de tu red se pasen por el gateway por defecto que es el 10.0.0.5 (el de la vpn), facil solución
“route del -net 0.0.0.0 netmask 0.0.0.0 gateway gateway_de_tu_red dev eth0″ con esto borramos que todas las redes apunten a tu gateway de red y agregamos
“route add -net xxx.0.0.0 netmask 255.0.0.0 gateway gateway_de_tu_red dev eth0″ (este rango que abarque los segmentos que quieres que tengan comunicación) para que tu red sea enrutada a su gateway y no se pasen paquetes de tu red por la vpn, y solo pasen los que no estan en tu rango, con esto, otras redes o vlan pueden usar el proxy para salir a internet.
Despues de esto practicamente te defecas en la seguridad!!
Si lees esto y sabes donde trabajo, llamame a mi extension para habilitarte una entrada a este proxy clandestino, (solo válido para la primera persona que llame), claramente el proxy no esta abierto a todo público (se putea la cosa, ahora si esto se descubre el proxy esta sacando y registrando a donde y que hora entraste, que páginas, etc etc, estas estadísticas [con graficas y todo papa] serán entregadas a tu coordinador y a tu gerente).
