]> git.meshlink.io Git - meshlink/blob - doc/es/tinc-es.html
Make sure Solaris is happy too.
[meshlink] / doc / es / tinc-es.html
1 <HTML>\r
2 <HEAD>\r
3 \r
4 <TITLE>Manual DE tinc</TITLE>\r
5 </HEAD>\r
6 <BODY>\r
7 <H1>Manual de tinc</H1>\r
8 <H2>Preparando una Red Privada Virtual con tinc</H2>\r
9 <ADDRESS>Ivo Timmermans &#60;<A HREF="mailto:itimmermans@bigfoot.com">itimmermans@bigfoot.com</A>&#62;</ADDRESS>\r
10 <P>\r
11 <P><HR><P>\r
12 \r
13 <H1><A NAME="SEC1" HREF="tinc_toc-es.html#TOC1">Introducción</A></H1>\r
14 \r
15 <P>\r
16 Tinc es un demonio de Red Privada Virtual (VPN) que usa túnel y \r
17 cifrado de datos para crear una red privada segura entre hosts en \r
18 Internet. \r
19 \r
20 \r
21 <P>\r
22 El túnel se realiza en la capa del protocolo IP como un dispositivo de \r
23 red normal, por lo cual hay necesidad de adaptar el software existente. \r
24 \r
25 \r
26 <P>\r
27 Este túnel permite que sitios VPN compartan información entre ellos en \r
28 Internet sin exponer esta información a otros. \r
29 \r
30 \r
31 <P>\r
32 Este documento es el manual de tinc. Incluye capítulos sobre cómo configurar \r
33 su computadora para usar tinc, así como el proceso de configuración de tinc. \r
34 \r
35 \r
36 \r
37 \r
38 \r
39 <H2><A NAME="SEC2" HREF="tinc_toc-es.html#TOC2">Redes Privadas Virtuales</A></H2>\r
40 \r
41 <P>\r
42 Una Red Privada Virtual o VPN es una red que sólo puede ser accedida por \r
43 computadoras elegidas para participar. Esta meta es alcanzable en más de una \r
44 manera. \r
45 \r
46 \r
47 <P>\r
48 <A NAME="IDX1"></A>\r
49 Por ejemplo, una VPN puede consistir en una ethernet LAN. O incluso dos \r
50 computadoras conectadas usando un cable módem nulo(1). En estos casos, es obvio que la red es <EM>privada</EM>, nadie puede acceder a esta desde afuera. Pero si estas si estas computadoras están conectadas a internet, la red deja de ser privada, a menos que use cortafuego para bloquear el trafico privado. Pero entonces, no hay manera de enviar datos privado a una computadora de confianza en otro lugar de internet. \r
51 \r
52 \r
53 <P>\r
54 <A NAME="IDX2"></A>\r
55 Este problema puede resolverse usando redes <EM>virtuales</EM>. Las redes virtuales pueden vivir arriba de otras redes, pero no interfieren interfieren entre ellas. En su mayor parte, las redes virtuales se ven como simples LAN, aun cuando pueden extenderse a lo largo del mundo. Pero las redes virtuales pueden no ser seguras aunque se uso cortafuegos, porque el trafico que fluye a traves de estas hacia internet puede ser visto por otras personas.\r
56 \r
57 \r
58 <P>\r
59 Cuando se introduce cifrado de datos, podemos formar una verdadera VPN, Otras personas pueden ver el trafico cifrado, pero no pueden saber como decifrar este (necesitan conocer la llave para esto), no pueden leer la información que fluye a traves de la VPN, Esto es para lo que tinc fue hecho.\r
60 \r
61 \r
62 <P>\r
63 <A NAME="IDX3"></A>\r
64 Tinc usa datagramas IP normales para encapsular datos que viajan sobre el enlace \r
65 de red VPN. En este caso está también claro que la red es <EM>virtual</EM>, porque ningún enlace de red directo tiene que existir entre los participantes. \r
66 \r
67 \r
68 <P>\r
69 Como es el caso con cualquier tipo de VPN, alguien podría escuchar secretamente, \r
70 o peor, alterar datos. Aquí es probablemente aconsejable el cifrar los datos que fluyen sobre la red. \r
71 \r
72 \r
73 \r
74 \r
75 <H2><A NAME="SEC3" HREF="tinc_toc-es.html#TOC3">TINC</A></H2>\r
76 \r
77 <P>\r
78 Yo realmente no recuerdo lo que nos llevó a empezar, pero debe de haber sido idea de Guus. Él escribió una aplicación simple (aproximadamente 50 líneas en C) que usó el dispositivo <EM>ethertap</EM> que linux tiene desde el núcleo 2.1.60. No funcionó inmediatamente y él la mejoró un poco. En esta fase, el proyecto se llamó simplemente <SAMP>`vpnd'</SAMP>. \r
79 \r
80 \r
81 <P>\r
82 Desde entonces, mucho ha cambiado -- por así decirlo. \r
83 \r
84 \r
85 <P>\r
86 <A NAME="IDX4"></A>\r
87 Tinc ahora soporta cifrado, consiste en un solo demonio (tincd) para la \r
88 recepción y el envío de información, se ha vuelto un paquete profesional completo. \r
89 \r
90 \r
91 <p>\r
92 Mucho puede ser, y será, mejorado. Hay varias cosas que me gustaría ver en las \r
93 futuras versiones de tinc. No todo estará disponible en el futuro cercano. Nuestro primer objetivo es hacer que tinc trabaje perfectamente, y luego agregar rasgos más avanzados. \r
94 \r
95 \r
96 <P>\r
97 Entretanto, siempre estaremos abiertos y disponibles hacia las nuevas ideas. \r
98 \r
99 \r
100 \r
101 \r
102 <H1><A NAME="SEC4" HREF="tinc_toc-es.html#TOC4">Configurando un sistema Linux</A></H1>\r
103 \r
104 <P>\r
105 Este capítulo contiene información sobre cómo configurar un sistema Linux para el uso de tinc. \r
106 \r
107 \r
108 \r
109 \r
110 <H2><A NAME="SEC5" HREF="tinc_toc-es.html#TOC5">Configurando el Núcleo</A></H2>\r
111 \r
112 <P>\r
113 Dado que esta implementación particular sólo corre en núcleos 2.1 o mayores, \r
114 debería conseguir uno (los 2.2 son actuales en este momento). Una migración a 2.0 no es posible, a menos que alguien migre los dispositivos ethertap y netlink a 2.0. \r
115 \r
116 \r
117 <P>\r
118 Si no esta familiarizado con el proceso de configurar y compilar un nuevo núcleo, debería leer primero el <A HREF="http://howto.linuxberg.com/LDP/HOWTO/Kernel-HOWTO.html">Núcleo COMO</A>. ¡Haga eso ahora! \r
119 \r
120 \r
121 <P>\r
122 Aquí están las opciones que usted tiene que activar al configurar un nuevo núcleo. \r
123 \r
124 \r
125 \r
126 <PRE>\r
127 Code maturity level options \r
128 [*] Prompt for development and/or incomplete code/drivers \r
129 Networking options \r
130 [*] Kernel/User netlink socket \r
131 &#60;*&#62; Netlink device emulation \r
132 Network device support \r
133 &#60;*&#62; Ethertap network tap \r
134 </PRE>\r
135 \r
136 <P>\r
137 Cualquier otra opción no mencionada aquí no es relevante a tinc. Si usted decide \r
138 construirlos como módulos dinámicos, es una buena idea agregar estas líneas en \r
139 <TT>`/etc/modules.conf'</TT>.\r
140 \r
141 \r
142 \r
143 <PRE>\r
144 alias tap0 ethertap \r
145 alias char-major-36 netlink_dev\r
146 </PRE>\r
147 \r
148 <P> Finalmente, construya el núcleo y reinicie la maquina. Desgraciadamente no es \r
149 posible insertar estos módulos en un Núcleo que se esta ejecutando. \r
150 \r
151 \r
152 \r
153 \r
154 <H2><A NAME="SEC6" HREF="tinc_toc-es.html#TOC6">Archivos Necesarios</A></H2>\r
155 \r
156 \r
157 <H4>Archivos de dispositivos</H4>\r
158 \r
159 <P>\r
160 Primero, necesitará el archivo de dispositivo especial que forma la interfaz entre el Núcleo y el demonio. \r
161 \r
162 \r
163 \r
164 <PRE>\r
165 mknod -m 600 /dev/tap0 c 36 16 \r
166 chown 0.0 /dev/tap0 \r
167 </PRE>\r
168 \r
169 <P>\r
170 Los permisos serán ahora tales que sólo el super usuario(root) puede leer y escribir en este archivo. Esto debería ser así, porque es más fácil que se filtre información por aquí. Esto, sin embargo, implica que usted tendría que ejecutar tincd como root. \r
171 \r
172 \r
173 <P>\r
174 Si usted quiere, también se puede crear más archivos de dispositivos que se \r
175 numerarían de 0 a 15 con números menores de dispositivos de 16 a 31. Todos deben \r
176 pertenecer  al root y deben tener permisos 600. \r
177 \r
178 \r
179 \r
180 <H4><TT>`/etc/networks'</TT></H4>\r
181 \r
182 <P>\r
183 Puede agregar una línea en <TT>`/etc/networks'</TT> para que sus vpn tengan nombres simbólicos. Por ejemplo: \r
184 \r
185 \r
186 \r
187 <PRE>\r
188 Mi_vpn 10.0.0.0 \r
189 </PRE>\r
190 \r
191 \r
192 <H4><TT>`/etc/services'</TT></H4>\r
193 \r
194 <P>\r
195 Puede agregar estas líneas en <TT>`/etc/services'</TT>. El resultado es que puede proporcionar a una <SAMP>`tinc'</SAMP> como un número de puerto válido a algunos programas. El número 655 esta registrado en el IANA. \r
196 \r
197 \r
198 \r
199 <PRE>\r
200 tinc            655/tcp    TINC \r
201 tinc            655/udp   TINC \r
202 #               Ivo Timmermans &#60;itimmermans@bigfoot.com&#62;\r
203 62;\r
204 </PRE>\r
205 \r
206 \r
207 \r
208 <H2><A NAME="SEC7" HREF="tinc_toc-es.html#TOC7">Preparando los dispositivos</A></H2>\r
209 \r
210 <P>\r
211 Antes de que pueda empezar a transmitir datos sobre el túnel tinc, debe preparar los dispositivos de red ethertap. \r
212 \r
213 \r
214 <P>\r
215 Primero, decida qué direcciones IP quiere asociar con estos dispositivos, y qué \r
216 máscara de red deben tener. También necesitara estos números cuando configure tinc. Vea la sección section <A HREF="tinc-es.html#SEC9">Configurando tinc</A>.\r
217 \r
218 \r
219 <P>\r
220 No importa mucho que se hace primero, si preparar los dispositivos red o configurar tinc. Pero deben hacerse ante de usar tincd. \r
221 \r
222 \r
223 <P>\r
224 La configuración de dispositivo ethertap es bastante simple, simplemente escriba \r
225 esto: \r
226 \r
227 \r
228 \r
229 <PRE>\r
230 ifconfig tap<EM>n</EM> hw ether fe:fd:<EM>xx</EM>:<EM>xx</EM>:<EM>xx</EM>:<EM>xx</EM> \r
231 </PRE>\r
232 \r
233 <P>\r
234 El <EM>n</EM> aquí es el número del dispositivo ethertap que quiere usar. Debe ser uno de los mismos <EM>n</EM> que uso para <TT>`/dev/tap<EM>n</EM>'</TT>. Las <EM>xx</EM>s son cuatro números hexadecimales (0--ff). En las versiones anteriores de tincd no importaban lo que  eran, pero los nuevos Núcleos \r
235 requieren que sean puestas las direcciones de ethernet. De hecho, el comportamiento estaba equivocado, se requiere que los <EM>xx</EM>s mapeen Mi_IP_VPN.\r
236 \r
237 \r
238 \r
239 <PRE>\r
240 ifconfig tap<EM>n</EM> <EM>IP</EM> netmask <EM>mask</EM>\r
241 </PRE>\r
242 \r
243 <P>\r
244 Esto activará el dispositivo con una dirección red <EM>IP</EM> y con una máscara de red <EM>mask</EM>. \r
245 \r
246 \r
247 \r
248 \r
249 <H1><A NAME="SEC8" HREF="tinc_toc-es.html#TOC8">Instalando Tinc</A></H1>\r
250 \r
251 <P>\r
252 Primero consígalo. Esta es la <A HREF="http://tinc.nl.linux.org/download.html">página principal</A>, que tiene las suma de verificación (checksums) de los archivos listados; puede desear verificar éstos con md5sum antes de continuar. \r
253 \r
254 \r
255 <P>\r
256 Tinc viene en un paquete autoconf/automake, que simplemente puede tratar como \r
257 cualquier otro paquete. Sólo tiene que descomprimirlo, escribir "Configure" y luego "Make". \r
258 \r
259 \r
260 <P>\r
261 Las instrucciones más detalladas están en el archivo <TT>`INSTALL'</TT>, que es incluido en la distribución fuente. \r
262 \r
263 \r
264 \r
265 \r
266 <H1><A NAME="SEC9" HREF="tinc_toc-es.html#TOC9">Configurando Tinc</A></H1>\r
267 \r
268 \r
269 \r
270 <H2><A NAME="SEC10" HREF="tinc_toc-es.html#TOC10">Redes múltiples</A></H2>\r
271 \r
272 <P>\r
273 Es perfectamente aceptable correr más de un demonio tinc. Sin embargo, en su \r
274 forma predefinida, pronto notará que no puede usar dos archivos diferentes de \r
275 configuración sin la opción -c. \r
276 \r
277 \r
278 <P>\r
279 Hemos pensado en otra manera de tratar esto: nombres de red. Esto significa que \r
280 usted llama a tincd con el argumento -n que asignará un nombre a este demonio. \r
281 \r
282 \r
283 <P>\r
284 El efecto de esto es que los demonios buscaran su configuración en /etc/tinc/nn/, donde nn es un argumento a la opción -n. Notará que aparece en syslog como "tincd.nn." \r
285 \r
286 \r
287 <P>\r
288 Sin embargo, no es estrictamente un requisito llamar a tinc con la opción -n. En este caso, el nombre de la red estaría simplemente vacío, y se usará como tal. Tinc busca archivos ahora en /etc/tinc/, en lugar de /etc/tinc/nn/; el archivo de  configuración debe ser /etc/tinc/tincd.conf, y se espera ahora que los passphrases (N.T. passphrases es una contraseña o palabra de paso(password), que al ser bastante larga se le llama frase de paso)  estén en /etc/tinc/passphrases/. \r
289 \r
290 \r
291 <P>\r
292 Es recomendable usar este rasgo de tinc, porque será él quien decida con que \r
293 demonio hablar. Asumiremos que lo usa. \r
294 \r
295 \r
296 \r
297 \r
298 <H2><A NAME="SEC11" HREF="tinc_toc-es.html#TOC11">Cómo trabajan las conexiones</A></H2>\r
299 \r
300 <P>\r
301 Antes de seguir, primero un poco de cómo tinc ve las conexiones. \r
302 \r
303 \r
304 <P>\r
305 Cuando tinc se pone en marcha, lee en el archivo la configuración y analiza las \r
306 opciones de la línea de comandos. Si ve un valor "ConnectTo" en el archivo, intentará conectarse a ese servidor, en el puerto dado. Si esto falla, tinc termina. \r
307 \r
308 \r
309 \r
310 \r
311 <H2><A NAME="SEC12" HREF="tinc_toc-es.html#TOC12">Archivo de configuración</A></H2>\r
312 \r
313 <P>\r
314 La configuración actual del demonio se hace en el archivo <TT>`/etc/tinc/nn/tinc.conf'</TT>.\r
315 \r
316 \r
317 <P>\r
318 Este archivo consiste en comentarios (las líneas empiezan con #) o asignaciones de la forma: \r
319 \r
320 \r
321 \r
322 <PRE>\r
323 Variable = Valor. \r
324 </PRE>\r
325 \r
326 <P>\r
327 En los nombres de variables se distingue entre mayúsculas o minúsculas, y se \r
328 ignora cualquier espacio, etiquetas, nueva línea y retorno de carro. Nota: no se requiere que ponga "=", pero se usa para mejorar la legibilidad. Si lo omite, recuerde reemplazarlo con por lo menos un carácter espacial. \r
329 \r
330 \r
331 \r
332 \r
333 <H3><A NAME="SEC13" HREF="tinc_toc-es.html#TOC13">Variables</A></H3>\r
334 \r
335 <P>\r
336 Aquí está todas las variables válidas, listadas en orden alfabético: \r
337 \r
338 \r
339 <DL COMPACT>\r
340 \r
341 <DT>ConnectPort = port\r
342 <DD>\r
343 Conéctese al host (dado en la directiva ConnectTo) en el puerto "port". El puerto puede darse en decimal (valor por defecto), octal (cuando es precedido por un solo cero) o hexadecimal (prefijó con 0x). El puerto es el número del puerto para las conexiones UDP y TCP (meta). \r
344 \r
345 <DT>ConnectTo = (IP address|hostname)\r
346 <DD>\r
347 Especifica a qué host conectarse al arrancar. Si la variable "ConnectPort" se \r
348 omite, entonces tinc intentará conectarse al puerto 655. \r
349 \r
350 Si usted no especifica un host con "ConnectTo", sin tener en cuenta si un valor para "ConnectPort" se da, tinc no se conectará en absoluto, y escuchará en cambio simplemente las conexiones entrantes. Sólo el iniciador de un tinc VPN puede necesitar esto. \r
351 \r
352 <DT>ListenPort = port\r
353 <DD>\r
354 Escuche en el puerto local "port". La computadora que se conecta a este demonio debe usar este número como el argumento para su "ConnectPort". De nuevo, el \r
355 valor por defecto es 655. \r
356 \r
357 <DT>MyOwnVPNIP = local address[/maskbits]\r
358 <DD>\r
359 La dirección local es el número que los demonios propagarán a otro demonios en la red cuando se identifican. Aquí será el nombre del archivo de passphrase que el otro extremo espera encontrar en el passphrase. \r
360 \r
361 La dirección local es la dirección IP del dispositivo Tap, no la dirección IP real del host donde tincd esta corriendo. Debido a los cambios en recientes núcleos, es también necesario que usted haga coincidir la dirección  ethernet (también conocida como MAC) y la dirección de IP (vea el ejemplo). \r
362 \r
363 maskbits es el número de bits en 1 en la parte de la netmask(mascara de red). \r
364 \r
365 <DT>MyVirtualIP = local address[/maskbits]\r
366 <DD>\r
367 Esto es un alias para "MyOwnVPNIP". \r
368 \r
369 <DT>Passphrases = directory\r
370 <DD>\r
371 El directorio donde tinc buscara las passphrases cuando alguien intenta \r
372 conectarse. Por favor vea la pagina del manual de genauth(8) para más información sobre el passphrases usado por tinc. \r
373 \r
374 <DT>PingTimeout = number\r
375 <DD>\r
376 El número de segundos de inactividad que tinc esperara antes de enviar una \r
377 sonda(ping) al otro extremo. Si el otro extremo no contesta dentro de esa misma cantidad de segundos, la conexión se termina, y se notificara de esto. \r
378 \r
379 <DT>TapDevice = device\r
380 <DD>\r
381 El dispositivo ethertap a usar. Note que se puede usar sólo un dispositivo por \r
382 demonio. La paginas info del paquete tinc contiene más información sobre como \r
383 configurar un dispositivo ethertap en linux. \r
384 \r
385 <DT>VpnMask = mask\r
386 <DD>\r
387 La mascara de red que define el alcance de la VPN, Esta opción no es usada por el demonio tinc sino por los script de inicio(startup)para sonigurar los dispositivos ethertap correctamente\r
388 </DL>\r
389 \r
390 \r
391 \r
392 <H2><A NAME="SEC14" HREF="tinc_toc-es.html#TOC14">Ejemplo</A></H2>\r
393 \r
394 <P>\r
395 Imagine la situación siguiente. Una compañía A-base quiere conectar tres oficinas en B, C y D usando internet. Las cuatro oficinas tienen una 24/7 (24 horas los 7 días) conexión a internet. \r
396 \r
397 \r
398 <P>\r
399  A va a servir como el centro de la red. B y C conectarán a A, y D se \r
400 conectará a C. Cada oficina asignará sus propios IP de red, 10.x.0.0. \r
401 \r
402 \r
403 \r
404 <PRE>\r
405 A: red 10.1.0.0 máscara 255.255.0.0 gateway 10.1.54.1 internet IP 1.2.3.4 \r
406 B: red 10.2.0.0 máscara 255.255.0.0 gateway 10.2.1.12 internet IP 2.3.4.5 \r
407 C: red 10.3.0.0 máscara 255.255.0.0 gateway 10.3.69.254 internet IP 3.4.5.6 \r
408 D: red 10.4.0.0 máscara 255.255.0.0 gateway 10.4.3.32 internet IP 4.5.6.7 \r
409 </PRE>\r
410 \r
411 <P>\r
412 "gateway" es la dirección IP VPN_IP de la máquina que está ejecutando el tincd. \r
413 "internet IP" es la dirección IP del cortafuego que no necesita ejecutar tincd pero debe tener un puerto de forwarding de TCP y UDP en 655 (a menos que configure otro). \r
414 \r
415 \r
416 <P>\r
417 En este ejemplo, se asume que eth0 es la interfaz que apunta a la LAN interna de la oficina. Esto podría ser igual que la interfaz que lleva a internet. \r
418 \r
419 \r
420 \r
421 <H4>Para A</H4>\r
422 \r
423 <P>\r
424 <EM>A</EM>se configuraría como esto: \r
425 \r
426 \r
427 \r
428 <PRE>\r
429 ifconfig tap0 hw ether fe:fd:0a:01:36:01 \r
430 ifconfig tap0 10.1.54.1 netmask 255.0.0.0 \r
431 ifconfig eth0 10.1.54.1 netmask 255.255.0.0 broadcast 10.1.255.255 \r
432 </PRE>\r
433 \r
434 <P>\r
435 y en /etc/tinc/tincd.conf: \r
436 \r
437 \r
438 \r
439 <PRE>\r
440 TapDevice = /dev/tap0 \r
441 MyVirtualIP = 10.1.54.1/16 \r
442 VpnMask = 255.0.0.0\r
443 </PRE>\r
444 \r
445 \r
446 <H4>Para B</H4>\r
447 \r
448 \r
449 <PRE>\r
450 ifconfig tap0 hw ether fe:fd:0a:02:01:0c \r
451 ifconfig tap0 10.2.1.12 netmask 255.0.0.0 \r
452 ifconfig eth0 10.2.43.8 netmask 255.255.0.0 broadcast 10.2.255.255 \r
453 </PRE>\r
454 \r
455 <P>\r
456 y en /etc/tinc/tincd.conf: \r
457 \r
458 \r
459 \r
460 <PRE>\r
461 TapDevice = /dev/tap0 \r
462 MyVirtualIP = 10.2.1.12/16 \r
463 ConnectTo = 1.2.3.4 \r
464 VpnMask = 255.0.0.0\r
465 </PRE>\r
466 \r
467 <P>\r
468 Note aquí que la dirección interna (en eth0) no tiene por que ser igual que el \r
469 dispositivo tap0. También, ConnectTo se da para que nadie pueda conectarse a \r
470 este nodo. \r
471 \r
472 \r
473 \r
474 <H4>Para C</H4>\r
475 \r
476 \r
477 <PRE>\r
478 ifconfig tap0 hw ether fe:fd:0a:03:45:fe \r
479 ifconfig tap0 10.3.69.254 netmask 255.0.0.0 \r
480 ifconfig eth0 10.3.69.254 netmask 255.255.0.0 broadcast 10.3.255.255 \r
481 </PRE>\r
482 \r
483 <P>\r
484 y en /etc/tinc/A/tincd.conf: \r
485 \r
486 \r
487 \r
488 <PRE>\r
489 MyVirtualIP = 10.3.69.254/16 \r
490 ConnectTo = 1.2.3.4 \r
491 ListenPort = 2000 \r
492 VpnMask = 255.0.0.0\r
493 </PRE>\r
494 \r
495 <P>\r
496 C ya tiene otro demonio que corre en el puerto 655, entonces se reservar otro puerto para los que se conecten. Se usa el nombre de red para distinguir entre los dos. tinc se ejecuta con "tincd -n A". \r
497 \r
498 \r
499 \r
500 <H4>Para D</H4>\r
501 \r
502 \r
503 <PRE>\r
504 ifconfig tap0 hw ether fe:fd:0a:04:03:20 \r
505 ifconfig tap0 10.4.3.32 netmask 255.0.0.0 \r
506 ifconfig tap0 10.4.3.32 netmask 255.255.0.0 broadcast 10.4.255.255 \r
507 </PRE>\r
508 \r
509 <P>\r
510 y en /etc/tinc/tincd.conf: \r
511 \r
512 \r
513 \r
514 <PRE>\r
515 MyVirtualIP = 10.4.3.32/16 \r
516 ConnectTo = 3.4.5.6 \r
517 ConnectPort = 2000 \r
518 VpnMask=255.0.0.0\r
519 </PRE>\r
520 \r
521 <P>\r
522 D estará conectando a C que tiene un tincd que corre para esta red en el puerto \r
523 2000. Aquí se debe poner un ConnectPort. \r
524 \r
525 \r
526 \r
527 <H4>Autenticación</H4>\r
528 \r
529 <P>\r
530 A, B, C y D generan su passphrase con genauth 2048, la salida se guarda en \r
531 /etc/tinc/passphrases/local, salvo C, donde debe ser /etc/tinc/A/passphrases/local. \r
532 \r
533 \r
534 <P>\r
535 A guarda una copia del passphrase de B en /etc/tinc/passphrases/10.2.0.0 \r
536 \r
537 \r
538 <P>\r
539 A guarda una copia del passphrase de C en /etc/tinc/passphrases/10.3.0.0 \r
540 \r
541 \r
542 <P>\r
543 B guarda una copia del passphrase de A en /etc/tinc/passphrases/10.1.0.0 \r
544 \r
545 \r
546 <P>\r
547 C guarda una copia del passphrase de A en /etc/tinc/A/passphrases/10.1.0.0 \r
548 \r
549 \r
550 <P>\r
551 C guarda una copia del passphrase de D en /etc/tinc/A/passphrases/10.4.0.0 \r
552 \r
553 \r
554 <P>\r
555 D guarda una copia del passphrase de C en /etc/tinc/passphrases/10.3.0.0 \r
556 \r
557 \r
558 \r
559 <H4>Ejecución</H4>\r
560 \r
561 <P>\r
562 A tiene que ejecutar su tincd primero. Entonces viene B y C, donde C tiene que \r
563 proporcionar la opción "-n A", porque aquí se tiene más de una red del tinc. Finalmente, el tincd de D se ejecuta. \r
564 \r
565 \r
566 \r
567 \r
568 <H1><A NAME="SEC15" HREF="tinc_toc-es.html#TOC15">Corriendo Tinc</A></H1>\r
569 \r
570 <P>\r
571 Ejecutar tinc no es así de fácil como teclear "tincd" y esperar que todo funcione de la manera que se quiso. En cambio, el uso de tinc es un proyecto que involucra relaciones de confianza en más de una computadora. \r
572 \r
573 \r
574 \r
575 \r
576 <H2><A NAME="SEC16" HREF="tinc_toc-es.html#TOC16">Manejo Llaves</A></H2>\r
577 \r
578 <P>\r
579 Antes de intentar ejecutar tinc, se tienen que crear los passphrases. Cuando tinc intenta hacer una conexión, intercambia algunos datos sensibles. Antes de hacer esto, le gusta saber si el otro extremo es confiable. \r
580 \r
581 \r
582 <P>\r
583 Para hacer esto, ambos extremos deben tener un poco de conocimiento sobre el \r
584 otro. En el caso de tinc éste es la autenticación passphrase. \r
585 \r
586 \r
587 <P>\r
588 Este passphrase es un número que es escogido al azar. Este número se envía \r
589 entonces a las otras computadoras que quieren hablar directamente con nosotros. Para evitar romper seguridad, esto debe hacerse sobre un cauce seguro conocido (como ssh o similar). \r
590 \r
591 \r
592 <P>\r
593 Todos los passphrases se guardan en el directorio de passphrases que \r
594 normalmente es /etc/tinc/nn/passphrases/, pero este puede cambiarse usando la opción "Passphrases" en el archivo de configuración. \r
595 \r
596 \r
597 <P>\r
598 Para generar un passphrase, ejecute "genauth". genauth toma un argumento que es \r
599 la longitud del passphrase en bits. La longitud del passphrase debe estar en el rango  de 1024--2048 para una llave de 128 bits. genauth crea un número al azar de la longitud especificada, y lo pone en la salida estándar. \r
600 \r
601 \r
602 <P>\r
603 Cada computadora que quiere participar en el VPN debe hacer esto, y guardar la \r
604 salida en el directorio de passrasphes, en el archivo <TT>`local'</TT>.\r
605 \r
606 \r
607 <P>\r
608 Cuando cada computadora tiene su propia llave local, debe copiarlo a la \r
609 computadora con la que quiere hablar directamente. Esto debe hacerse vía un cauce seguro, porque es información sensible. Si esto no se hace con seguridad, alguien podría forzar la entrada después de usted. \r
610 \r
611 \r
612 <P>\r
613 Esos archivos de passphrase no locales deben tener el nombre de la dirección IP \r
614 VPN con la que ellos se anuncian. Por ejemplo, si una computadora nos dice que es 10.1.1.3 con netmask 255.255.0.0, el archivo debería llamarse 10.1.1.3, y no 10.1.0.0. \r
615 \r
616 \r
617 \r
618 \r
619 <H2><A NAME="SEC17" HREF="tinc_toc-es.html#TOC17">Opciones en Tiempo de Ejecución</A></H2>\r
620 \r
621 <P>\r
622 Además de las opciones en el archivo de configuración, tinc también acepta algunas opciones de línea de comandos.\r
623 \r
624 \r
625 <P>\r
626 Esta lista es una versión más larga que la de la pagina del manual. Lo ultimo se \r
627 genera automáticamente, para que pueda ser más actualizable. \r
628 \r
629 \r
630 <DL COMPACT>\r
631 \r
632 <DT>-c, --config=FILE\r
633 <DD>\r
634 Lee opciones de configuración desde el archivo FILE. El valor por defecto es \r
635 <TT>`/etc/tinc/nn/tinc.conf'</TT>.\r
636 \r
637 <DT>-d\r
638 <DD>\r
639 Incrementa el nivel de depuración. El más alto conseguido es en el que más se \r
640 registra en los logs, todo vía syslog. \r
641 \r
642 0 es el valor por defecto, sólo información básica de algunos intentos de conexión se registran. Poniéndolo a 1 se registra un poco más, todavía no muy alentador. Con dos opciones -d, tincd  registrara información protocolar que puede ponerse bastante ruidosa. Tres o más opciones -d, harían que cada paquete \r
643 que sale o entra probablemente genere más datos que los paquetes en si. \r
644 \r
645 <DT>-k, --kill\r
646 <DD>\r
647 Intente matar un tincd y termina. Una señal TERM(15) se envía al demonio que tiene su PID en /var/run/tincd.nn.pid. \r
648 \r
649 Como mata sólo un tincd, usted debe usar -n aquí si normalmente lo usa. \r
650 \r
651 <DT>-n, --net=NETNAME\r
652 <DD>\r
653 Conectar a la red NETNAME. Vea la sección<A HREF="tinc-es.html#SEC10"> redes Múltiples</A>. \r
654 \r
655 <DT>-t, --timeout=TIMEOUT\r
656 <DD>\r
657 Segundos a esperar antes de dar una interrupción. No debe ponerse demasiado \r
658 bajo, porque a cada rato tincd dará interrupción, se desconectara y re-conectara de nuevo, lo que causará tráfico de la red innecesario y mensajes de log. \r
659 \r
660 <DT>--help\r
661 <DD>\r
662 Despliegue un recordatorio corto de estas opciones de tiempo de ejecución y \r
663 termina. \r
664 \r
665 <DT>--version\r
666 <DD>\r
667 Muestra información de versión y termina. \r
668 \r
669 </DL>\r
670 \r
671 \r
672 \r
673 <H1><A NAME="SEC18" HREF="tinc_toc-es.html#TOC18">Información técnica</A></H1>\r
674 \r
675 \r
676 \r
677 <H2><A NAME="SEC19" HREF="tinc_toc-es.html#TOC19">Filosofía básica del modo de trabajo de tinc</A></H2>\r
678 <P>\r
679 <A NAME="IDX5"></A>\r
680 \r
681 \r
682 <P>\r
683 Tinc es un demonio que toma datos VPN y transmite estos a otra computadora Host \r
684 sobre la infraestructura existente de Internet. \r
685 \r
686 \r
687 \r
688 \r
689 <H3><A NAME="SEC20" HREF="tinc_toc-es.html#TOC20">Una vista previa del modo de trabajo de tinc</A></H3>\r
690 \r
691 <P>\r
692 <A NAME="IDX6"></A>\r
693 <A NAME="IDX7"></A>\r
694 Los propios datos se leen de un archivo de dispositivo de caracteres, el dispositivo llamado <EM>ethertap</EM>. Este dispositivo es asociado con una interfaz de la red. Puede leerse cualquier dato enviado a la interfaz de dispositivo, y cualquier dato escrito al dispositivo se envía a la interfaz. Datos a y desde el dispositivo se estructuran como si fuera una tarjeta ethernet \r
695 normal, cada marco es precedido por dos direcciones MAC y un campo de <EM>tipo de marco</EM>.\r
696 \r
697 <P>\r
698 Para que cuando tinc lea un marco del dispositivo ethernet determine su tipo. \r
699 Actualmente, tinc puede manejar sólo marcos del Protocolo Internet versión 4 (IPv4), están haciéndose planes para soportar otros protocolos. Cuando tinc sabe que qué tipo de marco ha leído, también puede leer la dirección de origen y de destino de este.\r
700 \r
701 <P>\r
702 Ahora es cuando el marco se cifra. Actualmente el único algoritmo de cifrado disponible es blowfish. \r
703 \r
704 \r
705 <P>\r
706 <A NAME="IDX8"></A>\r
707 Cuando el cifrado está listo, es tiempo de transportar el paquete realmente a la \r
708 computadora de destino. Se hace esto enviando el paquete sobre una conexión UDP al host de destino. Esto se llama <EM>encapsulación</EM>, el paquete de VPN (aunque ahora cifrado) se encapsula en otro datagrama IP. \r
709 \r
710 \r
711 <P>\r
712 Cuando el destino recibe este paquete, ocurre lo mismo, sólo que al revés. Así que realiza un descifrado del contenido del datagrama UDP, y escribe la información descifrada en su propio dispositivo ethertap. \r
713 \r
714 \r
715 \r
716 \r
717 <H3><A NAME="SEC21" HREF="tinc_toc-es.html#TOC21">La meta-conexión</A></H3>\r
718 \r
719 <P>\r
720 Teniendo sólo una conexión de UDP disponible no es bastante. Aunque conveniente \r
721 para transmitir datos, queremos poder enviar otra información confiablemente, como rutear y cifrar información a alguien. \r
722 \r
723 \r
724 <P>\r
725 TCP es una alternativa mejor, porque ya contiene protección contra información que es perdida, no como UDP. \r
726 \r
727 \r
728 <P>\r
729 Así que nosotros establecemos dos conexiones. Una para los datos cifrados de \r
730 VPN, y una para la otra información, los meta-datos. Aquí, llamamos a la segunda \r
731 conexión la meta-conexión. Podemos estar ahora seguros que la meta-información no se pierde en el camino a la otra computadora.\r
732 \r
733 \r
734 <P>\r
735 <A NAME="IDX9"></A>\r
736 <A NAME="IDX10"></A>\r
737 Como con cualquier comunicación, debemos tener un protocolo, para que todos \r
738 sepan como comunicarse y cómo se debe reaccionar. Como tenemos dos conexiones, \r
739 también tenemos dos protocolos. El protocolo usado para los datos de UDP es el "data-protocolo" y el otro es el "meta-protocolo".\r
740 \r
741 \r
742 <P>\r
743 La razon por la que no se usa TCP para ambos protocolos es que UDP es mucho mejor para encapsulación, includo mistra este es menos confiable. El problema real es que cuando TCP es usado para encapsular un stream TCP que esta sobre la red privada, para cada paquete enviado habria tres ACK's enviados en lugar de uno. Aun mas, si se da un timeout, ambos TCP streams serian sencibles al timeout, y ambos reenviarian los paquetes.\r
744 \r
745 \r
746 \r
747 \r
748 <H2><A NAME="SEC22" HREF="tinc_toc-es.html#TOC22">Algo de cifrado en tinc y otros problemas de seguridad relacionados. </A></H2>\r
749 \r
750 <P>\r
751 <A NAME="IDX11"></A>\r
752 <A NAME="IDX12"></A>\r
753 tinc consiguio su nombre de "TINC", iniciales de There Is No Cabal (Allí No Hay \r
754 Conspiración); el hubo/hay de la Conspiración alega a una organización que se decía que tenia ojos en Internet. Como esto es exactamente lo que usted <EM>no</EM> quiere, nombramos al proyecto tinc después de TINC. \r
755 \r
756 \r
757 <P>\r
758 <A NAME="IDX13"></A>\r
759 Pero para ser "inmune" a las escuchas secretas, usted tendrá que cifrar sus \r
760 datos. Como tinc es un demonio VPN Seguro (SVPN), hace eso exactamente: cifrar. \r
761 \r
762 \r
763 <P>\r
764 Este capítulo es una mezcla de ideas, razonamientos y explicaciones, por favor no lo tome demasiado en serio. \r
765 \r
766 \r
767 \r
768 \r
769 <H3><A NAME="SEC23" HREF="tinc_toc-es.html#TOC23">Manejo de Llaves</A></H3>\r
770 \r
771 <P>\r
772 <A NAME="IDX14"></A>\r
773 Usted no puede enviar simplemente una llave de cifrado privada a su par, \r
774 porque alguien podría estar escuchando. De modo que tendrá que negociar sobre una llave compartida pero confidencial. Una manera de hacer esto es usar el protocolo de "Intercambio de Llaves Diffie-Hellman" (<A HREF="http://www.rsa.com/rsalabs/faq/html/3-6-1.html">http://www.rsa.com/rsalabs/faq/html/3-6-1.html</A>). \r
775 La idea es como sigue. \r
776 \r
777 \r
778 <P>\r
779 Usted tiene dos participantes A y B que quiere estar de acuerdo sobre una llave de cifrado confidencial compartida. Ambas parte tienen algún número primo grande p y un generador g. Estos números pueden conocerse al mundo externo, y pueden ser incluidos en la distribución de la fuente. \r
780 \r
781 \r
782 <P>\r
783 <A NAME="IDX15"></A>\r
784 Ambas partes generan una llave confidencial entonces. A genera a, y calcula g^a \r
785 mod p. Este es entonces mandado a B; mientras B calcula g^b mod p, y transmite este a A. a y b deben ser mayores que p-1. \r
786 \r
787 \r
788 <P>\r
789 Estas llaves privadas se generan en el inicio, y ellas no se cambian mientras la \r
790 conexión existe. Un posible rasgo en el futuro es cambiar las llaves dinámicamente, todas las horas por ejemplo. \r
791 \r
792 \r
793 <P>\r
794 Ambas partes calculan  g^ab mod p = k, k es la nueva llave compartida, pero \r
795 secreta. \r
796 \r
797 \r
798 <P>\r
799 Para obtener un k importante de una longitud suficiente (128 bits en nuestro vpnd), p debe tener 2^129-1 o más. \r
800 \r
801 \r
802 \r
803 \r
804 <H3><A NAME="SEC24" HREF="tinc_toc-es.html#TOC24">Autenticación</A></H3>\r
805 \r
806 <P>\r
807 <A NAME="IDX16"></A>\r
808 Como el protocolo de Diffie-Hellman es en sí mismo vulnerable al "el ataque del \r
809 hombre-en-el-medio," nosotros debemos introducir un sistema de autenticación. \r
810 \r
811 \r
812 <P>\r
813 Nosotros permitiremos que A transmita un passphrase que también conoce B \r
814 cifrado con g^a, antes que A le envíe esto a B. De esta manera, B puede verificar si A realmente es A o simplemente alguien más.\r
815 \r
816 \r
817 <P>\r
818 <A NAME="IDX17"></A>\r
819 Este passphrase deben ser de 2304 bits para un sistema de cifrado simétrico. Pero como un sistema asimétrico es más seguro, nosotros podríamos hacerlo con 2048 bits. Esto sólo sirve si el passphrase es muy el azar. \r
820 \r
821 \r
822 <P>\r
823 Estos passphrases podrían guardarse en un archivo solo leíble por el root; ej. \r
824 <TT>`/etc/vpn/passphrases'</TT>.\r
825 \r
826 \r
827 <P>\r
828 La única cosa que necesita tener en cuidado es cómo A le anuncia su passphrase a \r
829 B. \r
830 \r
831 \r
832 \r
833 \r
834 <H3><A NAME="SEC25" HREF="tinc_toc-es.html#TOC25">Protegiendo sus datos</A></H3>\r
835 \r
836 <P>\r
837 Ahora nosotros hemos escondido nuestros datos firmemente. Pero un cracker \r
838 malévolo todavía puede molestarnos alterando los datos cifrados al azar que el intercepta. \r
839 \r
840 \r
841 \r
842 \r
843 <H1><A NAME="SEC26" HREF="tinc_toc-es.html#TOC26">Sobre Nosotros</A></H1>\r
844 \r
845 \r
846 \r
847 <H2><A NAME="SEC27" HREF="tinc_toc-es.html#TOC27">Informacion de Contacto</A></H2>\r
848 \r
849 <P>\r
850 La página principal de tinc está en <A HREF="http://tinc.nl.linux.org/">http://tinc.nl.linux.org/</A>, este servidor se localiza en los Países Bajos. \r
851 \r
852 \r
853 <P>\r
854 Nosotros tenemos un canal IRC en la red IRC  de Open Projects. Conectarse a \r
855 <A HREF="http://openprojects.nu/services/irc.html">irc.openprojects.net</A>, y entrar en el canal #tinc. \r
856 \r
857 \r
858 \r
859 \r
860 <H2><A NAME="SEC28" HREF="tinc_toc-es.html#TOC28">Autores</A></H2>\r
861 \r
862 <DL COMPACT>\r
863 \r
864 <DT>Ivo Timmermans (zarq) (<A HREF="mailto:itimmermans@bigfoot.com">itimmermans@bigfoot.com</A>)\r
865 <DD>\r
866 El codificador/hacker principal y el que mantiene el paquete. \r
867 \r
868 <DT>Guus Sliepen (guus)\r
869 <DD>\r
870 Originador de todo esto, coautor. \r
871 \r
872 <DT>Wessel Dankers (Ubiq)\r
873 <DD>\r
874 Ofuscador general del código. \r
875 \r
876 </DL>\r
877 \r
878 <P>\r
879 Gracias a: Dekan, Emphyrio, vDong \r
880 \r
881 \r
882 <P>\r
883 Saludos a: braque, Fluor, giggles, macro, smoke, tribbel \r
884 \r
885 <P>\r
886 Traductor\r
887 <P>\r
888 Carrasco Matias (<A HREF="mailto:mcarrasco@softwork.com.ar">mcarrasco@softwork.com.ar</A>)\r
889 \r
890 \r
891 <H1><A NAME="SEC29" HREF="tinc_toc-es.html#TOC29">Indice de Conceptos</A></H1>\r
892 \r
893 <P>\r
894 Ir a:\r
895 <A HREF="#cindex_a">a</A>\r
896 -\r
897 <A HREF="#cindex_c">c</A>\r
898 -\r
899 <A HREF="#cindex_d">d</A>\r
900 -\r
901 <A HREF="#cindex_e">e</A>\r
902 -\r
903 <A HREF="#cindex_m">m</A>\r
904 -\r
905 <A HREF="#cindex_p">p</A>\r
906 -\r
907 <A HREF="#cindex_s">s</A>\r
908 -\r
909 <A HREF="#cindex_t">t</A>\r
910 -\r
911 <A HREF="#cindex_v">v</A>\r
912 <P>\r
913 <H2><A NAME="cindex_a">a</A></H2>\r
914 <DIR>\r
915 <LI><A HREF="tinc-es.html#IDX16">ataque hombre-en-el-medio</A>\r
916 </DIR>\r
917 <H2><A NAME="cindex_c">c</A></H2>\r
918 <DIR>\r
919 <LI><A HREF="tinc-es.html#IDX12">Cabal</A>\r
920 <LI><A HREF="tinc-es.html#IDX15">Clave secreta</A>\r
921 <LI><A HREF="tinc-es.html#IDX5">Conexión</A>\r
922 </DIR>\r
923 <H2><A NAME="cindex_d">d</A></H2>\r
924 <DIR>\r
925 <LI><A HREF="tinc-es.html#IDX9">data-protocol</A>\r
926 <LI><A HREF="tinc-es.html#IDX14">Diffie-Hellman</A>\r
927 </DIR>\r
928 <H2><A NAME="cindex_e">e</A></H2>\r
929 <DIR>\r
930 <LI><A HREF="tinc-es.html#IDX8">encapsulación</A>\r
931 <LI><A HREF="tinc-es.html#IDX6">ethertap</A>\r
932 </DIR>\r
933 <H2><A NAME="cindex_m">m</A></H2>\r
934 <DIR>\r
935 <LI><A HREF="tinc-es.html#IDX10">meta-protocol</A>\r
936 </DIR>\r
937 <H2><A NAME="cindex_p">p</A></H2>\r
938 <DIR>\r
939 <LI><A HREF="tinc-es.html#IDX17">passphrase</A>\r
940 <LI><A HREF="tinc-es.html#IDX1">privado</A>\r
941 </DIR>\r
942 <H2><A NAME="cindex_s">s</A></H2>\r
943 <DIR>\r
944 <LI><A HREF="tinc-es.html#IDX13">SVPN</A>\r
945 </DIR>\r
946 <H2><A NAME="cindex_t">t</A></H2>\r
947 <DIR>\r
948 <LI><A HREF="tinc-es.html#IDX11">tinc</A>\r
949 <LI><A HREF="tinc-es.html#IDX4">tincd</A>\r
950 <LI><A HREF="tinc-es.html#IDX7">Tipo de Marco</A>\r
951 </DIR>\r
952 <H2><A NAME="cindex_v">v</A></H2>\r
953 <DIR>\r
954 <LI><A HREF="tinc-es.html#IDX2">virtual</A>, <A HREF="tinc-es.html#IDX3">virtual</A>\r
955 </DIR>\r
956 \r
957 \r
958 <P><HR><P>\r
959 </BODY>\r
960 </HTML>\r