Nueva estructura de red. PFSense

Tenemos la intención de crear otro segmento de red para otras máquinas nuevas, queremos que esta sección se conecte a una misma red interna llamada "aula116"y esté conectado a un router diferente.

Este router recibirá una IP automática del servidor DHCP, y proporcionará una IP automática con rango de 10.0.116.101 a 10.0.116.131 pero no tendrá NAT, puesto que nuestra intención es que las máquinas de esta sección puedan enviar información a través de la red local a máquinas de otras secciones de red (con NAT enmascararía la dirección y no nos interesa de cara a la red local).

Vamos a hacer una explicación completa de cada elemento de la red. En conjunto, este es el esquema completo de la red que deseamos tener.

Empezaremos con las características del segmento de red antiguo, que son las máquinas que hicimos en las primeras entradas.

- El servidor DNS tiene 2 tarjetas de red, una conectada a la red interna aulaser  con IP fija 192.168.100.254 máscara 24 y la otra en DHCP, esta será la puerta al exterior de toda la red local.

En Webmin, habremos configurado los parámetros necesarios para que este funcione como
DHCP, accedemos a  Webmin/DHCP Server/Manually Edit Configuration

Nos aparecerá un fichero, en el cual borraremos toda la información e introduciremos lo siguiente:

- El cliente estará configurado como hicimos en entradas anteriores

- El servidor del nuevo segmento de red, que es el router PFSense, lo configuraremos de la siguiente forma:


2. Set interfaces IP address.

Introduciremos la IP de la tarjeta de red que da a la red interna del nuevo segmento de red (10.0.116.254).

Permitiremos DHCP en el router para que asigne direcciones automáticas al nuevo segmento de red.

Introduciremos el rango de IPs que queremos que asigne a los equipos que se conecten a este segmento.

Y finalizaremos la configuración.

Ya habremos configurado el router PFSense, por el momento.



- Respecto al Portatil, es una máquina clonada del cliente que configuramos en las primeras prácticas, con una mac diferente que tendremos que conocer y con la tarjeta de red puesta en red interna y configurada para que busque automáticamente la IP a asignar (automática DHCP).

Práctica: Montando servidores. Sun y Marte

En esta práctica montaremos un servidor principal en una máquina cliente llamada "marte" y un servidor secundario que contendrá una copia de la información del servidor principal, la cual denominaremos "sun". Además se instalarán dos nodos adheridos al servidor principal con diferentes servicios, uno de los nodos se llamará "earth" y el otro "jupiter".

Para iniciar esta práctica necesitaremos dos máquinas virtuales con ubuntu o derivados, una de ellas con dos tarjetas de red; tener instalado Webmin y BIND y haber habilitado forwarding tal como hemos hecho en posts anteriores, con la diferencia de que las IP's para el servidor y el cliente del otro post las cambiaremos por las de sun y marte respectivamente, tal como aparece en la imagen.

MARTE


Empezamos con la máquina marte abriendo Webmin desde el explorador (localhost:10000) y entramos en Servers/BIND DNS Server. Entre las múltiples opciones del menú Global Server Options nos interesa empezar con el que tiene aspecto de mando, el llamado Setup RNDC, esta opción nos permite actualizar las zonas sin necesidad de reiniciar cada vez el BIND. 

Pulsaremos Yes, Setup RNDC para aplicarlo.

Una vez terminado este paso toca empezar con las zonas maestras. En el menú principal de BIND hay un apartado que toquetearemos bastante de ahora en adelante situado al inferior del menú, Existing DNS Zones.

 Vamos a crear la primera zona maestra, desde Create master zone se abrirá una ventana 

Introduciremos los datos de la zona maestra (marte) tal como figura en la pantalla de arriba, crearemos la zona y nos aparecerá el nuevo menú perteneciente a esta zona, donde introduciremos los datos de la zona secundaria también llamada sun.

Haremos click en Name Server e introduciremos lo siguiente:

El punto al final del nombre de servidor indica que es un FQDN.

Una vez creadas las dos zonas principales, volveremos al menú principal de BIND y comprobaremos que aparece solarsystem.edu en la sección de Zonas.

Ahora crearemos una zona inversa, volveremos a Create master zone como en pasos anteriores e introducimos lo siguiente:

Al igual que con la anterior creación de zona, nos aparecerá el menú de esta y de nuevo entraremos en Name Server.

El @ indica que estamos hablando de la zona a la que pertenece, será necesario conocer este término para más adelante.

Si nos fijamos en la dirección de abajo, vemos que la dirección aparece invertida.

Ahora iremos al menú principal de BIND observaremos que ya tenemos creadas tanto la zona solarsystem.edu como la zona 10.116.





AGREGAR DIRECCIONES DE RESOLUCIÓN DIRECTA


Ahora que tenemos la estructura principal de los servidores principales, toca agregar las direcciones de resolucíón directa. Iremos a la zona solarsystem.edu y entraremos en Address.

Introduciremos los datos como aparece en la imagen. Recordad hacer click en "Yes (and replace existing)" y crearemos. Seguiremos así con las tres direcciones restantes:

Ya tenemos las cuatro direcciones introducidas satisfactoriamente.





ASOCIAR SERVICIOS 


Para continuar necesitaremos acudir de nuevo a la zona maestra solarsystem y entrar en la opción "Name Alias".

La zona Name Alias nos permite asociar un servicio con un nombre (que es una dirección al mismo tiempo).

Dicho esto, nuestro trabajo ahora es relacionar los cinco servicios que aparecen en el esquema del principio con su respectivo nombre (dns1 para marte; dns2 para sun; www y ftp para jupiter; smtp para earth) de la siguiente forma:

MAIL SERVER


Estamos muy cerca de acabar con la configuración de la zona solarsystem.edu, el siguiente paso es hacer que el servicio de MX de earth funcione.

El registro MX hace referencia a los servidores a los que enviar un correo electrónico, y a cuál de ellos debe ser enviado primeramente, por orden de prioridad.

En la zona solarsystem.edu, donde hemos metido todos los registros anteriores, acudiremos al apartado Mail Server e introduciremos lo siguiente:

Priority debe ser un número no nulo.


ya tenemos todos los registros de las zonas correctamente, toca transferir la zona, pero primero permitiremos que esta pueda hacerlo.


En la zona solarsystem.edu pulsaremos esta opción

Nos aparecerán las opciones de zona, donde le pediremos que nos permita la transferencia desde 10.116.255.254

Ya tenemos los registros y la zona preparada, la zona solarsystem.edu quedará de la siguiente manera:

OPTIMIZAR ZONAS


Nos interesa modificar una serie de parámetros para permitir una operabilidad más óptima en caso de que hayan cambios en un futuro, por eso vamos a cambiar los registros de zona a continuación.

Primero acudiremos a la opción Edit Recors File del menú de la zona solarsystem.edu, aparecerá el siguiente archivo:

Cambiaremos el archivo para que resulte así:

Y del mismo modo, modificaremos el archivo de zona de 10.116 desde el menú de BIND→10.116→Edit Records File.

El hecho de que el archivo tenga una extensión .rev nos indica que contiene direcciones inversas, continuaremos como hemos hecho con el otro archivo de zona y haremos que quede así:

Si queremos verificar que lo hemos hecho correctamente bastará con acudir a Check Records y nos dirá si está todo en orden.

DNSSEC


El siguiente paso será volver al menú prncipal de BIND y entrar en la opción DNSSEC Verification.

 Tanto a la opción "DNSSEC ENABLED?" como "DNSSEC response validation enabled?" le diremos que no.

¡Ya está! sólo nos queda actualizar la configuración de red que teníamos para que la máquina tenga conexión tanto con la máquina sun como con internet.

Lo configuraremos de la siguiente forma:

SUN

 El trabajo que tendremos que hacer en esta máquina es mucho menos laborioso, puesto que sólo necesitamos crear dos zonas esclavas y transferir las zonas, además de configurar las tarjetas de red de nuevo y denegar el DNSSEC.

Primeramente accederemos a Webmin→Servers→BIND  y haremos click en Create Slave Zone en la zona inferior de la página.

La primera zona será de resolución directa y la crearemos tal que así:

 Como ya conocemos todo el proceso no me andaré por las ramas. Crearemos otra zona pero esta vez de resolución inversa.

 

En los menús de cada zona esclava habrá una opción diferente a las zonas maestras, llamada Test Zone Transfer, le daremos y si todo sale bien las zonas quedarán transferidas.


Nuestras tarjetas de red tienen que ser modificadas, para la red WAN la configuraremos así:

Y en la red  LAN sólo cambiaremos estos parámetros:

Una vez configurado, reiniciaremos BIND  y haremos la misma configuración que hicimos con DNSSEC en la máquina de marte.




COMPROBAR FUNCIONAMIENTO




Ahora necesitamos saber si las máquinas están bien configuradas y responden correctamente a nuestras peticiones. Si todo va bien al introducir los siguientes comandos en los terminales de estas deberían dar una respuesta parecidaa esta:


Sun> ping marte

Sun> dig solarsystem.edu MX

Marte> ping sun

Marte> dig -x 10.116.1.205



Ya tenemos nuestros servidores montados correctamente.

BIND

BIND es el servidor DNS más comunmente usado en internet. El servidor BIND se encargará de gestionar  mantener de forma distribuida las direcciones de internet y los nombres de dominio.

Para instalar nuestro servidor DNS desde la máquina lubuntu acudiremos al gestor de paquetes synaptic y escribiremos BIND9 en el buscador, aparecerá el programa deseado, lo marcaremos para instalar y pulsaremos "aplicar".

Una vez instalado, acudiremos a Webmin con el buscador y refrescaremos los módulos (opción en la barra de la izquierda) para que nos aparezca la aplicación recién instalada en Servers>BIND DNS Server.

Ya tenemos instalada nuestra herramienta principal, desde la cual podremos asignar zonas, configurarlas a nuestro placer y transferirlas como veremos en las siguentes entradas.