Experimentando con VyOS – Parte 1

Buscando en la web una solución para seguridad perimetral Opensource (Si, algo que pudiéramos usar para sustituir un Fortigate), encontré un Sistema Operativo de Red basado en Linux, con software para ruteo (RIP, OSPF, BGP, etc..), Firewall, Web-Proxy, VPN (IPSec & OpenVPN) entre otras cosas…

Podemos decir que este Sistema Operativo es relativamente nuevo, ya que nace en el año 2013 como un ‘Fork’ de Vyatta el cual deja de ser libre después de ser adquirido por la empresa Brocade.

Después de una breve historia, llegue a este Software debido a que buscaba un SO que tuviera prestaciones parecidas a un UTM, el cual pudiera adoptar y participar de algún modo en su desarrollo.

Busque varias soluciones, pero ninguna me lleno el ojo, ya sea la Web GUI o la CLI, ya que vengo del mundo del CLI con Cisco y Web GUI/CLI de Fortigate.

Lo más cercano y que me agrado su desarrollo fue IPFire, su Web-Proxy transparente y la manera de hacer las reglas del Firewall, que incluía IPS e IDS, AV en Web, etc… bastante mono, pero no me convencía al 100%.

Al seguir buscando me encontré con VyOS, el cual me enamoró al ver su CLI tan limpia, que podía se scripteable, importar, exportar y que contiene todo para realizar routing tanto protocolos IGP como EGP.

Maneja DNS Forwarding, DHCP, Web-Proxy, Stateful Firewall, Basado en Zonas, API para Scriptear ;).

En realidad es una Distro con muchas prestaciones, ya que esta basada en Debian, por lo que es relativamente sencillo manejar los paquetes, actualizar, agregar, quitar, etc…

Es por eso que reemplace el IPFire en mi Alix por un VyOS 1.1.7.

La guía fue la siguiente, será en modo rápido:

  1. Crear una maquina virtual en VMware workstation y usar la CF Card como Physical Disk 😉
  2. Correr el Live de VyOS en x64, editar /opt/vyatta/sbin/install-system y buscar ROOT_FSTYPE y cambiar de ext4 a ext2.
  3. En el Live OS, ejecutar ‘/opt/vyatta/sbin/install-system’, en mi caso deje todo el esquema de partición en default.
  4. (Opcional) Montar el sistema de archivo de la CF en el Live OS, editar /{mountdir}/boot/grub/grub.cfg y cambiar todas las ocurrencias de ‘root=UUID=…’ por ‘root=/dev/sda1’, así podemos hacer una imagen de respaldo de la CF y usarla en cualquier otra CF en caso de que hubiera un problema.
  5. Apagamos el SO y removemos la CF, enseguida la instalamos en el equipo Alix, en este caso .2.
  6. La velocidad de la consola serial de VyOS es 9600 baudios, por lo que hay que cambiar la consoal de Alix a 9600 para tener visibilidad de todo, para esto al iniciar el Alix presionar ‘s’ en la pantalla de revisión de memoria, enseguida ‘9’, ‘Quit’ y ‘Y’ para finalizar.

Si realizamos todo bien tendremos VyOS funcionando, en esta primera parte solo dejare los comandos básicos.

Tweaks para VyOS en CF

Para no escribir tanto en nuestra CF y no se reduzca tan rápido su tiempo de vida, usaremos la siguiente configuración:

set system syslog console facility all level warning
set system syslog global facility protocols level warning
Configuración de Interfaces
show interfaces ethernet # Muestra las interfaces y su estatus (UP,DOWN,IP)
set interfaces ethernet eth1 description 'Línea descriptiva de la interfaz'
set interfaces ethernet eth1 address 'dhcp' # Config para obtener una IP por DHCP
set interfaces ethernet eth2 address '172.20.2.1/24' # Config de IP estática.
Habilitar servicio de SSH
set service ssh port '223'
loadkey vyos publickey.pub
Rutas estáticas
set protocols static route 172.20.0.0/16 next-hop '172.20.1.1'

Por ahora es todo, en los siguientes artículos hablare más de los servicios que podemos manera y como configurarlos.

Leave a Reply

Your email address will not be published. Required fields are marked *