CONEXIN ESCRITORIO REMOTO TNEL VPN

Vamos a ver cmo establecer una conexin segura a travs de Internet. Esto nos permitir acceder a los recursos de una mquina remota, y en particular veremos cmo conectar tambin el Escritorio remoto a esa mquina.

QU ES VPN?
VPN es un tnel seguro a travs de una comunicacin tcp/ip. Es decir, crea una nueva conexin tcp/ip encapsulada en la conexin normal y encriptada. Por tanto, las mquinas dentro del tnel tienen otra direccin IP. Este ultimo prrafo debemos recordarlo aunque de momento no tenga mucho sentido para nosotros: lo veremos en detalle ms adelante. Vamos a ver tanto en XP como en Vista, cmo crear el servidor de tnel VPN y cmo se deben configurar las mquinas cliente para acceder a dicho Tnel. Para ver este ejemplo, he creado dos mquinas virtuales, tal y como puede verse en las imgenes siguientes. En este caso son dos XP. Aunque alguno de nuestros sistemas sea Vista, leed este ejemplo de XP con atencin porque nos servir para centrar ideas:

Va a hacer de servidor de tnel la mquina anterior: VPNXP2 (172.16.0.21)

Esta mquina har las funciones de Cliente.

CONFIGURACIN DEL SERVIDOR (EN XP): En Panel de Control, Conexiones de Red, creamos una nueva conexin:

A continuacin nos mostrar todas las conexiones Dial-Up si las tuvisemos, conexiones serie, paralelo, Bluetooth, etc. No seleccionamos ninguna de ellas ya que nos vamos a conectar por nuestro cable de red en la conexin a Internet.

A continuacin nos mostrar los usuarios de nuestro equipo. Seleccionaremos qu usuarios se pueden conectar en remoto a nuestra mquina. Dichos usuarios deben tener contrasea.

Nos mostrar la lista de protocolos y servicios tcp/ip. Puede configurarse, pero tal y como la propone es correcta para lo que queremos hacer (posteriormente todas estas opciones podrn, adems, modificarse).

Esto nos crear el icono de la conexin entrante. Si pinchamos sobre l con el botn derecho / Propiedades, podremos ver y modificar todo lo seleccionado anteriormente:

Recordemos, que un Tnel nos establece una conexin "dentro" de nuestra conexin a Internet. Esta "conexin" es segura al estar encriptado, pero como tal conexin deber tener direccin IP, mscara, etc. Vamos a hacer que nuestra mquina servidora de Tnel sea servidor de direcciones IP. Para ello, dentro de las propiedades de conexin, seleccionamos la pestaa de Funciones de Red, seleccionamos Protocolo de Internet (TCP/IP) y botn propiedades:

Y seleccionamos un rango de direcciones que son las que nos va a dar este servidor. Debe ser un rango de direcciones de las reservadas como direcciones "locales". Es decir, por ejemplo:

La primera direccin no debe olvidrsenos: ser la direccin del servidor de Tnel cuando establezcamos la conexin remota. Es decir cuando nos refiramos desde la mquina remota a la IP 192.168.133.2 nos estamos refiriendo a la direccin del servidor dentro del Tnel.

Debido a que queremos acceder a esa mquina mediante escritorio remoto, deberemos activarlo: botn derecho en Mi PC, Propiedades, pestaa "Remoto":

Con esto hemos terminado la configuracin de server. NOTA: El router ADSL de la mquina remota, debe permitir el paso del puerto 1723 TCP a la mquina que va a hacer de servidor. Debe configurarse por tanto dicho router. Si tenemos un cortafuegos o una solucin antivirus suite de seguridad, hay que crear una regla para permitir dicho puerto.

CONFIGURACIN DEL CLIENTE (EN XP):

En las mquinas que vayan a ser clientes creamos una nueva conexin:

Aunque luego podremos modificarlo, en este punto debemos dar la IP de la mquina remota a la cual nos vamos a conectar. Hay que dar la direccin de Internet es decir la IP externa del router en el caso de conexin al exterior, no la IP del PC. El router remoto se encargar, tal y como hemos configurado antes, de hacer la translacin de direcciones (mapeo o NAT) a la mquina interna. (En nuestro ejemplo, que son mquinas internas de nuestra subred, damos simplemente su IP).

Ya podramos realizar la conexin en este punto.

Fijmonos que todo lo anterior, podemos ahora reconfigurarlo con el botn derecho en la conexin / propiedades.

IMPORTANTE: Funcionamiento de la nueva red (una conexin establecida indica siempre una nueva red) Muchas veces omos un problema con respecto al VPN. Frases que dicen "cuando me conecto por VPN pierdo mi conexin por la red local e incluso no puedo navegar" Esta frase, incorrecta en su fondo, indica que quien est haciendo la consulta desconoce el funcionamiento del tcp/ip. Recordemos que cuando se establece una conexin se reconfigura la tabla de rutas: aparece una nueva interfaz de red activa con su direccin IP. cul es el funcionamiento del tcp?: las rutas desconocidas se envan a la puerta de enlace por defecto, y si hubiese ms de una puerta de enlace se enva a la de menos mtrica. Pero: al realizar esta nueva conexin se nos enva desde el servidor VPN una IP para esa conexin, con su mscara y puerta de enlace! Si queremos desactivar dicha puerta de enlace (ignorar la que nos enva el servidor) y seguir con la nuestra y por tanto no perder la conectividad a Internet ni al resto de la red, debemos configurar en las propiedades de la conexin lo siguiente: quitar la marca a "Usar puerta de enlace predeterminada en la red remota":

Conexin por Escritorio remoto En el ejemplo que hemos puesto anteriormente, desde la mquina cliente una vez establecida la conexin podemos ejecutar en una ventana de comandos:

route print y veremos la IP nueva asignada, y sobre todo fijaos en las puertas de enlace (destino de red: 0.0.0.0 y sus mtricas, esto es a lo que nos referamos en una conexin por defecto sin eliminar la puerta de enlace remota).

Evidentemente la conexin debe ser a la IP del server dentro del tnel: la primera IP del rango que habamos configurado en el tnel. Conexin efectuada:

SERVIDOR DE VPN EN VISTA Pongo las pantallas correspondientes, pero se deben seguir los textos y comentarios dados para XP. Es importante. Acceder a Panel de Control / Centro de Redes y Recursos compartidos y seleccionar Administrar Conexiones de Red. Al abrirlo, si no mostrase la barra de Men superior, configurar en "Organizar" para que muestre el men ya que es necesario usar el Men Archivo. y seleccionar la creacin de conexiones entrantes.

CLIENTE DE VPN EN VISTA Se realizar Creando una nueva conexin en el Centro de Redes y recursos compartidos.

Y en Propiedades, como siempre, podremos modificar cualquiera de las configuraciones y sobre todo, configurar el envo o no de la puerta de enlace predeterminada (ver su significado en la parte anterior de Cliente de VPN para XP)

--

Jos Manuel Tella Llop jmtella@compuserve.com

16 - agosto - 2008
[Tutorial] Montar una VPN entre dos XP
por Guoper 07 Jun 2005 16:38

Ultima revisin: 07/06/2005

I. INTRODUCCION.Este breve tutorial describe los pasos que he seguido para conseguir conectar el ordenador de mi casa a un ordenador del curro. Ambas mquinas, domicilio y trabajo, tienen instalado XP pro y estan conectadas a un router ADSL. Espero que le sea util a alguno de ustedes. XP permite ser configurado como un servidor de VPN a travs del protocolo PPTP. Es algo limitadillo pues slo admite una conexin entrante y sirve bsicamente para acceder a los recursos que tengamos compartidos en ese pc. Pero para nosotros, usuarios domsticos, nos basta para poder entrar en nuestro pc de forma remota. II. CONFIGURANDO LA PARTE DEL SERVIDOR.Como ya he comentado la parte del servidor consta de un Xp Pro y un router ADSL (en mi caso he utilizado un Zyxel). Antes de entrar a configurar nada lo primero que hay que tener en cuenta es que para poder acceder a travs de la red desde una ubicacin remota a nuestro pc hay que tener ste ltimo localizado en Internet. Esto se consigue mediante una IP pblica fija, pero lo ms normal en estos tiempos que corren es que nuestro ISP nos haya asignado una IP dinmica y tengamos que recurrir a un servicio de DNS dinmicas. El funcionamiento de estas webs consiste en registrar nuestro pc en estos servicios con un nombre de host y enviarles la IP que nos asigna nuestro ISP en el momento de conectar el router de forma que dicha IP queda asociada al nombre de host que hemos elegido. Este envio se hace de forma automtica y transparente. Existen varios proveedores que facilitan este servicio, mi caso he tenido que escoger forzosamente DynDNS.org puesto que es el nico que permite ser configurado en el router Zyxel. El registrarse es muy sencillo: entras en su pgina, escoges crear una nueva cuenta, asignas un nombre de host a tu pc (del estilo pepito.dyndns.org) un usuario y una contrasea por si quieres modificar la configuracin y aceptas. Automticamente te mandan a tu correo un link en el que debes pinchar antes de 48 horas para confirmar los datos que has registrado y desde ese momento tu IP pblica queda asociada a pepito.dyndns.org, algo que puedes comprobar

fcilmente haciendo unping pepito.dyndns.org. Importante: Tal como recogen en sus comentarios tanto Cliff como Poc, es casi imprescindible descargar algn cliente que se encarge de refrescar la asociacin entre nombre de host e IP. Yo no lo hize y al tercer dia se me cay la conexin con el servicio de DNS dinmica; pero desde que descargu DynDns Updater desde la propia web de dyndns.org no he vuelto a tener problemas de ese tipo. Bien, ahora tenemos que configurar el router abriendo el puerto TCP 1723 y redirigindolo hacia la IP del pc que va a hacer de servidor, esta operacin se hace exclusivamente en el caso de que tengamos el router en modo multipuesto (para saber la IP del pc servidor puedes ejecutar el comando ipconfig). En el caso del Zyxel entras via telnet o mediante tu navegador favorito a la IP que tiene el router y accedes a Nat Setup -> NAT Server Sets -> Server Set 1. En el campo Star Port No. introducimos el puerto que queremos abrir (1723) y como no necesitamos ms, pues escribimos el mismo puerto en End Port No.. Finalmente en IP Address se mete la IP del XP que va a hacer de servidor. En el Zyxel no hay que hacer ms pues me imagino que ya entiende que vamos a usar PPTP y se encarga de permitir el uso del protocolo GRE. GRE es el protocolo por el que se envian los paquetes de la VPN hacia el puerto 47 UDP (supongo que no es una definicin muy ortodoxa porque yo tampoco termino de tenerlo claro del todo). Por lo que he leido parece ser que en otros routers el tema del GRE es un autntico dolor de cabeza y hay que abrirlo como si se tratase de otro puerto, en este caso el 47 UDP Una vez que hemos terminado con el router configuramos la conexin entrante VPN en el XP. Es muy sencillo: como administradores abrimos las Conexiones de Red y picamos sobre la opcin Crear una conexin nueva. Ahora en el asistente marcamos Configurar una conexin avanzada -> Aceptar conexiones entrantes. Cuando nos pida como se va a establecer la conexin podemos escoger por modem o, dejndolo en blanco, por Internet que es la opcin que debemos elegir si vamos a conectarnos a travs de una ADSL que, dicho sea de paso, es lo ms recomendable. A continuacin marcar Permitir conexiones virtuales privadas y dar permiso de acceso remoto a las cuentas de usuarios que deseemos. Con esa cuenta de usuario autorizado es con la que deberemos logearnos cuando hagamos la conexin desde el cliente. Ahora marcar el protocolo TCP/IP, Compartir archivos y carpetas y Cliente de redes Microsoft. Entrar a las propiedades del protocolo TCP/IP y marcar Permitir a quienes llaman acceso a mi red de area local y escoger la forma en que el servidor asignar la IP al cliente, bien por DHCP o bien

especificando un rango de direcciones TCP/IP, siendo esta ltima modalidad la que a mi ms me gusta. Hay que tener en cuenta dos cosas: primero, que no pongas ms de dos IPs en el rango puesto que slo vas a poder acceder con un pc remoto a la vez. segundo, asegrate que la IP que pongas sea coherente con la de la red remota a la que vas a acceder puesto que si no no podrs ver sus recursos compartidos. Finalmente y para acabar con el servidor, hay que acordarse de que en el caso de que tengamos un firewall debemos permitir conexiones entrantes al puerto 1723 TCP y permitir trfico tanto de entrada como de salida al protocolo 47 (GRE). Con Kerio no he tenido ningn problema en crear ambas reglas. III. CONFIGURANDO EL CLIENTE.Hemos considerado que el cliente, o sea el pc que va a conectar con el XP que acabamos de configurar es tambin otro XP. Por tanto ejecutamos en este XP cliente el asistente para crear una conexin nueva y marcamos la opcin Conectarse a la red de mi lugar de trabajo. A continuacin escojemos el tipo de conexin que en nuestro caso al conectarnos por ADSL serVPN y le damos como IP del servidor el nombre del host que escogimos en dyndns.org Igualmente, si tenemos un firewall en el cliente, debemos permitir el trfico de salida hacia el puerto 1723 TCP y trfico tanto de entrada como salida para el protocolo 47 (GRE) Importante: No se nos olvide entrar en el cliente a las propiedades de la conexin VPN que hemos establecido, acceder aPropiedades TCP/IP -> Opciones avanzadas -> General y desmarcar la casilla usar puerta de enlace predeterminada en la red remota. Si no lo hacemos asi probablemente no podamos salir a Internet desde nuestro pc cliente, ya que buscara el router al que esta conectado el pc remoto en lugar del nuestro. Y ya est, es una VPN muy bsica pero VPN al fin y al cabo

Guoper Socio VIP

Mensajes: 5283 Registrado: 26 May 2005 22:32 Ubicacin: HTTP 404

Como crear una red privada virtual (VPN)

Introduccin

Cada vez es ms habitual moverse en escenarios en donde se requiere el acceso a recursos remotos desde cualquier lugar, incluso recursos que no estn disponibles directamente en Internet, pero s en nuestra intranet. Mediante una VPN podemos acceder de forma segura a todos los recursos de nuestra intranet usando una conexin pblica como Internet y trabajabo como si estuvisemos en la red local.

Qu aborda este artculo?

En este artculo abordaremos el tema de las VPN's domsticas, es decir, veremos como con Windows 2000 y XP es posible crear rpidamente redes privadas que nos permiten compartir nuestros recursos con otros usuarios de forma segura.

Qu no encontrars en este artculo?

No analizaremos las VPN's a fondo, simplemente abordamos una solucin sencilla para usuarios domsticos. No trabajaremos con ningn servidor VPN ni de acceso remoto. Ese es tema para otro artculo.

Qu es una VPN?

En pocas palabras una VPN es una red virtual que se crea "dentro" de otra red, como por ejemplo Internet. Generalmente las redes privadas se crean en redes pblicas, en las que se quiere crear un entorno confidencial y privado. La VPN nos permitir trabajar como si estuvisemos en la red local, es totalmente transparente para el usuario.

Una vez establecida la conexin de la red privada virtual los datos viajan encriptados de forma que slo el emisor y el receptor son capaces de leerlos.

Para poder realizar una VPN se necesita un servidor (o host) que espera conexiones entrantes, y uno o varios clientes, que se conectan al servidor para formar la red privada.

Qu podemos hacer con una VPN?

Al permitirnos establecer conexiones seguras entre otros equipos podremos acceder a los recursos del otro equipo de forma segura y confidencial, por ejemplo a impresoras, documentos, servidores de base de datos, aplicaciones especficas, etc.

Cmo funciona una VPN?

Como ya se ha dicho anteriormente se trata de un proceso totalmente transparente para el usuario y para la mayora de las aplicaciones. Funciona exactamente igual que cualquier otra conexin de red, es decir, dentro de la VPN cada equipo tendr una IP, todas las conexiones usando esa IP estarn funcionando dentro de la VPN y sern encriptadas, el usuario simplemente tendr que usar las IPs de la VPN, y no preocuparse de nada ms, el resto ya lo hace el cliente VPN y el servidor VPN.

Cultura general sobre VPN's

Antes de comenzar a trabajar con VPN's es bueno poseer unas nociones bsicas del mundo en el que nos estamos metiendo. Son dos las tecnologas ms utilizadas para crear VPN's, en realidad son diferentes protocolos o conjuntos de protocolos, PPTP y L2TP.

PPTP: Point to Point Tunneling Protocol

PPTP es un protocolo desarrollado por Microsoft y disponible en todas las plataformas Windows. Es sencillo y fcil de implementar pero ofrece menor seguridad que L2TP. En este artculo implementaremos una conexin VPN mediante PPTP usando MS-CHAP v2. Tambin es posible usar PPTP con EAP-TLS para soportar certificados de seguridad.

L2TP: Layer Two Tunneling Protocol

Se trata de un estndar abierto y disponible en la mayora de plataformas Windows, Linux, Mac, etc. Se implementa sobre IPSec y proporciona altos niveles de seguridad. Se pueden usar certificados de seguridad de clave pblica para cifrar los datos y garantizar la ***dad de los usuarios de la VPN.

Comparativa entre PPTP y L2TP

Con PPTP, el cifrado de datos comienza despus de que la conexin se procese (y, por supuesto, despus de la autentificacin PPP). Con L2TP/IPSec, el cifrado de datos empieza antes de la conexin PPP negociando una asociacin de seguridad IPSec. Las conexiones PPTP usan MPPE, un mtodo de cifrado basado en el algoritmo de encriptacin Rivest-Shamir-Aldeman (RSA) RC-4, y usa llaves de 40, 56 o 128 bits. Las conexiones L2TP/IPSec usan Data Encryption Standard (DES), con llaves de 56 bits para DES o tres llaves de 56 bits para 3DES. Los datos se cifran en bloques (bloques de 64 bits para el caso de DES). Las conexiones PPTP requieren slo autentificacin a nivel de usuario a travs de un protocolo de autentificacin basado en PPP. Las conexiones L2TP/IPSec requieren el mismo nivel de autentificacin a nivel de usuario y, adems nivel de autentificacin de mquina usando certificados digitales.

Existen ms diferencias, pero hacer un estudio ms pormenorizado se saldra de la idea inicial de este artculo por lo que lo dejaremos en estas tres diferencias fundamentales.

Caso prctico

La mejor forma de entender y ver como funciona es implementndolo, y eso es lo que haremos a continuacin. Escenario: Dos (o ms) equipos distantes y conectados a Internet quieren compartir sus recursos (ficheros, impresoras, etc.) entre ellos de forma privada y sencilla. Software: Windows XP o 2000, tambin es posible realizar la conexin con equipos con Windows 98 y 95 descargando los ficheros de actualizacin de la web de Microsoft. Solucin: Montar una VPN a travs de Internet entre estos equipos. Necesitamos establecer un equipo como servidor, ste ser el encargado de la autenticacin, el resto de equipos establecern la conexin con l.

Servidor VPN

Vamos al Panel de control, y abrimos la carpeta de "Conexiones de red" y en el men Archivo seleccionamos "Nueva conexin".

Ahora estamos en el "Asistente para conexin nueva". Pulsamos en el botn "Siguiente" para continuar.

Entre las opciones disponibles seleccionamos "Configurar una conexin avanzada", y pulsamos en "Siguiente".

Ahora seleccionamos "Aceptar conexiones entrantes" y pulsamos "Siguiente" para continuar.

En la pantalla "Dispositivos de conexiones entrantes" no seleccionamos ninguno, pues no queremos que se conecten a este equipo haciendo una llamada o usando el puerto paralelo. Pulsamos en "Siguiente".

En la pantalla "Conexin de red privada virtual (VPN) entrante" debemos seleccionar "Permitir conexiones virtuales privadas". Pulsamos en "Siguiente".

En la pantalla "Permisos de usuarios" seleccionamos los usuarios que podrn conectarse a nuestro equipo usando la VPN. Desde esta misma pantalla podremos crear nuevos usuarios. Pulsamos en "Siguiente".

Ahora debemos seleccionar los protocolos que habilitaremos en la VPN. Como queremos compartir ficheros e impresoras marcaremos "Protocolo Internet (TCP/IP)", "Compartir impresoras y archivos para redes Microsoft". Podremos agregar los protocolos que queramos usando el botn Instalar. Seleccionamos el protocolo "Protocolo Internet (TCP/IP)" y pulsamos en el botn Propiedades para proceder a configurarlo.

Ahora podemos configurar las propiedades del protocolo TCP/IP. Si queremos que los clientes que se conectan a nosotros puedan acceder a la red local en la que tenemos nuestro servidor deberemos activar la primera casilla. Adems podemos dejar que el servidor asigne las IPs de los clientes o establecer un intervalo de IPs, o incluso permitir que los clientes especifiquen su IP.

Guardamos la configuracin de TCP/IP y pulsamos en el botn siguiente del asistente y ya habremos terminado. En este momento tendremos una nueva conexin en la carpeta de Conexiones de red. Seleccionando la nueva conexin podremos ver el estado de sta, los clientes conectados, cambiar las opciones de configuracin, etc.

Ahora ya tenemos configurado el servidor VPN y ya est listo para aceptar clientes VPN. A continuacin configuraremos una conexin VPN para que se conecte al servidor.

Cliente VPN

Abrimos la carpeta de "Conexiones de red" y en el men Archivo seleccionamos "Nueva conexin". En el asistente para conexin nueva seleccionamos "Conectarse a la red de mi lugar de trabajo", y pulsamos siguiente.

Seleccionamos "Conexin de red privada virtual", y pulsamos siguiente.

En la siguiente ventana, marcaremos la opcin "no usar conexion inicial" a menos que queramos que con la vpn se utilice otra de nuestras conexiones a internet, si indicamos que al activar esta conexin se active antes otra conexin, por ejemplo una conexin telefnica, se conectar primero a Internet y luego se establecer la VPN. Si disponemos de cable o ADSL no es necesario activar ninguna de estas conexiones. Tampoco lo es si estamos conectados a Internet cuando activamos la conexin VPN o no queremos que sta marque ninguna conexin. Por ltimo indicamos la direccin IP del servidor VPN, esta es la direccin IP pblica, es decir, la que tiene en Internet en el momento de establecer la conexin entre los clientes y el servidor.

Al finalizar el asistente ya tendremos la conexin lista para activarse. Ahora debemos indicar el usuario y las password que hemos activado en el servidor y ya podremos conectarnos con el servidor. Si el servidor VPN se conecta a Internet usando un modem o Cable la IP puede cambiar (IPs dinmicas) por lo que ser necesario indicarle la IP que tiene en cada momento.

Ya tenemos la conexin VPN lista para funcionar. Si trabajamos con conexiones lentas (mden o similar) la VPN tambin ir lenta. Es recomendable disponer de conexiones de banda ancha para sacarle todo el rendimiento a este tipo de conexiones.

Para realizar las comunicaciones usando la VPN deberemos usar las IPs de la VPN. Es decir, adems de la IP de Internet que tiene el servidor y los clientes se han generado otras IPs internas de la VPN, pues esas deberemos usar para comunicarnos con los equipos de la VPN, estas se obtendrn como las habituales, pero en el icono de la nueva conexin que aparece en la barra de notificacin (junto al reloj).

En conexiones lentas, el Explorador de Windows no ser capaz de mostrar los otros equipos de la red, o le llevar mucho tiempo, en ese caso, podremos acceder a ellos escribiendo en la barra de direcciones del Explorardor de Windows "\\ip_en_la_VPN" o "\\nombre_maquina" de la mquina a la que queremos acceder, por ejemplo, si la IP (en la VPN) de la otra mquina es 169.254.3.117 pondremos \\169.254.3.117 en la barra de direcciones del Explorador de Windows y de esta forma ya tendremos acceso a los ficheros e impresoras de la mquina indicada. Para usar otros recursos, como servidores de base de datos, etc. simplemente usamos la IP en la VPN de la mquina destino.

Adems, si los equipos no tienen realizada la configuracin de red adecuadamente, o tienen mal asignados los permisos puede ocurrir que no se pueda acceder a recursos. Esto no es un problema de la VPN sino de cmo se tienen establecidos los permisos en cada ordenador, al igual que pasa en una red local.

Por ltimo, y como recomendacin final, es aconsejable mantener el equipo actualizado e instalar los parches y services packs que va publicando Microsoft. Al tratarse de un servicio de red es muy vulnerable a ser atacado y si no est convenientemente actualizado podemos ser vctimas de ataques, o nuestros datos quizs no viajen lo suficientemente seguros como esperbamos.

Fuente: http://www.elrincondelprogramador.com/default.asp?pag=articulos/leer.asp&id=55