Manual VPN

  • Published on
    25-Jul-2015

  • View
    80

  • Download
    2

Embed Size (px)

Transcript

<p>CONEXIN ESCRITORIO REMOTO TNEL VPNVamos a ver cmo establecer una conexin segura a travs de Internet. Esto nos permitir acceder a los recursos de una mquina remota, y en particular veremos cmo conectar tambin el Escritorio remoto a esa mquina.</p> <p>QU ES VPN?VPN es un tnel seguro a travs de una comunicacin tcp/ip. Es decir, crea una nueva conexin tcp/ip encapsulada en la conexin normal y encriptada. Por tanto, las mquinas dentro del tnel tienen otra direccin IP. Este ultimo prrafo debemos recordarlo aunque de momento no tenga mucho sentido para nosotros: lo veremos en detalle ms adelante. Vamos a ver tanto en XP como en Vista, cmo crear el servidor de tnel VPN y cmo se deben configurar las mquinas cliente para acceder a dicho Tnel. Para ver este ejemplo, he creado dos mquinas virtuales, tal y como puede verse en las imgenes siguientes. En este caso son dos XP. Aunque alguno de nuestros sistemas sea Vista, leed este ejemplo de XP con atencin porque nos servir para centrar ideas:</p> <p>Va a hacer de servidor de tnel la mquina anterior: VPNXP2 (172.16.0.21)</p> <p>Esta mquina har las funciones de Cliente.</p> <p>CONFIGURACIN DEL SERVIDOR (EN XP): En Panel de Control, Conexiones de Red, creamos una nueva conexin:</p> <p>A continuacin nos mostrar todas las conexiones Dial-Up si las tuvisemos, conexiones serie, paralelo, Bluetooth, etc. No seleccionamos ninguna de ellas ya que nos vamos a conectar por nuestro cable de red en la conexin a Internet.</p> <p>A continuacin nos mostrar los usuarios de nuestro equipo. Seleccionaremos qu usuarios se pueden conectar en remoto a nuestra mquina. Dichos usuarios deben tener contrasea.</p> <p>Nos mostrar la lista de protocolos y servicios tcp/ip. Puede configurarse, pero tal y como la propone es correcta para lo que queremos hacer (posteriormente todas estas opciones podrn, adems, modificarse).</p> <p>Esto nos crear el icono de la conexin entrante. Si pinchamos sobre l con el botn derecho / Propiedades, podremos ver y modificar todo lo seleccionado anteriormente:</p> <p>Recordemos, que un Tnel nos establece una conexin "dentro" de nuestra conexin a Internet. Esta "conexin" es segura al estar encriptado, pero como tal conexin deber tener direccin IP, mscara, etc. Vamos a hacer que nuestra mquina servidora de Tnel sea servidor de direcciones IP. Para ello, dentro de las propiedades de conexin, seleccionamos la pestaa de Funciones de Red, seleccionamos Protocolo de Internet (TCP/IP) y botn propiedades:</p> <p>Y seleccionamos un rango de direcciones que son las que nos va a dar este servidor. Debe ser un rango de direcciones de las reservadas como direcciones "locales". Es decir, por ejemplo:</p> <p>La primera direccin no debe olvidrsenos: ser la direccin del servidor de Tnel cuando establezcamos la conexin remota. Es decir cuando nos refiramos desde la mquina remota a la IP 192.168.133.2 nos estamos refiriendo a la direccin del servidor dentro del Tnel.</p> <p>Debido a que queremos acceder a esa mquina mediante escritorio remoto, deberemos activarlo: botn derecho en Mi PC, Propiedades, pestaa "Remoto":</p> <p>Con esto hemos terminado la configuracin de server. NOTA: El router ADSL de la mquina remota, debe permitir el paso del puerto 1723 TCP a la mquina que va a hacer de servidor. Debe configurarse por tanto dicho router. Si tenemos un cortafuegos o una solucin antivirus suite de seguridad, hay que crear una regla para permitir dicho puerto.</p> <p>CONFIGURACIN DEL CLIENTE (EN XP):</p> <p>En las mquinas que vayan a ser clientes creamos una nueva conexin:</p> <p>Aunque luego podremos modificarlo, en este punto debemos dar la IP de la mquina remota a la cual nos vamos a conectar. Hay que dar la direccin de Internet es decir la IP externa del router en el caso de conexin al exterior, no la IP del PC. El router remoto se encargar, tal y como hemos configurado antes, de hacer la translacin de direcciones (mapeo o NAT) a la mquina interna. (En nuestro ejemplo, que son mquinas internas de nuestra subred, damos simplemente su IP).</p> <p>Ya podramos realizar la conexin en este punto.</p> <p>Fijmonos que todo lo anterior, podemos ahora reconfigurarlo con el botn derecho en la conexin / propiedades.</p> <p>IMPORTANTE: Funcionamiento de la nueva red (una conexin establecida indica siempre una nueva red) Muchas veces omos un problema con respecto al VPN. Frases que dicen "cuando me conecto por VPN pierdo mi conexin por la red local e incluso no puedo navegar" Esta frase, incorrecta en su fondo, indica que quien est haciendo la consulta desconoce el funcionamiento del tcp/ip. Recordemos que cuando se establece una conexin se reconfigura la tabla de rutas: aparece una nueva interfaz de red activa con su direccin IP. cul es el funcionamiento del tcp?: las rutas desconocidas se envan a la puerta de enlace por defecto, y si hubiese ms de una puerta de enlace se enva a la de menos mtrica. Pero: al realizar esta nueva conexin se nos enva desde el servidor VPN una IP para esa conexin, con su mscara y puerta de enlace! Si queremos desactivar dicha puerta de enlace (ignorar la que nos enva el servidor) y seguir con la nuestra y por tanto no perder la conectividad a Internet ni al resto de la red, debemos configurar en las propiedades de la conexin lo siguiente: quitar la marca a "Usar puerta de enlace predeterminada en la red remota":</p> <p>Conexin por Escritorio remoto En el ejemplo que hemos puesto anteriormente, desde la mquina cliente una vez establecida la conexin podemos ejecutar en una ventana de comandos:</p> <p>route print y veremos la IP nueva asignada, y sobre todo fijaos en las puertas de enlace (destino de red: 0.0.0.0 y sus mtricas, esto es a lo que nos referamos en una conexin por defecto sin eliminar la puerta de enlace remota).</p> <p>Evidentemente la conexin debe ser a la IP del server dentro del tnel: la primera IP del rango que habamos configurado en el tnel. Conexin efectuada:</p> <p>SERVIDOR DE VPN EN VISTA Pongo las pantallas correspondientes, pero se deben seguir los textos y comentarios dados para XP. Es importante. Acceder a Panel de Control / Centro de Redes y Recursos compartidos y seleccionar Administrar Conexiones de Red. Al abrirlo, si no mostrase la barra de Men superior, configurar en "Organizar" para que muestre el men ya que es necesario usar el Men Archivo. y seleccionar la creacin de conexiones entrantes.</p> <p>CLIENTE DE VPN EN VISTA Se realizar Creando una nueva conexin en el Centro de Redes y recursos compartidos.</p> <p>Y en Propiedades, como siempre, podremos modificar cualquiera de las configuraciones y sobre todo, configurar el envo o no de la puerta de enlace predeterminada (ver su significado en la parte anterior de Cliente de VPN para XP)</p> <p>--</p> <p>Jos Manuel Tella Llop jmtella@compuserve.com</p> <p>16 - agosto - 2008[Tutorial] Montar una VPN entre dos XPpor Guoper 07 Jun 2005 16:38</p> <p>Ultima revisin: 07/06/2005</p> <p>I. INTRODUCCION.Este breve tutorial describe los pasos que he seguido para conseguir conectar el ordenador de mi casa a un ordenador del curro. Ambas mquinas, domicilio y trabajo, tienen instalado XP pro y estan conectadas a un router ADSL. Espero que le sea util a alguno de ustedes. XP permite ser configurado como un servidor de VPN a travs del protocolo PPTP. Es algo limitadillo pues slo admite una conexin entrante y sirve bsicamente para acceder a los recursos que tengamos compartidos en ese pc. Pero para nosotros, usuarios domsticos, nos basta para poder entrar en nuestro pc de forma remota. II. CONFIGURANDO LA PARTE DEL SERVIDOR.Como ya he comentado la parte del servidor consta de un Xp Pro y un router ADSL (en mi caso he utilizado un Zyxel). Antes de entrar a configurar nada lo primero que hay que tener en cuenta es que para poder acceder a travs de la red desde una ubicacin remota a nuestro pc hay que tener ste ltimo localizado en Internet. Esto se consigue mediante una IP pblica fija, pero lo ms normal en estos tiempos que corren es que nuestro ISP nos haya asignado una IP dinmica y tengamos que recurrir a un servicio de DNS dinmicas. El funcionamiento de estas webs consiste en registrar nuestro pc en estos servicios con un nombre de host y enviarles la IP que nos asigna nuestro ISP en el momento de conectar el router de forma que dicha IP queda asociada al nombre de host que hemos elegido. Este envio se hace de forma automtica y transparente. Existen varios proveedores que facilitan este servicio, mi caso he tenido que escoger forzosamente DynDNS.org puesto que es el nico que permite ser configurado en el router Zyxel. El registrarse es muy sencillo: entras en su pgina, escoges crear una nueva cuenta, asignas un nombre de host a tu pc (del estilo pepito.dyndns.org) un usuario y una contrasea por si quieres modificar la configuracin y aceptas. Automticamente te mandan a tu correo un link en el que debes pinchar antes de 48 horas para confirmar los datos que has registrado y desde ese momento tu IP pblica queda asociada a pepito.dyndns.org, algo que puedes comprobar</p> <p>fcilmente haciendo unping pepito.dyndns.org. Importante: Tal como recogen en sus comentarios tanto Cliff como Poc, es casi imprescindible descargar algn cliente que se encarge de refrescar la asociacin entre nombre de host e IP. Yo no lo hize y al tercer dia se me cay la conexin con el servicio de DNS dinmica; pero desde que descargu DynDns Updater desde la propia web de dyndns.org no he vuelto a tener problemas de ese tipo. Bien, ahora tenemos que configurar el router abriendo el puerto TCP 1723 y redirigindolo hacia la IP del pc que va a hacer de servidor, esta operacin se hace exclusivamente en el caso de que tengamos el router en modo multipuesto (para saber la IP del pc servidor puedes ejecutar el comando ipconfig). En el caso del Zyxel entras via telnet o mediante tu navegador favorito a la IP que tiene el router y accedes a Nat Setup -&gt; NAT Server Sets -&gt; Server Set 1. En el campo Star Port No. introducimos el puerto que queremos abrir (1723) y como no necesitamos ms, pues escribimos el mismo puerto en End Port No.. Finalmente en IP Address se mete la IP del XP que va a hacer de servidor. En el Zyxel no hay que hacer ms pues me imagino que ya entiende que vamos a usar PPTP y se encarga de permitir el uso del protocolo GRE. GRE es el protocolo por el que se envian los paquetes de la VPN hacia el puerto 47 UDP (supongo que no es una definicin muy ortodoxa porque yo tampoco termino de tenerlo claro del todo). Por lo que he leido parece ser que en otros routers el tema del GRE es un autntico dolor de cabeza y hay que abrirlo como si se tratase de otro puerto, en este caso el 47 UDP Una vez que hemos terminado con el router configuramos la conexin entrante VPN en el XP. Es muy sencillo: como administradores abrimos las Conexiones de Red y picamos sobre la opcin Crear una conexin nueva. Ahora en el asistente marcamos Configurar una conexin avanzada -&gt; Aceptar conexiones entrantes. Cuando nos pida como se va a establecer la conexin podemos escoger por modem o, dejndolo en blanco, por Internet que es la opcin que debemos elegir si vamos a conectarnos a travs de una ADSL que, dicho sea de paso, es lo ms recomendable. A continuacin marcar Permitir conexiones virtuales privadas y dar permiso de acceso remoto a las cuentas de usuarios que deseemos. Con esa cuenta de usuario autorizado es con la que deberemos logearnos cuando hagamos la conexin desde el cliente. Ahora marcar el protocolo TCP/IP, Compartir archivos y carpetas y Cliente de redes Microsoft. Entrar a las propiedades del protocolo TCP/IP y marcar Permitir a quienes llaman acceso a mi red de area local y escoger la forma en que el servidor asignar la IP al cliente, bien por DHCP o bien</p> <p>especificando un rango de direcciones TCP/IP, siendo esta ltima modalidad la que a mi ms me gusta. Hay que tener en cuenta dos cosas: primero, que no pongas ms de dos IPs en el rango puesto que slo vas a poder acceder con un pc remoto a la vez. segundo, asegrate que la IP que pongas sea coherente con la de la red remota a la que vas a acceder puesto que si no no podrs ver sus recursos compartidos. Finalmente y para acabar con el servidor, hay que acordarse de que en el caso de que tengamos un firewall debemos permitir conexiones entrantes al puerto 1723 TCP y permitir trfico tanto de entrada como de salida al protocolo 47 (GRE). Con Kerio no he tenido ningn problema en crear ambas reglas. III. CONFIGURANDO EL CLIENTE.Hemos considerado que el cliente, o sea el pc que va a conectar con el XP que acabamos de configurar es tambin otro XP. Por tanto ejecutamos en este XP cliente el asistente para crear una conexin nueva y marcamos la opcin Conectarse a la red de mi lugar de trabajo. A continuacin escojemos el tipo de conexin que en nuestro caso al conectarnos por ADSL serVPN y le damos como IP del servidor el nombre del host que escogimos en dyndns.org Igualmente, si tenemos un firewall en el cliente, debemos permitir el trfico de salida hacia el puerto 1723 TCP y trfico tanto de entrada como salida para el protocolo 47 (GRE) Importante: No se nos olvide entrar en el cliente a las propiedades de la conexin VPN que hemos establecido, acceder aPropiedades TCP/IP -&gt; Opciones avanzadas -&gt; General y desmarcar la casilla usar puerta de enlace predeterminada en la red remota. Si no lo hacemos asi probablemente no podamos salir a Internet desde nuestro pc cliente, ya que buscara el router al que esta conectado el pc remoto en lugar del nuestro. Y ya est, es una VPN muy bsica pero VPN al fin y al cabo</p> <p>Guoper Socio VIP</p> <p>Mensajes: 5283 Registrado: 26 May 2005 22:32 Ubicacin: HTTP 404</p> <p>Como crear una red privada virtual (VPN)</p> <p>Introduccin</p> <p>Cada vez es ms habitual moverse en escenarios en donde se requiere el acceso a recursos remotos desde cualquier lugar, incluso recursos que no estn disponibles directamente en Internet, pero s en nuestra intranet. Mediante una VPN podemos acceder de forma segura a todos los recursos de nuestra intranet usando una conexin pblica como Internet y trabajabo como si estuvisemos en la red local.</p> <p>Qu aborda este artculo?</p> <p>En este artculo abordaremos el tema de las VPN's domsticas, es decir, veremos como con Windows 2000 y XP es posible crear rpidamente redes privadas que nos permiten compartir nuestros recursos con otros usuarios de forma segura.</p> <p>Qu no encontrars en este artculo?</p> <p>No analizaremos las VPN's a fondo, simplemente abordamos una solucin sencilla para usuarios domsticos. No trabajaremos con ningn servidor VPN ni de acceso remoto. Ese es tema para otro artculo.</p> <p>Qu es una VPN?</p> <p>En pocas palabras una VPN es una red virtual que se crea "dentro" de otra red, como por ejemplo Internet. Generalmente las redes privadas se crean en redes pblicas, en las que se quiere crear un entorno confidencial y privado. La VPN nos permitir trabajar como si estuvisemos en la red local, es totalmente transparente para el usuario.</p> <p>Una vez establecida la conexin de la red privada virtual los datos viajan encriptados de forma que slo el emisor y el receptor son capaces de leerlos.</p> <p>Para poder realizar una VP...</p>