Una Red Privada Virtual – VPN para abreviar – conecta ordenadores externos con la red local y también cifra los datos. Internet sirve de medio de transporte. Si está conectado a la VPN, actúa como si estuviera en la red local. Por tanto, esta tecnología es adecuada para acceder a la propia red local o a juegos multijugador que sólo permiten el uso dentro de una red local.
Este artículo describe brevemente cómo configurar una VPN en el lado del servidor y del cliente en Windows XP. Es posible que se apliquen otros procedimientos para otros sistemas operativos.
Índice de contenidos
La tecnología
Como ya se ha descrito en el prefacio, un ordenador que se conecta a la LAN (red de área local) a través de una VPN es tratado como un ordenador más de la LAN local. Si el usuario dispone de recursos compartidos, puede utilizarlos, así como impresoras compartidas, etc. Tras marcar, cada usuario de la VPN recibe una dirección IP del espacio de direcciones de la red local. Esto significa que ahora es posible jugar a juegos multijugador que antes sólo se podían jugar en la LAN local.
El protocolo VPN PPTP (Point to Point Tunneling Protocol) necesario para la conexión VPN se instala directamente con Windows XP. No vamos a hablar aquí de soluciones a través de «L2TP sobre IPSec».
En el lado del cliente, la conexión se configura como cualquier otra conexión telefónica.
Sin embargo, en el lado del servidor (donde se quiere marcar), debe estar funcionando un servidor VPN. Windows 2000, así como Windows XP Home y la versión Professional ya ofrecen un servidor VPN integrado. Sin embargo, éste sólo permite una conexión a la vez. Si necesitas más, tienes que comprar un servidor«real»(Windows 2003) o un router con un servidor VPN integrado. Draytek, por ejemplo, vende este tipo de dispositivos.
Para nuestro propósito, sin embargo, el alcance de la entrega es suficiente.
Seguridad
VPN bajo Windows XP utiliza PPTP como protocolo por defecto. La última versión de este protocolo ofrece un cifrado de 128 bits y es suficientemente seguro con contraseñas suficientemente largas. El protocolo más moderno IPsec ofrece mayor seguridad, pero no es compatible con todos los sistemas operativos.
Si quieres saber más sobre VPN en Windows, deberías echar un vistazo al «Infobook of Microsoft VPN with Windows 2003 – an overview» gratuito. Este libro blanco ofrece una visión general de las tecnologías VPN compatibles con Windows Server 2003 y Windows XP. Describe las características de los dos sistemas operativos que le facilitan la administración de conexiones VPN en redes corporativas y proporciona información de fondo sobre los dos estándares del sector Point-to-Point Tunneling Protocol (PPTP) y Layer-Two Tunneling Protocol with Internet Protocol Security (L2TP/IPSec).
Configuración en el lado del servidor
Veamos primero el lado del servidor, es decir, el ordenador en el que tiene lugar la conexión telefónica.
Primero hay que configurar una nueva conexión entrante. Para ello, vaya a «Conexiones de red» en el «Panel de control» y seleccione«Crear nueva conexión«.
Confirme el siguiente asistente con Continuar y seleccione «Configuraruna conexión ampliada«.
A continuación, seleccione«Permitir conexión entrante«.
La selección de dispositivos que sigue a continuación debe ignorarse, ya que la conexión entrante para una conexión en línea existente se realiza a través de la dirección IP o de un nombre de dominio redirigido a su propio ordenador por servicios como http://www.dyn.com/.
Cómo automatizar y configurar tal redirección ha sido descrito en detalle por Konrad Priemer en su artículo «Dynamic DNS Update for the Local Homepage».
El siguiente cuadro de diálogo quiere saber si desea permitir conexiones VPN, que se activa a través del botón de radio.
Para que el usuario que establece la conexión VPN desde el exterior pueda acceder a la red local, debe ser conocido como usuario en el sistema local. En nuestro ejemplo, el usuario sigue faltando.
Por lo tanto, crear un nuevo usuario a través del botón «Añadir».
El invitado externo deberá iniciar sesión posteriormente con estos datos. Por razones de seguridad, no debe elegir una contraseña demasiado fácil.
Ya hemos creado y activado el usuario VPN (como nombre de cuenta).
En el siguiente paso, definimos la configuración de la red. Hay que activar el protocolo TCP/IP, así como el cliente para redes Microsoft y (si se desea) el uso compartido de archivos e impresoras para redes Microsoft.
Puede que sea necesario ajustar la entrada Protocolo de Internet (TCP/IP) en «Propiedades».
El acceso a la red (arriba) suele estar activado por defecto.
Que la dirección TCP/IP del ordenador invitado se asigne automáticamente mediante DHCP o manualmente depende de las especificaciones de la red local. Lo más importante es que ambos ordenadores estén en la misma subred después (es decir, 192.168.x.Y, es decir, la dirección IP debe ser idéntica en ambos ordenadores excepto por la Y).
Si ambos ordenadores no se ven después de la prueba posterior, éste podría ser el origen del error. En este caso, vaya al símbolo del sistema (Inicio -> Ejecutar -> CMD) y compruebe la dirección IP del ordenador con IPCONFIG. Si es, por ejemplo, 192.168.1.x, también puede seleccionar manualmente un rango de direcciones de 192.168.1.x a 192.168.1.255.
Esto completa la configuración en el lado del servidor.
Un nuevo icono bajo las conexiones de red muestra que las conexiones entrantes están activadas. Si ahora un ordenador establece la conexión, el nombre de la cuenta se muestra aquí.
Configuración del cliente
En el lado del cliente, configurar la conexión VPN con el servidor VPN es relativamente sencillo.
Incluso para Windows 95 y Windows 98 existe la posibilidad de establecer una conexión con el servidor VPN. Todo lo que se necesita es la actualización 1.4 para la red telefónica (Microsoft Windows 98 Dial-Up Networking 1.4) y el acceso a través de la red telefónica.
Para Windows 2000 y XP, configure el contacto con el servidor VPN del siguiente modo:
En «Conexiones de red» del «Panel de control», haga clic en«Crear nueva conexión» y seleccione«Conectarse a la red del trabajo» en el siguiente asistente.
En el siguiente diálogo, seleccione Conexión VPN.
Ahora dale un nombre a la conexión.
Por último, el asistente quiere saber la accesibilidad del servidor VPN. Aquí se introduce el nombre de redirección del servicio DYNDNS (ver Configuración) o la dirección IP actual de la otra parte con el servidor VPN. Dado que esto suele cambiar con cada marcación, debe introducirse de nuevo para cada conexión (véase «Contacto» más adelante).
El asistente puede ahora hacer que la conexión esté disponible para todos los usuarios o sólo para el usuario actual, y por último también puede crear un acceso directo en el escritorio.
Contacto
Averigua la IP del servidor
Si el servidor VPN utiliza una conexión telefónica común, como DSL o RDSI, el servidor debe establecer primero una conexión a Internet. Ahora hay que informar al «invitado» de la dirección IP actual del servidor por teléfono o correo electrónico, ICQ, etc. para que el invitado también pueda dirigirse a él. Puede averiguar la dirección IP actual mediante el comando ipconfig desde el símbolo del sistema (Inicio -> Ejecutar: cmd -> ipconfig). Si es necesario, aquí se muestran varias IPs. Una IP que empiece por 192.x es siempre la IP del ordenador local y no la IP del proveedor de Internet. Por lo tanto, debe informar al huésped de la IP del proveedor de Internet.
Una forma más elegante es a través del llamado servicio DYNDNS. Con la ayuda de herramientas como DirectUpdate, estos servicios siempre están informados automáticamente de la IP actual del ordenador. El propio ordenador siempre es accesible a través del servicio DYNDNS con el mismo nombre que aquí en el ejemplo testrechner.homedns.org.
Konrad Priemer ha descrito en detalle cómo automatizar y configurar una redirección de este tipo en su artículo «Dynamic DNS update for the local homepage». El camino a través de un servicio DYNDNS tendría la ventaja de que el invitado siempre puede dejar el mismo nombre en la conexión VPN como destino y no siempre tiene que determinar primero la IP.
En el lado del cliente
Como se ha indicado anteriormente, el cliente necesita primero la IP del ordenador de destino. Si ésta está disponible o la ruta a través de un nombre DYNDNS está resuelta, el proceso puede comenzar.
En primer lugar, se establece una conexión a Internet.
Haga doble clic en la conexión VPN creada anteriormente y le pedirá el nombre de usuario y la contraseña. Aquí se requiere la información que también se configuró en el servidor.
Si todavía tiene que introducir la dirección IP del servidor, haga clic en Propiedades.
En General encontrarás de nuevo el campo con los datos del ordenador anfitrión. Si has recibido la nueva IP del servidor, introdúcela ahí. Por cierto, «PPTP-VPN» debe establecerse como el protocolo en Red.
Si la conexión se establece sin errores, aparece un nuevo icono en el lado del servidor bajo Conexiones de red, que muestra el usuario seleccionado.
A través del menú contextual de los iconos, se puede desconectar la conexión en el lado del servidor o consultar la información de estado.
Conexión OK, ¿y ahora qué?
Si ha establecido correctamente la conexión VPN, el «invitado» recibe una dirección IP del espacio de direcciones del servidor. De hecho, ambos ordenadores se encuentran ahora en la misma red local. Si los archivos compartidos son visibles para el usuario conectado, también podrá acceder a ellos a través del entorno de red.
Si el cliente o el servidor inician un juego que puede jugarse en la red local a través de TCP/IP, ambos ordenadores también deberían encontrarse aquí.
Acceso al ordenador remoto
Lo ideal es que ambos ordenadores estén en el mismo grupo de trabajo. El ordenador remoto no suele aparecer directamente en el entorno de red porque los datos de difusión necesarios no se transmiten a través de VPN. No obstante, puede dirigirse al ordenador remoto con rutas UNC a través de la línea de dirección en Mi PC/Explorer mediante \IPAddress o \IPAddressShare, por ejemplo \192.168.1.11Documents. Alternativamente, se puede utilizar el nombre del ordenador en lugar de la IP.
También se pueden conectar unidades de red. De nuevo se especifican mediante rutas UNC.
Control remoto
Un campo de actividad completamente diferente es el control remoto del servidor. Una vez establecida la conexión VPN con el servidor, éste puede controlarse completamente a distancia mediante el programa«Conexión a Escritorio remoto». El artículo Control remoto de Windows XP de PCDMicha describe cómo funciona en detalle y qué hay que tener en cuenta.
Problemas debidos al cortafuegos o al router
Un cortafuegos (software) o un router suelen ser los causantes de que fallen las conexiones VPN. Para que la conexión funcione sin problemas, el cortafuegos o router (software) debe ser capaz de permitir conexiones VPN a los clientes y al servidor. Los clientes no son un problema. En este caso no suelen ser necesarias liberaciones especiales. Microsoft describe en el artículo KB 314076 qué puertos deben abrirse:
Para PPTP, el puerto 1723 TCP es suficiente en el lado del servidor, es decir, este puerto debe pasar a través del servidor VPN.
Sin embargo, la conexión no funciona con todos los routers. Para que el servidor VPN detrás del router sea accesible, el router debe reenviar las conexiones PPTP entrantes a la red local (reenvío de puertos) o el cortafuegos debe dejarlas pasar. Sin embargo, PPTP no utiliza TCP/UDP sino GRE (Generic Routing Encapsulation) como protocolo de transporte (protocolo número 47). No todos los routers pueden reenviarlo a un servidor VPN. Muchos fabricantes entienden por capacidad VPN únicamente que el router puede conectarse a un servidor VPN, pero no funciona frente a un servidor VPN.
Por lo tanto, el problema es el router/firewall que se encuentra delante del servidor VPN. O bien el protocolo GRE para el ordenador servidor también debe reenviarse aquí, o bien el ordenador debe estar completamente exento del cortafuegos (o del del router) (lo que se suele llamar DMZ, aunque se trate más bien de un host expuesto). La segunda solución, sin embargo, hace que el ordenador sea vulnerable a todos los ataques desde el exterior y, por lo tanto, sólo debería ser una solución de emergencia.
Un servidor VPN funciona sin problemas en los routers Vigor de Draytek o en los DSL Fritz-Fon-Box, por ejemplo. Algunos tipos de routers ofrecen incluso un servidor VPN integrado, que puede desactivarse en favor del servidor VPN de Windows.
Con otros fabricantes, lo único que ayuda es la prueba y el error: Puede que sea posible reenviar el protocolo GRE al servidor VPN especificando su número de protocolo IP 47. Para el cortafuegos Kerio, por ejemplo, GRE puede añadirse a través de «Avanzado» -> Protocolo «Otro» y «Protocolo número 47».
Utilizando el DSL Fritz-Fon-Box como ejemplo, aquí están las acciones correctas (marcadas en amarillo) :
.
Firewall de Windows a partir del Service Pack 2
El cortafuegos incluido en el Service Pack se configura automáticamente cuando se crea un servidor VPN y normalmente no es necesario configurarlo más. La configuración se puede encontrar a través del Firewall de Windows – > Avanzado -> Configuración [de la conexión de red utilizada] (por ejemplo, la conexión LAN estándar). Windows abre aquí los puertos correctos para PPTP y L2TP. Si sólo utilizas PPTP, puedes desactivar los otros dos servicios de servidor.
Otra cosa a tener en cuenta es habilitar «Permitir peticiones de eco entrantes» en la pestaña ICMP. Esto facilita la resolución de problemas o el diagnóstico, ya que, de lo contrario, el ordenador servidor no responde a las solicitudes de ping.
No utilizar las mismas redes IP
Como se ha descrito anteriormente, el cliente recibe otra IP del servidor y, por lo tanto, se incluye en la red remota. El problema surge si el cliente ya se encuentra localmente en el mismo espacio de direcciones IP que la red remota. Si el cliente se encuentra en la red 192.168.1.x y se conecta por VPN a una red que también utiliza este espacio de direcciones, la conexión VPN no funciona porque los paquetes sólo se envían localmente. Por lo tanto, hay que asegurarse de que los ordenadores utilizan localmente otros espacios de direcciones IP. Por tanto, quienes utilicen un servidor DHCP mediante software o router deberán cambiar el espacio de direcciones.
Otro problema se produce cuando se utiliza la conexión compartida a Internet. Aquí, XP asigna automáticamente direcciones de la red 192.168.0.x. Si ambos lados utilizan este espacio de direcciones, se debe cambiar en un lado. Si ambos lados usan la conexión compartida a Internet, desafortunadamente no conocemos ninguna manera para Windows 2000 ff.
La conexión a Internet ya no funciona cuando se utiliza VPN
Si un PC cliente está conectado a un servidor VPN a través de VPN, la conexión a Internet ya no parece funcionar.
Esto se debe a que el servidor VPN se configura como una nueva puerta de enlace y el tráfico IP se envía ahora al túnel VPN.
Sin embargo, puedes desactivar fácilmente este comportamiento.
En el área «Conexiones de red», selecciona las propiedades de la conexión VPN, cambia a la pestaña «Red» y selecciona las propiedades del protocolo de Internet. De nuevo en «Avanzado», hay una casilla de verificación en General llamada«Usar puerta de enlace predeterminada para la red remota«. Si esta opción está desactivada, el acceso a Internet funciona como de costumbre.
Conexiones múltiples, Windows Server
Si necesitas más de una conexión VPN, tendrás que recurrir a ayuda externa. Aquí se puede utilizar un servidor Windows 2003 real (también SBS) o una instalación Linux.
Microsoft describe en el artículo 323441 cómo configurar un servidor VPN bajo Windows 2003 Server.
Según la experiencia de la comunidad, se han conseguido muy buenos resultados con FLi4L. El router Linux gratuito viene en un disquete de arranque y sólo necesita un viejo ordenador 486 para realizar todas las tareas de enrutamiento y, por tanto, también las de un servidor VPN.
¿Más problemas?
La propia Microsoft da consejos para solucionar problemas en el artículo KB 314076 si aparecen mensajes de error al establecer una conexión. Otros puntos de contacto son el foro WinTotal en la sección de Red o NetzwerkTotal.
Una alternativa a la VPN de Microsoft es la OpenVPN gratuita, con la que algunos usuarios dicen que hay muchos menos problemas en el ámbito de los juegos.