CONEXIÓN ESCRITORIO REMOTO TÚNEL VPN
Vamos a ver cómo establecer una conexión segura a través de Internet. Esto nos permitirá acceder a los recursos de una máquina remota, y en particular veremos cómo conectar también el Escritorio remoto a esa máquina.
¿Qué es VPN?
VPN es un túnel seguro a través de una comunicación tcp/ip. Es decir, crea una nueva conexión tcp/ip encapsulada en la conexión normal y encriptada. Por tanto, las máquinas dentro del túnel tienen otra dirección IP. Este ultimo párrafo debemos recordarlo aunque de momento no tenga mucho sentido para nosotros: lo veremos en detalle más adelante.
Vamos a ver tanto en XP como en Vista, cómo crear el servidor de túnel VPN y cómo se deben configurar las máquinas cliente para acceder a dicho Túnel.
Para ver este ejemplo, he creado dos máquinas virtuales, tal y como puede verse en las imágenes siguientes. En este caso son dos XP. Aunque alguno de nuestros sistemas sea Vista, leed este ejemplo de XP con atención porque nos servirá para centrar ideas:
Va a hacer de servidor de túnel la máquina anterior: VPNXP2 (172.16.0.21)
Esta máquina hará las funciones de Cliente.
Configuración del Servidor (en XP):
En Panel de Control, Conexiones de Red, creamos una nueva conexión:
A continuación nos mostrará todas las conexiones Dial-Up si las tuviésemos, conexiones serie, paralelo, Bluetooth, etc. No seleccionamos ninguna de ellas ya que nos vamos a conectar por nuestro cable de red en la conexión a Internet.
A continuación nos mostrará los usuarios de nuestro equipo. Seleccionaremos qué usuarios se pueden conectar en remoto a nuestra máquina. Dichos usuarios deben tener contraseña.
Nos mostrará la lista de protocolos y servicios tcp/ip. Puede configurarse, pero tal y como la propone es correcta para lo que queremos hacer (posteriormente todas estas opciones podrán, además, modificarse).
Esto nos creará el icono de la conexión entrante. Si pinchamos sobre él con el botón derecho / Propiedades, podremos ver y modificar todo lo seleccionado anteriormente:
Recordemos, que un Túnel nos establece una conexión "dentro" de nuestra conexión a Internet. Esta "conexión"· es segura al estar encriptado, pero como tal conexión deberá tener dirección IP, máscara, etc.
Vamos a hacer que nuestra máquina servidora de Túnel sea servidor de direcciones IP. Para ello, dentro de las propiedades de conexión, seleccionamos la pestaña de Funciones de Red, seleccionamos Protocolo de Internet (TCP/IP) y botón propiedades:
Y seleccionamos un rango de direcciones que son las que nos va a dar este servidor. Debe ser un rango de direcciones de las reservadas como direcciones "locales". Es decir, por ejemplo:
La primera dirección no debe olvidársenos: será la dirección del servidor de Túnel cuando establezcamos la conexión remota. Es decir cuando nos refiramos desde la máquina remota a la IP 192.168.133.2 nos estamos refiriendo a la dirección del servidor dentro del Túnel.
Debido a que queremos acceder a esa máquina mediante escritorio remoto, deberemos activarlo: botón derecho en Mi PC, Propiedades, pestaña "Remoto":
Con esto hemos terminado la configuración de server.
NOTA: El router ADSL de la máquina remota, debe permitir el paso del puerto 1723 TCP a la máquina que va a hacer de servidor. Debe configurarse por tanto dicho router.
Si tenemos un cortafuegos o una solución antivirus suite de seguridad, hay que crear una regla para permitir dicho puerto.
Configuración del Cliente (en XP):
En las máquinas que vayan a ser clientes creamos una nueva conexión:
Aunque luego podremos modificarlo, en este punto debemos dar la IP de la máquina remota a la cual nos vamos a conectar. Hay que dar la dirección de Internet es decir la IP externa del router en el caso de conexión al exterior, no la IP del PC. El router remoto se encargará, tal y como hemos configurado antes, de hacer la translación de direcciones (mapeo o NAT) a la máquina interna. (En nuestro ejemplo, que son máquinas internas de nuestra subred, damos simplemente su IP).
Ya podríamos realizar la conexión en este punto.
Fijémonos que todo lo anterior, podemos ahora reconfigurarlo con el botón derecho en la conexión / propiedades.
IMPORTANTE:
Funcionamiento de la nueva red (una conexión establecida indica siempre una nueva red)
Muchas veces oímos un problema con respecto al VPN. Frases que dicen "cuando me conecto por VPN pierdo mi conexión por la red local e incluso no puedo navegar"
Esta frase, incorrecta en su fondo, indica que quien está haciendo la consulta desconoce el funcionamiento del tcp/ip.
Recordemos que cuando se establece una conexión se reconfigura la tabla de rutas: aparece una nueva interfaz de red activa con su dirección IP. ¿cuál es el funcionamiento del tcp?: las rutas desconocidas se envían a la puerta de enlace por defecto, y si hubiese más de una puerta de enlace se envía a la de menos métrica. Pero: ¡al realizar esta nueva conexión se nos envía desde el servidor VPN una IP para esa conexión, con su máscara y puerta de enlace!
Si queremos desactivar dicha puerta de enlace (ignorar la que nos envía el servidor) y seguir con la nuestra y por tanto no perder la conectividad a Internet ni al resto de la red, debemos configurar en las propiedades de la conexión lo siguiente: quitar la marca a "Usar puerta de enlace predeterminada en la red remota":
Conexión por Escritorio remoto
En el ejemplo que hemos puesto anteriormente, desde la máquina cliente una vez establecida la conexión podemos ejecutar en una ventana de comandos:
route print
y veremos la IP nueva asignada, y sobre todo fijaos en las puertas de enlace (destino de red: 0.0.0.0 y sus métricas, esto es a lo que nos referíamos en una conexión por defecto sin eliminar la puerta de enlace remota).
Evidentemente la conexión debe ser a la IP del server dentro del túnel: la primera IP del rango que habíamos configurado en el túnel.
Conexión efectuada:
Servidor de VPN en Vista
Pongo las pantallas correspondientes, pero se deben seguir los textos y comentarios dados para XP. Es importante.
Acceder a Panel de Control / Centro de Redes y Recursos compartidos y seleccionar Administrar Conexiones de Red. Al abrirlo, si no mostrase la barra de Menú superior, configurar en "Organizar" para que muestre el menú ya que es necesario usar el Menú Archivo. y seleccionar la creación de conexiones entrantes.
Cliente de VPN en Vista
Se realizará Creando una nueva conexión en el Centro de Redes y recursos compartidos.
Y en Propiedades, como siempre, podremos modificar cualquiera de las configuraciones y sobre todo, configurar el envío o no de la puerta de enlace predeterminada (ver su significado en la parte anterior de Cliente de VPN para XP)
