PDA

Ver la Versión Completa : Crear VPN entre dos equipos con Windows XP Pro



enigma_z
31/10/2011, 00:01
A ver si consigo alguna orientación pues el tema me tiene un poco aburrido. Ando tratando de crear una VPN entre dos equipos ambos con XP Pro. El tema es sumamente sencillo, atendiendo a miles de tutoriales que circulan por la red, por desconozco el porqué no soy capaz de hacerlo funcionar.
Poniéndonos en antecedentes, sigo por ejemplo este manualillo que creó el amigo Guoper en los Foros Ethek (foro.ethek.com/) :



I. INTRODUCCION.-
Este breve tutorial describe los pasos que he seguido para conseguir conectar el ordenador de mi casa a un ordenador del curro. Ambas máquinas, domicilio y trabajo, tienen instalado XP pro y estan conectadas a un router ADSL. Espero que le sea util a alguno de ustedes.

XP permite ser configurado como un servidor de VPN a través del protocolo PPTP. Es algo limitadillo pues sólo admite una conexión entrante y sirve básicamente para acceder a los recursos que tengamos compartidos en ese pc. Pero para nosotros, usuarios domésticos, nos basta para poder entrar en nuestro pc de forma remota.

II. CONFIGURANDO LA PARTE DEL SERVIDOR.-
Como ya he comentado la parte del servidor consta de un Xp Pro y un router ADSL (en mi caso he utilizado un Zyxel). Antes de entrar a configurar nada lo primero que hay que tener en cuenta es que para poder acceder a través de la red desde una ubicación remota a nuestro pc hay que tener éste último localizado en Internet. Esto se consigue mediante una IP pública fija, pero lo más normal en estos tiempos que corren es que nuestro ISP nos haya asignado una IP dinámica y tengamos que recurrir a un servicio de DNS dinámicas.

El funcionamiento de estas webs consiste en registrar nuestro pc en estos servicios con un nombre de host y enviarles la IP que nos asigna nuestro ISP en el momento de conectar el router de forma que dicha IP queda asociada al nombre de host que hemos elegido. Este envio se hace de forma automática y transparente.

Existen varios proveedores que facilitan este servicio, mi caso he tenido que escoger forzosamente DynDNS.org puesto que es el único que permite ser configurado en el router Zyxel.

El registrarse es muy sencillo: entras en su página, escoges crear una nueva cuenta, asignas un nombre de host a tu pc (del estilo pepito.dyndns.org) un usuario y una contraseña por si quieres modificar la configuración y aceptas. Automáticamente te mandan a tu correo un link en el que debes pinchar antes de 48 horas para confirmar los datos que has registrado y desde ese momento tu IP pública queda asociada a pepito.dyndns.org, algo que puedes comprobar fácilmente haciendo un ping pepito.dyndns.org.
Importante: Tal como recogen en sus comentarios tanto Cliff como Poc, es casi imprescindible descargar algún cliente que se encarge de refrescar la asociación entre nombre de host e IP. Yo no lo hize y al tercer dia se me cayó la conexión con el servicio de DNS dinámica; pero desde que descargué DynDns Updater desde la propia web de dyndns.org no he vuelto a tener problemas de ese tipo.

Bien, ahora tenemos que configurar el router abriendo el puerto TCP 1723 y redirigiéndolo hacia la IP del pc que va a hacer de servidor, esta operación se hace exclusivamente en el caso de que tengamos el router en modo multipuesto (para saber la IP del pc servidor puedes ejecutar el comando ipconfig). En el caso del Zyxel entras via telnet o mediante tu navegador favorito a la IP que tiene el router y accedes a Nat Setup -> NAT Server Sets -> Server Set 1. En el campo Star Port No. introducimos el puerto que queremos abrir (1723) y como no necesitamos más, pues escribimos el mismo puerto en End Port No.. Finalmente en IP Address se mete la IP del XP que va a hacer de servidor.

En el Zyxel no hay que hacer más pues me imagino que ya entiende que vamos a usar PPTP y se encarga de permitir el uso del protocolo GRE. GRE es el protocolo por el que se envian los paquetes de la VPN hacia el puerto 47 UDP (supongo que no es una definición muy ortodoxa porque yo tampoco termino de tenerlo claro del todo). Por lo que he leido parece ser que en otros routers el tema del GRE es un auténtico dolor de cabeza y hay que abrirlo como si se tratase de otro puerto, en este caso el 47 UDP

Una vez que hemos terminado con el router configuramos la conexión entrante VPN en el XP. Es muy sencillo: como administradores abrimos las Conexiones de Red y picamos sobre la opción Crear una conexión nueva. Ahora en el asistente marcamos Configurar una conexión avanzada -> Aceptar conexiones entrantes. Cuando nos pida como se va a establecer la conexión podemos escoger por modem o, dejándolo en blanco, por Internet que es la opción que debemos elegir si vamos a conectarnos a través de una ADSL que, dicho sea de paso, es lo más recomendable.

A continuación marcar Permitir conexiones virtuales privadas y dar permiso de acceso remoto a las cuentas de usuarios que deseemos. Con esa cuenta de usuario autorizado es con la que deberemos logearnos cuando hagamos la conexión desde el cliente.

Ahora marcar el protocolo TCP/IP, Compartir archivos y carpetas y Cliente de redes Microsoft. Entrar a las propiedades del protocolo TCP/IP y marcar Permitir a quienes llaman acceso a mi red de area local y escoger la forma en que el servidor asignará la IP al cliente, bien por DHCP o bien especificando un rango de direcciones TCP/IP, siendo esta última modalidad la que a mi más me gusta. Hay que tener en cuenta dos cosas:
primero, que no pongas más de dos IPs en el rango puesto que sólo vas a poder acceder con un pc remoto a la vez.
segundo, asegúrate que la IP que pongas sea coherente con la de la red remota a la que vas a acceder puesto que si no no podrás ver sus recursos compartidos.

Finalmente y para acabar con el servidor, hay que acordarse de que en el caso de que tengamos un firewall debemos permitir conexiones entrantes al puerto 1723 TCP y permitir tráfico tanto de entrada como de salida al protocolo 47 (GRE). Con Kerio no he tenido ningún problema en crear ambas reglas.

III. CONFIGURANDO EL CLIENTE.-
Hemos considerado que el cliente, o sea el pc que va a conectar con el XP que acabamos de configurar es también otro XP. Por tanto ejecutamos en este XP cliente el asistente para crear una conexión nueva y marcamos la opción Conectarse a la red de mi lugar de trabajo. A continuación escojemos el tipo de conexión que en nuestro caso al conectarnos por ADSL será VPN y le damos como IP del servidor el nombre del host que escogimos en dyndns.org

Igualmente, si tenemos un firewall en el cliente, debemos permitir el tráfico de salida hacia el puerto 1723 TCP y tráfico tanto de entrada como salida para el protocolo 47 (GRE)

Importante: No se nos olvide entrar en el cliente a las propiedades de la conexión VPN que hemos establecido, acceder a Propiedades TCP/IP -> Opciones avanzadas -> General y desmarcar la casilla usar puerta de enlace predeterminada en la red remota. Si no lo hacemos asi probablemente no podamos salir a Internet desde nuestro pc cliente, ya que buscaría el router al que esta conectado el pc remoto en lugar del nuestro.


Pues bien, como podéis comprobar la cosa es bien sencilla. A esto unimos los siguientes aspectos que he tenido en cuenta:
- Los puertos de mi router (Zyxel P-870HW-51A V2) están correctamente abiertos (1723 - TCP y redirigido a la IP del pc que ejerce de servidor y 47 - UDP igualmente redirigido a dicha IP).
- Confirmo que la apertura de puertos funciona, pues tengo abierto por ejemplo el 3389 para la conexión remota y funciona sin problemas.
- Cortafuegos está desactivado. No obstante añadí dos excepciones (puertos 1723 TCP y 47 UDP) por si en un momento dado lo reactivo.
- Utilizo un dyndns para asignar la ip. No obstante he probado con poner la IP actualizada a mano, y sin respuesta hasta ahora.


Pues teniendo en cuenta todos estos "ingredientes", sigo sin poder hacerlo funcionar.....¿Alguien podría echarme una mano que no al cuello?

Gracias !!!!

JaBaT
31/10/2011, 00:35
Por lo que veo estas usando el tipico manual de windows XP sin usar ningun software adicional. No puedo ayudarte demasiado en eso porque nunca lo he hecho asi, solo puedo decirte que revises usuarios y contraseñas y las cosas típicas de windows ya que imagino que el router lo tendras bien preparado.
Lo que no entiendo muy bien si es al lugar de trabajo donde quieres conectacte si ya esta creado alli todo lo del servidor o es algo que también quieres montar, lo digo por si es mas problema de saber como entrar o en cambio saber todo el proceso de crear la VPN.

Quizás una opcion mas sencilla sea usar software especifico ya que ademas tendras mucho mas control sobre la VPN.

enigma_z
31/10/2011, 09:51
Me temo que así es, tendré que probar con algún software destinado a estos fines....pues no encuentro la forma de hacerlo mediante las herramientas de XP solamente....(aunque no me rindo aún...jejejeje).

JaBaT
31/10/2011, 13:39
Si quieres seguin con XP, asegurate que el usuario que vas a usar como cliente este bien creado en el equipo que actua como servidor. Revisa bien los puertos, incluso abre el 47 en UDP y TCP que aunque muchos routers no necesitan abrirlo es mejor.
Asegurate que los servicios correspondientes estan iniciados.

enigma_z
31/10/2011, 15:26
Hay un detalle que creo que no he contemplado. Cuando dices:


asegurate que el usuario que vas a usar como cliente este bien creado en el equipo que actua como servidor....

Este paso en principio no lo sigo. Es decir, el usuario en el servidor (pc de casa )está claro, es enigma_z. Cuando me conecto lo hago desde el cliente (pc del trabajo) el usuario enigma_z no está creado, puesto que como se supone que te identificas con un usuario y contraseña, usas el asignado por el servidor.
No obstante y por hacer las pruebas bien hechas, ¿me indicas que debería crear un usuario en windows xp en mi pc del trabajo que se llame exactamente igual que el usuario que tengo en el pc servidor (enigma_z)?

saludos.

JaBaT
31/10/2011, 15:29
Eso es.

En el equipo que hace de servidor debes crear el usuario que vas a utilizar para conectarte desde el cliente.

Clonnico
31/10/2011, 15:34
Buenas.

Hoy he estado haciendo pruebas con dos xp (poco rato), me falta algo para que rule pero no he tenido tiempo para dedicarle, luego volveré a la carga a ver si entre todos lo hacemos.

El caso es que hace tiempo lo hice, conecté un pc con xp y otro con vista y ahora de momento no tengo narices.

Seguimos.

Un saludo.

enigma_z
31/10/2011, 20:56
Pues ya somos dos....y mira que la cosa es simple de narices. Seguiremos probando hasta conseguirlo....:D

Jabat amigo, evidentemente en el equipo servidor está creado el usuario (administrador del mismo) el cual es el que uso para conectarme...pero ni se entera. :confused1:

enigma_z
31/10/2011, 21:26
Por ir avanzando...en local si que funciona, a la primera conecto el Galaxy con el pc vía VPN. Lo que no consigo es hacer el streaming, me da error con el VLC....pero eso es otro tema ahora mismo.
Lo que nos interesa es el poder conectar en remoto, y una vez conectemos...ya nos plantearemos el tema del VLC....

;)