¿Qué es PPTP?
PPTP es un protocolo de red creado por Microsoft que permite la realización de transferencias seguras desde clientes remotos a servidores emplazados en redes privadas, empleando para ello tanto líneas telefónicas conmutadas como Internet. En el escenario típico de PPTP, el cliente establecerá una conexión dial-up con el servidor de acceso a red (NAS) del proveedor del servicio, empleando para ello el protocolo PPP. Una vez conectado, el cliente establecerá una segunda conexión con el servidor PPTP (necesariamente Windows NT Server 4.0) el cual estará situado en la red privada. Dicho servidor será utilizado como intermediario de la conexión, recibiendo los datos del cliente externo y transmitiéndolos al correspondiente destino en la red privada.
PPTP encapsula los paquetes PPP en datagramas IP. Una vez que los datagramas llegan al servidor PPTP, son desensamblados con el fin de obtener el paquete PPP y desencriptados de acuerdo al protocolo de red transmitido. Por el momento, PPTP únicamente soporta los protocolos de red IP, IPX, y NetBEUI. El protocolo PPTP especifica además una serie de mensajes de control con el fin de establecer, mantener y destruir el túnel PPTP. Estos mensajes son transmitidos en paquetes de control en el interior de segmentos TCP. De este modo, los paquetes de control almacenan la cabecera IP, la cabecera TCP, el mensaje de control PPTP y los trailers apropiados.
La autenticación PPTP está basada en el sistema de acceso de Windows NT, en el cual todos los clientes deben proporcionar un par login/password. La autenticación remota de clientes PPTP es realizada empleando los mismos métodos de autenticación utilizados por cualquier otro tipo de servidor de acceso remoto (RAS). En el caso de Microsoft, la autenticación utilizada para el acceso a los RAS soporta los protocolos CHAP, MS-CHAP, y PAP. Los accesos a los recursos NTFS o a cualquier otro tipo, precisa de los permisos adecuados, para lo cual resulta recomendable utilizar el sistema de ficheros NTFS para los recursos de ficheros a los que deben acceder los clientes PPTP.
En cuanto a la encriptación de datos, PPTP utiliza el proceso de encriptación de secreto compartido en el cual sólo los extremos de la conexión comparten la clave. Dicha clave es generada empleando el estándar RSA RC-4 a partir del password del usuario. La longitud de dicha clave puede ser 128 bits (para usuarios de Estados Unidos y Canada) o 40 bits (para el resto de usuarios).
Por último, PPTP puede ser utilizado conjuntamente con cortafuegos y routers, para lo cual deberá habilitarse el paso del tráfico destinado al puerto TCP 1723 (tráfico PPTP) y protocolo 47 (IP).
| PPTP | L2TP/IPSec | OpenVPN |
| ENCRIPTACIÓN VPN | 128-bits | 256-bits | 160-bits 256-bits |
| SEGURIDAD DE VPN | Encriptación básica | La máxima encriptación. Comprueba la integridad de los datos y encapsula los datos dos veces. | La máxima encriptación. Autentifica los datos con certificados digitales. |
| VELOCIDAD DE VPN | Rápido debido a la encriptación más baja. | Necesita más proceso de la CPU para encapsular los datos dos veces. | Protocolo con mejor rendimiento. Velocidades elevadas, incluso en conexiones con alta latencia y a grandes distancias. |
| ESTABILIDAD | Funciona bien en la mayoría de puntos de acceso Wi-Fi, muy estable. | Compatible con dispositivos NAT. | La más fiable y estable, incluso tras routers inalámbricos, en redes no fiables, y en puntos de acceso Wi-Fi. |
| COMPATIBILIDAD | Nativo en la mayoría de los sistemas operativos de dispositivos de sobremesa, portátiles y tablets. | Nativo en la mayoría de los sistemas operativos de dispositivos de sobremesa, portátiles y tablets. | Compatible con la mayoría de los sistemas operativos de ordenadores de sobremesa y dispositivos Android móviles y tabletas. |
| CONCLUSIÓN | PPTP es un protocolo rápido, fácil de usar. Es una buena elección si su dispositivo no soporta OpenVPN. | L2TP/IPsec es una buena elección si su dispositivo no soporta OpenVPN y la seguridad es la prioridad máxima. | OpenVPN es el protocolo recomendado para equipos de sobremesa incluyendo Windows, Mac OS X y Linux. El máximo rendimiento - rápido, seguro y fiable. |
1.- ELEMENTOS UTILIZADOS EN ESTE TUTORIAL
- [Servidor VPN] - Windows 2008 Server R2
- [Cliente VPN] - Windows 7
- [Cliente LAN] - GNU/Linux Debian 8
2.- ESQUEMA DE RED
Para este tutorial, usaré un total de 3 equipos. Uno de ellos (192.168.1.1 y 80.80.80.80) será el servidor de VPN con Windows 2008r2. Este equipo se encargará de dar acceso a los equipos externos a nuestra red interna LAN. Podemos imaginar que la LAN es una oficina y queremos acceder a los equipos de ella desde cualquier lugar del mundo. El equipo remoto tendrá la IP 80.80.80..81 y dentro de la LAN configuraremos un servidor de SSH en un equipo con GNU/Linux Debian 8 y con la IP 192.168.1.2. El esquema queda de la siguiente forma:
Esquema de red
3.- INSTALACIÓN DEL SERVIDOR WEB APACHE
Antes de comenzar la instalación del software necesario en el servidor de VPN, debemos asegurarnos que tenemos configuradas las 2 interfaces de red correctamente. En mi caso, a una de ellas la llamaré INTERNET y tendrá la IP 80.80.80.80/255.255.255.0 y no le pondré ni DNS ni puerta de enlace. La otra será la interfaz de LAN y tendrá la IP 192.168.1.1/255.255.255.0, no le pondré DNS pero si puerta de enlace 192.168.1.1, aunque no es necesaria.
Interfaces de red
Ahora, desde "Administrador del Servidor" añadiremos el nuevo rol para que nuestro equipo Windows 2008r2 puede gestionar las conexiones de VPN entrantes. Para ello instalaremos el rol de "Servicios de acceso y directivas de redes":
Nuevo rol
A continuación, debemos añadir al rol el servicio de "Servicio de acceso remoto":
Servicio de acceso remoto
Una vez finalizada la instalación del nuevo rol, tendremos una nueva opción en nuestro menú de "Inicio->Herramientas administrativas->Enrutamiento y acceso remoto":
Nueva opción en el menú
Por defecto, el servicio de VPN está desactivado. En el menú vertical izquierdo podemos ver una flecha roja hacia abajo indicando que el servicio no está arrancado. Tampoco está configurado obviamente:
Pantalla principal enrutamiento y acceso remoto
Ahora vamos a proceder a configurar nuestro servidor de VPN PPTP. Para ello pincharemos en el nombre de nuestro equipo y luego con el botón derecho haremos click en "Configurar y habilitar Enrutamiento y acceso remoto":
Configurar y habilitar enrutamiento
En el siguiente menú debemos seleccionar la primera de las opciones: "Acceso remoto (acceso telefónico o red privada virtual)":
Tipo de acceso al servidor VPN
Las conexiones al servidor puede ser a través de VPN ó a través de acceso telefónico. En nuestro caso usaremos VPN PPTP, por tanto, marcaremos la primera opción (VPN) y seguimos adelante:
Conexión tipo VPN
En la siguiente pantalla, se muestran las interfaces de red de las que dispone el servidor. Los clientes se conectarán a la IP 80.80.80.80 en la interfaz INTERNET y podrán acceder a la red internet 192.168.1.0/24 de la interfaz LAN. Si queremos incrementar la seguridad, marcaremos el check de "Habilitar seguridad..." Con este check, conseguimos filtrar y dejar pasar todas las conexiones de tipo VPN al servidor. Cuidado porque si marcamos la opción no funcionará cualquier otro protocolo, marcadlo con cuidado:
Interfaces de red del servidor
Cuando un cliente en una red externa se conecta a la VPN, se le otorga una dirección IP del mismo rango que la dirección de red de la LAN a la que accede. Para ello, podemos dejar que sea el servidor DHCP el que gestione el rango de IPs ó podemos seleccionar entre que IPs queremos que mueven los clientes de la VPN. En mi caso voy a seleccionar "Intervalo de direcciones personalizado":
Asignación de direcciones IP
Configuraré la IP inicial en 192.168.1.240 y la final en 192.168.1.254, por tanto, tendremos un total de 15 direcciones IP disponibles:
Intervalo de direcciones
Tenemos la opción de realizar la autenticación de usuarios contra un servidor RADIUS. En entornos domésticos/pymes no suele haber tantos usuarios como para necesitar un servidor RADIUS, por tanto, seleccionaremos "No" (por defecto) y continuamos la configuración:
Servidor RADIUS
En este punto, la configuración básica ha finalizado. Ahora podremos configurar algunos otros parámetros desde el menú de la izquierda. Para ello, pincharemos en nuestro equipo y con el botón derecho haremos click en Propiedades. En la pestaña "General" habilitaremos el Enrutador IPv4 y el servicio de IPv4. Si estás usando IPv4, deberás marcar esta opción aunque es raro que uses ya está nueva versión:
IPv4
En la pestaña "Seguridad" debemos asegurarnos que tenemos "Autenticación de Windows" y "Cuentas de Windows". Estas opciones vienen marcadas por defecto y no necesitarás cambiarlas casi con total seguridad:
Seguridad
Haciendo click en "Métodos de autenticación", dejaremos las opciones tal y como vemos en la siguiente imagen. Si por algún motivo necesitas alguna de las otras opciones, la marcaremos y aceptaremos:
Métodos de autenticación
Ahora, en el menú izquierdo en "puertos" haremos click y con el botón derecho dejamos solamente activado el PPTP, los demás los dejamos desactivados ya que no vamos a utilizarlos:
Puertos PPTP
Desde la Administración de Equipos, debemos crear un usuario (ó modificarlo si ya existe) y asignarle permisos para conectar a través de VPN. Si no hacemos esto, el usuario no podrá conectar aunque las credenciales sean correctas:
Administración de usuarios
Seleccionaremos el usuario que queramos y en Propiedades->Marcado, deberemos activar la opción de "Permitir acceso":
Marcado remoto
4.- CONFIGURAR EL CLIENTE VPN CON WINDOWS 7
La configuración en el cliente con Windows 7 es sumamente sencilla y apenas se tarda 5 minutos en realizar la conexión. Para ello, debemos crear una nueva conexión desde el "Centro de redes y recursos compartidos", donde seleccionaremos "Conectarse a una red":
Centro de redes y recursos compartidos
Dentro de los diferentes tipos de conexión que nos ofrece el asistente, seleccionaremos "Conectarse a un área de trabajo" la cual nos sirve para conectar a un equipo remoto a través de una VPN:
Conectarse a un área de trabajo
En caso de tener ya creada alguna otra conexión de tipo VPN, el asistente nos avisará si queremos crear una nueva conexión o usar la existente. Como queremos una conexión nueva, seleccionamos "No, crea una nueva conexión":
Conexión existente ó conexión nueva
Podemos conectar remotamente a través de VPN o con marcado de teléfono. Seleccionamos la opción de VPN:
Usar conexión de Internet (VPN)
Las pruebas las estoy realizando con máquinas virtuales, y el equipo cliente 80.80.80.81 no tiene salida a Internet. El asistente nos da la posibilidad de configurar el acceso a Internet si queremos. Como no me interesa configurarlo, marcaré la opción de "Configuraré más tarde una conexión a Internet":
Configurar conexión a Internet
Introduciremos el nombre DNS del equipo ( si tiene ) ó la dirección IP del servidor VPN y le ponemos un nombre de conexión:
Dirección servidor VPN
Introducimos el nombre de usuario y la contraseña del usuario que tiene permisos de marcado en remoto:
Usuario y contraseña de VPN
Una vez que hemos finalizado la configuración de la nueva conexión VPN, procederemos a conectar con Doble Click ó botón derecho->Conectar:
Conectar VPN
El asistente nos pide el usuario y contraseña, lo ponemos y damos a Conectar:
Credenciales VPN
Una vez se ha establecido la conexión , podemos ver el estado de la misma:
Estado general de VPN
Con un poco mas de detalle, podemos ver que la conexión es PPTP y la autenticación usada es MS CHAP V2. Podemos ver la IP del servidor remoto y la local asignada:
Detalles del estado de la conexión VPN-PPTP
5.- COMPROBACIÓN DEL SERVICIO VPN PPTP
Para probar si la VPN funciona correctamente, desde el equipo externo tenemos acceso a los equipos de la red privada VPN, realizaremos una conexión de SSH desde el quipo remoto 80.80.80.81 hasta el equipo GNU/Linux de la LAN con IP 192.168.1.2:
Conexión con Kitty
En la siguiente imagen se ve como se puede hacer login sin problema en el equipo de la LAN y a través de la VPN:
Conexión satisfactoria SSH-VPN
6.- REQUERIMIENTOS ADICIONALES
Debemos tener en cuenta que si el servidor está detrás de un Router, será necesario hacer NAT del puerto 1723 TCP. Si no hacemos esto, las conexiones entrantes nunca conseguirán llegar hasta nuestro servidor de VPN tras el router.
ENJOY!
Login con Google
Login con Microsoft
Login con GitHub