AYUDA VPN ROUTER HGU Y ACCESO CON CHECK PONT
Hola Con la implantación del teletrabajo comencé a trabajar en casa accediendo al trabajo con Check poing vpn. Ahora que he visto lo práctico que es me planteé hacer uso del programa para acceder a...
Foro
Buenas Heliodoro
Antes que nada, yo diferenciaría muy bien lo que es la razón de ser de una VPN, y por otro lado un acceso remoto a un equipo, porque son dos cosas totalmente diferentes.
Usamos una VPN cuando requerimos acceder a una red en particular sin estar conectados directamente a ella, lo que nos aporta poder usar los recursos de dicha red. Por ejemplo, si en mi casa tengo un NAS que por seguridad no expongo a Internet, podría conectarme a una VPN en mi casa y ya sí tendría acceso a él. O por ejemplo, podría usar una impresora en mi casa que está conectada en red desde otra parte del planeta. Para eso usamos VPN.
Otra cosa totalmente diferente es si lo que queremos es acceder de forma remota a un equipo de nuestra casa. Para eso no usamos VPN, usamos protocolos y tecnologías específicas para ello. No conozco el software que usarás ni cual es realmente tu "necesidad", pero desde luego si es para acceso remoto a un equipo, te estás equivocando de software y haciendo complejo algo bastante más simple.
En caso de configurar un acceso remoto, la mejor forma, rápida y segura, es (en caso de usar el equipo Windows), configurar "Escritorio Remoto", que es exactamente para eso. La configuración en Windows es simple, en Sistema se habilita el acceso y ya está, el propio Windows ya está preparado para ello, por defecto usa el puerto 3389
Terminado eso, lo único que hay que hacer es abrir el puerto en el router para permitir el acceso remoto. Cuando se mapea un puerto, y de ahí a lo mejor también tu confusión, lo que importa es la IP privada del equipo al que se va a redirigir el tráfico, no la IP púbica, que es la que se asigna al Router, y es para la cual creamos servicios como DDNS. En el mapeo de puertos la IP privada es necesaria porque el Router tiene que saber a quien enviar el tráfico. Así que por ejemplo es una buena medida de seguridad hacer un mapeo de un puerto aleatorio que nos guste al 3389 en este caso, es decir, puerto externo 41234 (por ejemplo) e Interno 3389, a la IP del equipo dentro de la red.
La IP privada de nuestro equipo en nuestra red puede cambiar también por como funciona la asignación IP del Router, con lo que para evitar esto configuramos en el Router un lease estático en el servidor DHCP, para que a la MAC del adaptador de red del equipo siempre se le asigne la misma IP privada. Por defecto Movistar empieza a asignar a partir de la 1.33, pero podemos decirle al Router que el equipo X tenga siempre la 192.168.1.20 (por ejemplo). Así ya podemos configurar el mapeo de puertos, porque el 1.20 será siempre la nuestra si se ha configurado bien.
Ahora sí, con el servicio DDNS (como no-ip) tan solo tendríamos que abrir el cliente de escritorio remoto, presente en cualquier equipo Windows sin tener que instalar nada, e introducir simplemente ahí nusetro DDNS, si hemos cambiado en el mapeo del puerto por seguridad el puerto externo, simplemente lo incluimos con dos puntos, ejemplo: "middns.ddns.net:41234"
Con eso el cliente RDP puede encontrar la IP pública a la que conectarse gracias a no-ip, el tráfico llega al Router, el Router reconoce el mapeo de puerto 41234 y lo reenvía a 1.20 al puerto 3389. Si dicho equipo está encendido y configurado para aceptar conexiones remotas, aparecerá automáticamente la pantalla de lnicio de sesión.
---------------
Todo esto puede mejorarse aun más si además configuras el equipo para poder ser arrancando estando apagado de forma remota, de forma que podrías estar trabajando desde fuera, apagar el equipo al terminar, y cuando lo necesitases de nuevo arrancarlo de forma remota, esperar unos segundos a que esté arrancado, y realizar la conexión remota.
Muchísimas gracias por tu detallada respuesta.
He aprendido mucho y seguiré aprendiendo pues soy un párvulo en todo esto.
Lo que pretendo es, por ejemplo, si estoy fuera varios días, dejar ordenador encendido (es pc de torre) y que mi pareja, que trabaja en casa como autónoma, pueda acceder a algún fichero, consultar su programa de facturación que es básico o realizar algún trámite en Internet con el certificado digital que está en el equipo si le surge una urgencia.
En mi portatil profesional no puedo cargar nada de esto ni tampoco en insertar usb con sus ficheros más básicos y certificado por política de seguridad de empresa y se me ocurrió que esta vía era una forma segura y rápida para atender alguna necesidad puntual que tenga. De este modo puede alejarse con tranquilidad de casa sabiendo que si es necesario puede solucionar algún asunto urgente.
Si sigues recomendando la via del escritorio remoto seguiré investigando y probando a ver si soy capaz de hacerlo que todo esto es muy técnico para mi pero aprendo intentándolo.
Gracias de nuevo
Muchas gracias de nuevo Theliel
La cuestión es la siguiente. Mi pareja tiene su trabajo en la torre fija y yo tengo el portatil de mi empresa aunque muy capado por política de seguridad.
La idea es tener flexibilidad para escaparnos dos o tres días entre semana con la tranquilidad de que si surge algo urgente para ella (no es habitual) pueda atenderlo con mi equipo.
También, que el acceso sea seguro.
Por eso estaba viendo alternativas. No habría problema en dejar el equipo dos o tres días encendido. De hecho ahora solo lo apaga por la noche.
De lo que explicas me gustaría aclarar (y perdona porque soy un poco lego) lo siguiente que me dices:
Ya te digo que configurar RDP es lo más simple del mundo, solo requiere abrir en el Router el puerto TCP/UDP (ambos) 3389 por defecto, por seguridad se cambia el externo, y ya está. Un dominio DDNS para evitar cambios de IP en el Router.
Entiendo que lo he hecho con conseguir una IP fija en NO-IP es lo de dominio DDNS. Pero la duda es que dirección IP tendría que indicar al portal Alejandra para abrir el 3389 ¿es la que marque el equipo en ipconfig en ese momento cuando esté encendido?. Pues el NO-IP comienza por 80. y en Alejandra no me deja.
Averiguaré cómo se cambia el externo.
Gracias otra vez
Buenas Heliodoro
En primer lugar configura TODO desde la interfaz avanzada del Router, ni desde Alejandra ni desde la interfaz simple.
Por otro lado, da la sensación de que te has dado de alta en no-ip, pero para que esto realmente tenga valor tiene que ser configurado en el Router, de lo contrario te da lo mismo apuntar en un papel la IP pública que saberte el dominio. El uso de un servicio DDNS es precisamente que si la IP de la conexión cambia, poder seguir usando el mismo dominio/subdominio. Dentro de la interfaz avanzada del Router, podrás configurar en DDNS los datos de no-ip. No tienes que aprenderte de memoria la IP pública, ni la necesitas para nada.
En el Router, de nuevo repito en la interfaz avanzada, en el apartado de NAT, necesitas hacer una redirección de puertos, o abrir puertos o como lo quieras llamar. En esencia es decirle al Router que el tráfico que reciba por un puerto concreto, reenviarlo a un equipo concreto de tu red.
Tu confusión radica en no separar dos conceptos. La IP pública es única dentro de Internet, es la dirección digamos de tu "router"/"conexión" dentro de Internet, y es compartida por todos los equipos de tu red, todos usan la misma IP pública, esta se asigna al Router, no a tus dispositivos.
Otra cosa totalmente diferente es una IP Privada. Una IP Privada tan solo tiene valor dentro de una red, es decir, de Router para dentro. De Router para dentro todo funciona con las IPs locales/privadas, que son asignadas por el propio Router en un intervalo que se especifica en en servidor DHCP del Router, que es el que asigna estas direcciones. Existen 3 rangos IPs que se llaman privados, es decir, que no son usables para Internet, solo para redes locales, y por ende reutilizables por cualquiera. Por defecto, Movistar usa el rango privado 192.168.1.0/24 (es decir, de la 1.2 hasta la 1.254, la 1.1 es el propio Router, la 1.255 esla dirección de broadcast). Dicho de otro modo, de Router para dentro, cualquier equipo de tu red tiene asignada una IP dentro de dicho rango, que no tiene absolutamente nada que ver con Internet.
Es por eso que se requieren "abrir puertos" en el Router, porque las IPs privadas no pueden ir más allá. Cuando requieres conectarte o usar un servicio de dentro de tu red desde fuera, como esos equipos no están conectados directamente a Internet sino al Router, el Router requiere especificarle que envíe dicho tráfico a un equipo concreto de tu red.
---------------
La IP pública, o el dominio dinámico (DDNS) si lo tienes configurado sirve para poder "alcanzar" al Router desde cualquier parte del mundo. Pero el mapeo de puertos es necesario para que el Router envíe eso a la torre, a la IP privada (local) de la torre. El Router no necesita la IP pública, ya la sabe, lo que necesitas para abrir un puerto es la IP del equipo LOCAL, la que efectivamente te saldrá cuando pongas ipconfig, que será 192.168.1.X.
Pero las IPs locales por defecto son también dinámicas. Eso quiere decir que a lo mejor ahora mismo es la 1.33, pero si se reinicia el equipo o el Router puede cambiar, lo que echaría por tierra el mapeo de puertos configurado en el Router. Para evitar esto, en el Router, en el Apartado LAN de la configuración avanzada, se debe de configurar una asignación estática, para que la IP de la torre sea siempre la misma, que no dependa de cuando se enciende o se apaga. Para eso, con el mismo comando, realmente parecido: "ipconfig /all" puedes ver la dirección física MAC, y en el apartado citado del Router, podrás asociar a dicha MAC la IP fija que quieras, obviamente dentro del rango que usa Movistar para la red local, 192.168.1.X.
Así que resumiendo los pasos son:
1º. Configurar el cliente DDNS del Router en la interfaz avanzada del Router
2º. Asignar a la torre una IP local fija, lo ideal es usar la interfaz avanzada del Router, LAN, y asociar la MAC del equipo a la IP que se le quiera asignar. Desconectar/conectar el equipo para comprobar que efectivamente se le asigna la IP deseada.
3º. Como ya tenemos fijada la IP local, config avanzada del Router, NAT, PortForwarding/VirtualServer, y añadimos un mapeo nuevo, a la interfaz ppp (a lo mejor te deja escoger varias). Puerto externo por seguridad se pone otro, el 21234 por ejemplo, puerto interno 3389 que es el que por defecto usa RDP, y la IP destino que es la IP lcoal que hemos fijado en el punto 2. Abrir tanto TCP como UDP
4º. Si todo es correcto y hemos habilitado en Windows RDP, desde ese momento, cualquier equipo conectado a Internet podrá acceder a escritorio remoto de la torre a través del cliente RDP, simplemente escribiendo en la dirección/host destino: "midominio-noip.com:21234"
No importa si quisieses usar cualquier otro software específico para la conexión, los puntos citados serían los mismos, la única variante sería en esencia el puerto a usar, ya que cada servicio/aplicación puede usar unos diferentes, pero el resto en esencia es lo mismo, es el ABC de la apertura de cualquier puerto en el Router para poder acceder a algún servicio de un equipo que tenemos dentro de la red local.
Buenas Heliodoro
Ahora me surgen más dudas compañero!!
A ver si me aclaro. La cuestión es que tu tienes tu equipo personal con todas las cosas en tu casa, en una torre, con documentos, certificados y otros que no puedes llevar contigo dado que el portátil de la empresa no te lo permiten. Y que si en un momento dado puedes necesitar, decirle a tu pareja que acceda a ellos, pareja que presupongo por ende que vive en casa diferente.
Si es así, sigue siendo lo más rápido y cómodo escritorio remoto, es más, el portatil que tengas, si tiene Windows, tendrá instalado por defecto el cliente de escritorio remoto, con lo que podrías realizar la conexión remota a tu torre sin instalar nada en el equipo de la empresa, no solo que pudiese acceder por remoto tu pareja, los dos podríais en principio.
Ya te digo que configurar RDP es lo más simple del mundo, solo requiere abrir en el Router el puerto TCP/UDP (ambos) 3389 por defecto, por seguridad se cambia el externo, y ya está. Un dominio DDNS para evitar cambios de IP en el Router.
Sí sería algo más complicado y arena de otro costal en caso de que se quisiese también de forma remota el encendido del equipo, para poder así apagarlo mientras no se usa, con un considerable ahorro eléctrico, y también por seguridad. Esto sería algo más tedioso porque se requieren algunos "preparativos" algo más extensos, como configurar la BIOS/UEFI del sistema, asegurarse que el Router puede crear ARP estáticas y algunas cosillas más. Pero si se queda encendido 24/7, ya te digo que se configura en cuestión de un par de minutos.
