1. Internet

Sugerencias
Para Pequeñas
y Medianas
Empresas
El Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol) es una
tecnología de red que admite las redes privadas virtuales (VPN) y permite a los
usuarios remotos acceder a la red de su empresa a través de Internet de forma
segura. El cliente VPN con PPTP se incluye en todas las versiones de Microsoft
Windows, Macintosh OS X, Linux y dispositivos móviles como iPhone.
Debido a que el router Cisco Small Business de la serie RV admite el servidor PPTP
y a que la mayoría de los sistemas operativos poseen un cliente VPN con PPTP
integrado, la solución VPN con PPTP brinda a las pequeñas empresas una forma
simple, rápida y segura de ampliar sus recursos de red a prácticamente cualquier
usuario remoto que posea acceso a Internet. Tampoco hay restricciones para la
exportación de tecnología criptográfica en VPN con PPTP.
El PPTP es un protocolo de túnel de capa 2 que encapsula el paquete IP. El protocolo
PPTP se describe en RFC 2637. El PPTP funciona en un modelo cliente-servidor con
un canal de control sobre TCP (puerto TCP 1723) y un túnel de encapsulado de routing
genérico (GRE) (Protocolo IP 47) que encapsula los paquetes PPP (protocolo punto a punto).
A pesar de que tecnologías más recientes como VPN-SSL y VPN con IPsec son más seguras
que PPTP, este sigue siendo un protocolo de red popular entre las diferentes plataformas.
Productos destacados
•
•
•
Router con firewall de seguridad de red Cisco RV110W Wireless (que se utiliza
como ejemplo en este documento)
Router con firewall de seguridad VPN Cisco RV120W Wireless-N
Router con firewall de seguridad Cisco RV220W Wireless-N
•
Cifrado punto a punto de Microsoft (Microsoft
Point-to-Point Encryption, MPPE): el MPPE es una
tecnología de cifrado desarrollada por Microsoft con
el objetivo de cifrar la carga PPP. Estas conexiones PPP se pueden establecer
a través de una línea de acceso telefónico o de un túnel VPN. MPPE trabaja como
función secundaria del protocolo de Compresión punto a punto de Microsoft
(Microsoft Point-to-Point Compress, MPPC). MPPE usa el algoritmo RC4 con
claves de 40 o 128 bits. Todas las claves derivan de la contraseña de
autenticación de texto no cifrado del usuario. MPPE requiere MS-CHAPv1 o v2
o EAP. Los routers Cisco de la serie RV admiten el cifrado de clave MPPE de
128 bits como parámetro de configuración avanzada.
Diagrama de red
Figura 1 muestra un ejemplo de implementación de una VPN con PPTP que utiliza un
router Cisco Small Business de la serie RV110W. Los usuarios remotos de Internet se
conectan al router de VPN con PPTP a través de un túnel VPN con PPTP seguro para
poder acceder a los servidores internos y los recursos de red que, por lo general,
están protegidos contra el acceso público por un firewall que se ejecuta en el router
WAN de Cisco.
El router WAN de Cisco también ofrece routing entre diferentes redes de área local
virtual (Virtual Local Area Network, VLAN), entre ellas la VLAN de datos (30), la VLAN
de voz (40) y la VLAN de administración (60). En este ejemplo, se colocan un servidor
web interno (10.1.30.100) y una videocámara IP (10.1.30.110) en la VLAN de datos.
Figura 1
Remote Users
Características clave
•
Protocolo MS-CHAP (Microsoft Challenge Handshake Authentication Protocol):
el tráfico PPP canalizado en un túnel puede autenticarse con los subprotocolos
PAP (Password Authentication Protocol, protocolo de autenticación de contraseñas),
CHAP (Challenge-Handshake Authentication Protocol, protocolo de autenticación
por desafío mutuo), MS-CHAP v1/v2 o EAP (Extensible Authentication Protocol,
protocolo de autenticación extensible). En el caso del router Cisco Small
Business de la serie RV, se utiliza el MS-CHAPv2 para la autenticación del PPP.
El MS-CHAPv2 es un proceso de autenticación mutua con una contraseña
cifrada unidireccional.
Configuración de VPN del protocolo de túnel de punto a punto (PPTP)
VPN con PPTP con un router Cisco Small Business RV220
Main Office
PPT VPN Tunnel
WAN
Router
Desktop PC
Internet
Laptop
SSL VPN IP Address:
192.168.2.0/24
Data VLAN:10.1.30.0/24
Voice VLAN: 10.1.40.0/24
Internal Web Server:
10.1.30.83
LAN
IP
WAN IP: Dynamic (e.g. 171.71.233.166)
DDNS Host: rv110w.dyndns.org
IP Camera Video:
10.1.30.110
214033
Configuración de VPN con PPTP
Página 1
Configuración de un servidor VPN con PPTP en un router
Consejos útiles para empresas en crecimiento
Configuración de un servidor VPN con
PPTP en un router Cisco Small Business
RV110W
Figura 2
Topología de grupo de agregación de enlaces (LAG) para pequeñas
y medianas empresas
Lista de verificación previa a la configuración
Consulte la RV110W Administrator Guide (Guía de administración de RV110W)
para completar la configuración inicial del router RV110W.
1.
Asegúrese de que el router WAN posea conexiones activas a Internet. Se deben
haber implementado la traducción de dirección de red (NAT; Network Address
Translation) y el firewall.
2.
Garantice la conectividad de la LAN entre el router, el switch y los dispositivos
IP locales. Las VLAN de datos, voz y administración en el router y los switches
RV se deben configurar correctamente. El routing y el enlace troncal entre
VLAN deben funcionar para cada VLAN. Debe estar funcionando el servicio
DHCP para cada VLAN.
3.
Garantice la conectividad de PC, servidores y otros dispositivos IP internos
con el switch de la LAN o los puertos del switch en el router RV. Verifique
que las PC y los servidores puedan comunicarse entre sí y puedan acceder
a Internet pública.
Cómo habilitar DNS dinámico (opcional)
Si se utiliza una dirección IP estática para la WAN o el servicio de DSN dinámico
(DDNS) en el router WAN ya está configurado, omita este paso. Cuando la interfaz
WAN recibe una dirección IP dinámica del proveedor de servicio, puede utilizarse
el DDNS para que el cliente acceda al servidor de la VPN con PPTP a través de un
nombre de host.
Paso 1 Vaya a Networking (Redes) > Dynamic DNS (DNS dinámico) para realizar
la configuración de DDNS (ver Figura 2). Para obtener más detalles, consulte Consejos
útiles: Enabling WAN Public Access with DDNS and Port Forwarding (Habilitación
del acceso público a la WAN con DDNS y reenvío de puertos).
Configuración de VPN del protocolo de túnel de punto a punto (PPTP)
Configuración de un servidor VPN con PPTP
Primero se debe habilitar el servidor PPTP y crear la cuenta del usuario en el router
Cisco de la serie RV.
Paso 1 Vaya a VPN > VPN Clients (Clientes VPN) y marque la casilla de
verificación para habilitar el servidor PPTP. (Ver Figura 3).
Paso 2 Cambie la dirección IP del servidor y el cliente PPTP. En este ejemplo se
utiliza 192.168.11.1 para el servidor PPTP y 192.168.11.100 para la dirección IP
inicial de los clientes PPTP. (La dirección IP final de los clientes PPTP se completa
de forma automática.)
Paso 3 Marque la casilla de verificación para habilitar el MPPE Encyption
(Cifrado MPPE). Es muy recomendable utilizar el cifrado.
Paso 4 Haga clic en Add Row (Agregar fila) para agregar el nombre de cuenta
y la contraseña del cliente PPTP. Asegúrese de marcar la casilla de habilitación
y seleccionar PPTP en Protocolo.
Página 2
Configuración de un servidor VPN con PPTP en un router
Consejos útiles para empresas en crecimiento
Figura 3
Pantalla de configuración de PPTP
c.
Haga clic en Next (Siguiente).
d.
Seleccione Use my Internet Connection (VPN) (Usar mi conexión a Internet
[VPN[).
Paso 3 En la ventana Connect to a Workplace (Conectarse a un área de trabajo),
realice lo siguiente:
a.
Introduzca la dirección de Internet o el nombre de host del servidor VPN con
PPTP (ver Figura 5). En este ejemplo se utiliza la dirección de Internet
rv110w.dyndns.org.
Figura 5
Conectarse a un área de trabajo
Conectarse al Servidor PPTP desde una PC o equipo
portátil con Windows 7
Todos los sistemas operativos de Windows poseen un cliente PPTP integrado. Esta
sección brinda instrucciones paso a paso sobre cómo utilizar el cliente PPTP en
Windows 7.
Paso 1 Desde la PC o equipo portátil del cliente con Windows 7 conectado a Internet,
haga clic en el icono de bandeja del sistema para abrir Network and Sharing Center
(Centro de redes y recursos compartidos de conexión de redes) (ver Figura 4)
y seleccione Open Network and Sharing Center (Abrir el Centro de redes
y recursos compartidos). Otra alternativa es iniciar el Centro de redes y recursos
compartidos desde el panel de control.
Figura 4
Paso 2
Icono de bandeja del sistema para conexión con cables (izquierda)
y conexión inalámbrica (derecha)
b.
Haga clic en Next (Siguiente).
c.
Introduzca el nombre de usuario y la contraseña del cliente PPTP (ver Figura 6)
y haga clic en Connect (Conectar).
En el Centro de redes y recursos compartidos, realice lo siguiente:
a.
Seleccione Setup a new connection or network (Configurar nueva
conexión o red).
b.
En la ventana emergente, seleccione Connect to a workplace (Set up a dial-up
or VPN connection to your workplace) (Conectarse a un área de trabajo
[Configurar una conexión de acceso telefónico o VPN a su área de trabajo]).
Configuración de VPN del protocolo de túnel de punto a punto (PPTP)
Página 3
Configuración de un servidor VPN con PPTP en un router
Consejos útiles para empresas en crecimiento
Figura 6
Ingreso de nombre de usuario y contraseña
Figura 7
Paso 6
Paso 4 Es posible que se genere un error en la conexión y que aparezca el
mensaje “The local computer does not support the required data encryption type”
(El equipo local no admite el tipo de cifrado de datos requerido). Ignore este error
y haga clic en Setup the connection anyway (Configurar la conexión de todas
formas) para completar la configuración inicial. Realizará los ajustes de la
autenticación y el cifrado de forma manual.
Paso 5 Haga clic en el icono de bandeja del sistema de conexión de redes tal
como lo hizo en el paso 1. La recién creada conexión PPTP (que en este ejemplo
se llama VPN con PPTP) aparece en la categoría Acceso telefónico y VPN. Haga
clic con el botón secundario en Properties (Propiedades). (Ver Figura 7)
Configuración de VPN del protocolo de túnel de punto a punto (PPTP)
Pantalla Currently Connected To (Conectado actualmente a)
En la ventana Properties (Propiedades), realice lo siguiente:
a.
Seleccione la pestaña Security (Seguridad) (consulte la Figura 8).
b.
Anule la selección Challenge Handshake Authentication Protocol (CHAP)
(Protocolo de autenticación por desafío mutuo [CHAP]), mantenga seleccionada
la opción Microsoft CHAP Version 2 (MS-CHAP v2) (Microsoft CHAP versión
2 [MS-CHAP v2]) y asegúrese de que el cifrado de datos sea Require
encryption (disconnect if server declines) (Requiere cifrado [desconectar si
el servidor no acepta la conexión]).
c.
Haga clic en OK (Aceptar) para completar la modificación.
Página 4
Configuración de un servidor VPN con PPTP en un router
Consejos útiles para empresas en crecimiento
Figura 8
Propiedades de VPN con PPTP
Figura 9
c.
Paso 7 Haga clic en el icono de bandeja del sistema para la conexión de red tal
como lo hizo en el paso 1 y realice lo siguiente:
a.
Haga clic en la conexión PPTP (que en este ejemplo se llama VPN con PPTP).
b.
Haga clic con el botón primario y seleccione Connect (Conectar). Aparece
la ventana de inicio de sesión (consulte la Figura 9). Introduzca el nombre
de usuario y la contraseña y haga clic en el botón Connect (Conectar).
La conexión debería establecerse correctamente.
Configuración de VPN del protocolo de túnel de punto a punto (PPTP)
Ventana de inicio de sesión para VPN con PPTP
Cuando la VPN con PPTP se conecte, haga clic con el botón secundario en la
conexión PPTP y seleccione Status (Estado). En la ventana Status (Estado)
(ver Figura 10) seleccione la pestaña Details (Detalles). La pantalla muestra el
tipo correcto de cifrado y autenticación y la dirección del cliente IP asignada.
En este ejemplo, el cliente PPTP usa MS CHAPv2 para la autenticación, MPPE
128 para el cifrado y 192.168.11.100 para la dirección IP del cliente.
Figura 10
Estado de la VPN con PPTP: Detalles
Página 5
Configuración de un servidor VPN con PPTP en un router
Consejos útiles para empresas en crecimiento
Conectarse al servidor PPTP desde Mac OS 10.5
c.
Paso 1 Seleccione Apple Menu > System Preference > Network (Menú Apple
> Preferencias del sistema > Red) y haga clic en el botón ‘+’ para agregar una
conexión de red nueva.
Mantenga las otras opciones predeterminadas. Asegúrese de que en el campo
Encryption (Cifrado) el valor sea Automatic (128 bit or 40 bit) (Automático
[128 o 40 bits]) y de que la opción Show VPN status in menu bar (Mostrar
el estado de VPN en la barra de menú) esté seleccionada.
d.
Haga clic en Apply (Aplicar).
Paso 2
En la ventana Network (Red), seleccione o ingrese lo siguiente:
a.
En Interface (Interfaz), seleccione VPN.
b.
En VPN Type (Tipo de VPN), seleccione PPTP.
c.
En Service Name (Nombre del servicio), escriba cualquier nombre (en este
ejemplo se utilizó VPN PPTP).
d.
Haga clic en el botón Create (Crear) para continuar.
Figura 11
Figura 12
Configuración de la red
Conexión de red
Paso 4 Haga clic en Advanced (Avanzado) y en la pestaña Options
(Opciones), asegúrese de marcar la opción Send all traffic over VPN (Enviar todo
el tráfico a través de la conexión VPN) (ver Figura 13). Haga clic en OK (Aceptar).
Paso 3
En la próxima ventana (ver Figura 12), realice lo siguiente:
a.
En Server address (Dirección del servidor), escriba la dirección IP o nombre del
host. En este ejemplo es rv110w.dyndns.org.
b.
En Account Name (Nombre de cuenta), escriba el nombre de usuario del
cliente VPN con PPTP.
Configuración de VPN del protocolo de túnel de punto a punto (PPTP)
Página 6
Configuración de un servidor VPN con PPTP en un router
Consejos útiles para empresas en crecimiento
Figura 13
Opciones de red
Paso 5 (Opcional) Si desea que Mac OS guarde su contraseña, haga clic en el
botón Authentication Settings (Configuración de autenticación) e ingrese la
contraseña. (Ver Figura 14).
Configuración de VPN del protocolo de túnel de punto a punto (PPTP)
Figura 14
Configuración de autenticación
Ha configurado la conexión VPN con PPTP correctamente. Haga clic en Connect
(Conectar) para conectarse al servidor VPN con PPTP.
Página 7
Consejos útiles para empresas en crecimiento
Configuración de un servidor VPN con PPTP en un router
Controlar las conexiones VPN con PPTP en el servidor
El administrador puede ir a Status > VPN Status (Estado > Estado de VPN) para ver
el estado de todos los clientes VPN con PPTP activos (ver Figura 15). La información
del estado incluye los nombres de usuario, la dirección IP del cliente PPTP, el estado,
la hora de inicio y finalización, la duración y el protocolo. El administrador también
puede utilizar el botón Disconnect (Desconectar) para finalizar cada una de las
conexiones.
Figura 15
Estado de VPN
Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. y/o de sus filiales en EE.UU. y en otros países. Para obtener una lista de las marcas comerciales de Cisco, visite
www.cisco.com/go/trademarks. Las marcas comerciales de terceros mencionadas en este documento son propiedad de sus respectivos titulares. El uso de la palabra partner no implica la existencia de una
asociación entre Cisco y cualquier otra compañía. (1005R)
© 2011 Cisco Systems, Inc. Todos los derechos reservados.
Configuración de VPN del protocolo de túnel de punto a punto (PPTP)
Página 8