Solucionando el error 809 en Windows al intentar conectar una VPN con L2TP/IPSec.

Hoy configuraba en el trabajo un compañero una conexión VPN a través del firewall de un cliente nuevo y se encontraba siempre con el mismo código de error: el 809.

En principio todos los datos parecían correctos y en mi equipo (Xubuntu) y el de otro compañero (Mac) funcionaba, así que parecía que era algo relativo a la configuración de Windows. Tras un rato de búsqueda por Google me encontré con lo siguiente: Windows por defecto no puede establecer conexiones seguras con servidores que estén ubicados tras un dispositivo que haga NAT.

Entonces ¿cómo solucionamos esto?. Pues siguiendo estos pasos para cambiar esta configuración en el registro:

  • Abrimos el editor de registro regedit
  • Buscamos la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  • Añadimos un nuevo valor de DWORD de 32 bits que se llame AssumeUDPEncapsulationContextOnSendRule
  • Buscamos también la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
  • Si no existe la clave IPsecThroughNAT la creamos y le ponemos como valor 2, en caso de que exista modificamos su valor a 2.
  • Reiniciamos el equipo.

El valor 2 en estas claves implica que Windows permitirá realizar asociaciones de seguridad tanto si el cliente como el servidor se encuentran tras un dispositivo que haga NAT.

Anuncios

Saltarse la redirección de nba.com hacia la web de AS

Hoy leía un artículo de SoloTriples donde comentan una forma de evitar la redirección que la web nba.com hace a sus lectores, redireccionándolos hacia su socio español: el diario AS. ¿motivos  para querer acceder a la web americana? Pues muchos, desde no querer pasar por un medio AEDE a querer leer alguno de los blogs o artículos de la web original, ya que no traducen todo el material. Como ya decía, en SoloTriples dan una solución, aunque yo hace tiempo tenía la mía.

Hace algún tiempo, en otro artículo, os comentaba la existencia de Hola Unblocker, un complemento para el navegador que nos permite usar una VPN gratuíta para acceder a páginas que, por una cosa u otra, estén bloqueadas en nuestro país. En su día lo utilicé para entrar a webs bloqueadas en España como Roja Directa o The Pirate Bay, para ver un partido en el servicio Orange Arena estando en el extranjero o para desbloquear el acceso a la web de la tv pública irlandesa. ¿Hay alternativas superiores a Hola en cuánto a velocidad y/o seguridad? Aunque realmente no haya pruebas de que Hola sea un servicio inseguro hay quien se plantea que si dada su gratuidad. En todo caso, hay alternativas mejores, pero Hola es gratis y es extremadamente intuitivo.

El primer paso es ir a su página oficial y seguir los pasos para agregarlo a nuestro navegador. Una vez lo tengamos instalado basta con entrar a nba.com y cuando nos redireccione a la web de AS acceder desde allí al enlace de la web original. Una vez en dicha web pulsamos el icono de Hola Unblocker y seleccionamos, de la lista de banderas que nos dará, que a esa página se acceda siempre desde los EEUU. A partir de ese momento debería ya acceder siempre a través de esa VPN evitando así la redirección.

Proxys, VPN: algunas herramientas para saltarse bloqueos regionales.

Artículo totalmente oportunista, lo admito. Básicamente porque hoy en España han bloqueado el acceso a The Pirate Bay y seguro que está todo el mundo buscando como loco cómo saltarse el bloqueo regional.

En su día ya hablamos de cómo configurar navegadores para surfear en la red a través de un proxy, así que por no repetirme os podéis ir al enlace. Aquí simplemente vamos a ver una pequeña lista de servicios.

Empezamos por proxys, que hay que recordar que no todos son una garantía de anonimato, pero se configuran con facilidad y permiten saltarse los bloqueos (algunos de los aquí citados ni eso, y te permiten acceder directamente sin tener que configurar nada en tu equipo):

  • XRoxy.com, por ejemplo, ofrece de forma gratuita un listado de proxys actualizado.
  • HideMyAss: Un servicio web proxy gratuito.
  • Hide.Me es trs cuartos de lo mismo, nos permitirá elegir entre navegar desde Alemania, Holanda o los EEUU.
  • Don’t Filter, un desbloqueador web anónimo, que además dice funcionar como herramienta de privacidad.
  • Ninja Cloak es un servicio de navegación anónimo que he utilizado de vez en cuando conectándome desde alguna entidad pública. Permite saltarse tanto bloqueos regionales como incluso saltarse los de un firewall.

Y vamos también con algunos servicios VPN (en principio mucho más sólidos si queréis una garantía de anonimato):

  • Hola! de vez en cuando falla (por ejemplo, lo intenté probar para buscar los datos bloqueados en Europa por Google en base al “derecho al olvido” y no habia manera, seguía reconociéndome como que navegaba desde España), pero se instala fácilmente (yo lo tengo como complemento del Firefox) y generalmente me ha ido bien. De hecho no me había enterado del bloqueo a PirateBay porque lo tenía activado y entraba como si navegara desde Sudáfrica. Un colega mío en Holanda dice que lo ha usado con éxito para ver allí partidos de la ACB que estaban bloqueados regionalmente, y yo también lo he probado con éxito en varias páginas, aunque me genera la duda el par de fallos que tuve. En todo caso puede ser una herramienta útil, y desde luego la configuración es mínima. También tienen un reproductor multimedia, pero no lo he podido probar.
  • OpenVPN: Un clásico en esto de las VPN, va sobre SSL/TLS y proporciona alta seguridad. Para utilizar debes instalar su software cliente. Ya hablamos de él en el pasado.
  • HotspotShield pasa por ser uno de los servicios VPN gratuitos más populares. Sólo lo he probado en Android y he de decir que la cosa me tiraba un pelín lenta en exceso y que me metía publicidad cada dos por tres. Pero en aquel entonces permitía navegación ilimitada (cosa que otros servicios, con una cuenta gratuita, no permitían).
  • ProXPN es un sevicio VPN totalmente gratuito, aunque con la velocidad muy limitada. Eso sí, tienes navegación ilimitada y la opción de utilizar su programa de pago con más opciones.
  • Spotflux ofrece gratuitamente un servicio limitado sólo a navegación web, con limitaciones de ancho de banda tras los primeros días. De nuevo, el servicio de pago da muchas más opciones (es lógico, si no diera ventajas no pagaría nadie).

En fin, no tengo todos testeados a fondo, pero con los que podido probar la cosa funcionaba bien. Así que la cosa queda clara, el bloqueo regional es poner puertas al campo, literalmente.

Crear nuestra propia VPN en Ubuntu

Ya hace unos días hablamos de cómo configurar una IP estática en Ubuntu (y MacOS de regalo). Esto, como ya comenté en el artículo en cuestión, es necesario para ciertos servicios, como el que hoy nos atañe: Crear nuestra propia VPN en Ubuntu. Además, el puerto PPTP (1723 TCP) debe estar abierto. Como también necesitamos tener abierto otro puerto que soporte el protocolo GRE, lo mejor es usar la regla para PPTP del router. Manualmente no podemos realizar esta operación, pero las reglas predefinidas sí la realizan.

Una vez con la configuración previa lista, tocará irse al terminal para descargar e instalar el paquete PPTP, con permisos de administrador como para toda instalación. Tal que así:

sudo apt-get install pptpd

Como ya sabéis sudo nos permite realizar una instrucción con permisos de administrador (la primera vez que lo usas en el terminal te pedirá la contraseña). Cuando comience la instalación también os preguntará si queréis instalar el paquete bcrelay, pulsad la S para confirmar y vía.

Cuando termine la instalación, se lanzará de forma automática el servidor PPTP. Ahora toca meter mano en la configuración, con el editor de texto Nano.

sudo nano /etc/pptpd.conf

Al final de todo tenéis que añadir las líneas localip seguida de la ip que queráis tener como servidor local en la VPN (ojo, poned una que esté fuera del rango de IP locales, para evitar conflictos) y remoteip seguido del rango de direcciones que usaremos para asignar a los clientes, podéis poner un rango o varias separadas por comas. Aquí un ejemplo:

localip 10.11.0.1
remoteip 10.11.0.100-150,10.10.10.245

Ya tenéis un ejemplo con ambas opciones. Tras esto tocará añadir usuarios a nuestra VPN, configurando el archivo chap-secrets.

sudo nano /etc/ppp/chap-secrets

El formato es el siguiente, con los elementos separados por tabulaciones: nombre_usuario pptpd password *. El primero es el nombre de usuario (ponéis el que queráis darle a ese usuario en la red), lo siguiente el nombre del servidor (en este caso pptpd), la contraseña (poned algo seguro, no abc123) y la ip (un *, que ya nos ocuparemos de eso después).

En fin, tras esto, y como ya he dicho, toca ocuparse de las ip, concretamente configurando el cortafuegos. Como en todo lo primero es que nuestro amigo “el nano” nos abra el archivo rc.local:

sudo nano rc.local

En este caso vamos a la penúltima línea (justo antes de exit 0) del script y añadimos:

iptables -t nat -A POSTROUTING -s 10.11.0.0/24 -o eth0 -j MASQUERADE

El argumento 10.11.0.0/24 es el rango de direcciones que elegimos cuando estábamos configurando PPTPD, si pusiste otro configúralo en consecuencia. El argumento eth0 es el nombre de la tarjeta de red, asegúrate de poner la tuya. Guarda cambios y sigue porque ahora tocará editar otro archivo, el del ip forwarding:

sudo nano /etc/sysctl.conf

Ahí busca la línea comentada #net.ipv4.ip_forward=1 y quítale el # para descomentarla. Guarda cambios y sal.

Y con todo esto nuestro servidor de VPN en Ubuntu está configurado. Ahora sólo te queda configurar los clientes y ya tienes tu propia VPN creada, para poder comunicarte con seguridad con sus miembros, de forma que vuestros datos no estén expuestos a espionajes varios (eso sí, recuerda que toda seguridad no vale de nada si la contraseña de alguno de los usuarios es revelada, la seguridad perfecta no existe, ni existirá mientras haya un factor humano)

Servicios VPN: PPTP vs OpenVPN

Conforme nuestros datos en la red son más importantes, y conforme se elaboran nuevas leyes draconianas para acabar no solo con nuestro anonimato, sino también con nuestra privacidad en internet, los servicios que aumenten la seguridad se confidencialidad de nuestros datos se tornan más populares e importantes.

Las redes VPN pasaron al primer plano de la prensa en España durante los debates sobre la ley Sinde-Wert, siendo la forma más fiable de asegurar la confidencialidad de nuestras comunicaciones. Si bien las VPN no son un concepto nuevo, si ha sido el último año y medio el periodo donde han logrado una mayor popularidad y difusión. En una VPN se utilizan varias medidas de seguridad:

  • Autentificación: El usuario que esté al otro lado debe estar autentificado en la red, sabemos a quién le enviamos el mensaje.
  • Integridad: Se usan algoritmos hash como SHA o MD5 para asegurar la integridad de los datos, que no han sido modificados entre el punto de salida y el de llegada.
  • Confidencialidad: Se utilizan algoritmos de clave asimétrica, como AES, para asegurar que sólo puedan ser leídos por el emisor y el receptor, y no por nadie que los intercepte en medio de la comunicación.
  • No repudio: El mensaje tiene que ir firmado, para el que firmante no pueda negar que fue él quien lo envió

Existen varios tipos de VPN (over LAN, tunnelig, punto a punto…), pero eso sería materia suficiente para otra entrada.

¿Y qué servicio de VPN es mejor? Los más populares son PPTP y OpenVPN, cada uno con sus ventajas e inconvenientes. PPTP sobre todo ofrece velocidad mayor a la de OpenVPN, una gran facilidad de configuración y compatibilidad con sistemas operativos de móvil y tablet (Andorid, iOS), pero por contra esta velocidad se gana por reducir las medidas de seguridad (encripta los mensajes sólo en 128 bits y no utiliza certificados digitale).

Por su parte OpenVPN ofrece la mayor estabilidad, encriptación en 256 bits y autentificación con certificados digitales, es un poco más complejo en configuración que PPTP y un poco más lento, pero tampoco en exceso, su configuración es fácil y su rendimiento bueno. Su verdadero contra es que no está disponbile para sistemas operativos móviles.(nota: esto era así cuando escribí el artículo, a día de hoy OpenVPN existe, al menos, para Android y funciona muy bien)

En resumen, la pérdida de velocidad y el aumento de complejidad de OpenVPN no son unos handicaps suficientemente grandes para decantar la balanza hacia PPTP con su menor seguridad. Para equipos de escritorio OpenVPN es la mejor solución, siendo PPTP la mejor opción cuando se trata de dispositivos móviles.