Conectar por VPN sin perder la conexión a Internet

Conectar por VPN sin perder la conexión a Internet

Cada vez es más habitual el HomeOffice, ya sea ocasional y continuadamente. En muchos casos pasa por configurar y conectar al puesto de trabajo a través de una conexión VPN, lo que hace que otros recursos pierdan su conexión, como puede ser el correo electrónico o la navegación Web y, casi siempre, hay alguna forma de evitar que esto ocurra.

Nosotros nos vamos a ocupar del método que nos resulta mas interesante, desactivar el cambio de la puerta de enlace predeterminada.

En este caso, lo que se pretende es que las direcciones que pertenecen a la empresa se enruten a través de la VPN y el resto de direcciones se dirijan directamente a nuestra puerta de enlace predeterminada (la que actualmente nos da acceso a Internet).

Cuando creamos una conexión VPN y conectamos a través de ella, la puerta de enlace predeterminada se suele cambiar por la puerta de enlace de la red a la que nos hemos conectado, de modo que todo el tráfico que generemos se dirigirá hacia dicha dirección. Por regla general, las redes a las tenemos acceso a través de la VPN no nos darán acceso a Internet, ya que esto haría que todo el trafico que generásemos pasase por el servidor VPN e incrementaría al tráfico desmesuradamente, pudiendo ralentizar la conexión de todos los usuarios que se conectan a la misma. Para que no se cambie la puerta de enlace predeterminada por la de la red remota debemos entrar en las propiedades de la conexión VPN realizar los siguientes pasos:

1-Vamos a la pestaña "Funciones de red"
2-Seleccionamos el "Protocolo de Internet versión 4 (TCP/IPv4)"
3-Pinchamos en "Propiedades".
4-En la nueva ventana pinchamos en "Opciones avanzadas..."
5-En la ventana "Configuración avanzada de TCP/IP" desmarcamos el check "Usar la puerta de enlace predeterminada en la red remota".



Esta es la opción que sólo nos permitía acceder a la red conectada a través de la VPN.

Ahora es momento de probar en que punto estamos, para ello, si tenemos la VPN conectada la desconectamos y la volvemos a conectar, ya que la configuración establecida no se aplica a la conexión actual, sino a la próxima que se establezca. Con los cambios realizados se debería acceder sin problemas a Internet, pero ¿puedes acceder a la red conectada a través de la VPN?

Si en este punto ya puedes acceder tanto a la VPN como a Internet ya está todo resuelto (no es habitual, pero puede ser que no haya que realizar el resto de pasos en función de la configuración actual de la red), si ahora lo que no tienes es conexión a la red conectada a través de la VPN tendrás que enrutar las conexiones convenientemente.

Enrutando las conexiones a través de la VPN

Al dejar de usar la puerta de enlace predeterminada en la red VPN a la que nos hemos conectado, es posible que las conexiones no se envíen a través de la VPN cuando es necesario, de modo que habrá que decirle explícitamente que conexiones han de enviarse a través de la conexión VPN.

Para ello, conectamos con la VPN y comprobamos la dirección IP que se nos ha asignado, ejecutando el comando ipconfig en una ventana de línea de comandos.

Nota: Se puede arrancar la "Línea de comandos" poniendo cmd en el cuadro ejecutar en Windows XP, o en el cuadro de texto del menú Inicio de Windows 7/Vista, aunque también lo puedes encontrar en el menú Accesorios del menú Inicio, con el nombre de "Símbolo del sistema".

La dirección IP que nos ha asignado el servidor VPN es la que se indica como "Dirección IPv4" en el resultado del ipconfig (OJO: comprobar que el apartado se llama "Adaptador PPP <Nombre nuestra VPN>") o como "Dirección IPv4 del cliente" en la ventana de "Estado de <Conexión VPN>".

Si la dirección IP que nos ha asignado el servidor VPN es 192.168.X.X podemos hacer que todas las conexiones con direcciones IP que empiecen por 192.168. se envíen a través de la conexión VPN ejecutando el siguiente comando en una ventana de comandos con permisos de administrador.

route add 192.168.0.0 mask 255.255.0.0 192.168.X.X

Es decir, enrutamos todas las conexiones a direcciones IP que empiecen por 192.168. a través de la dirección IP que nos ha asignado el servidor VPN.

Route

Manipula tablas de enrutamiento de red.

ROUTE [-f] [-p] [-4|-6] comando [destino] [MASK máscara_red] [puerta_enlace] [METRIC métrica] [IF interfaz]

  -f               Borra las tablas de enrutamiento de todas las entradas de puerta de enlace. Si se usa junto  con uno de los comandos, se borrarán las tablas antes de ejecutarse el comando.

  -p               Cuando se usa con el comando ADD, hace una ruta persistente en los arranques del sistema. De manera predeterminada, las rutas no se conservan cuando se reinicia el sistema. Se pasa por alto para todos los demás comandos, que siempre afectan a las rutas persistentes apropiadas.

  -4               Forzar el uso de IPv4.

  -6               Forzar el uso de IPv6.

comando          Alguno de los siguientes:

•                      PRINT     Imprime una ruta
•                      ADD       Agrega una ruta
•                      DELETE    Elimina una ruta
•                      CHANGE    Modifica una ruta existente

 
destino            Especifica el host.

MASK             Especifica que el siguiente parámetro es el valor de 'máscara_red'.

máscara_red   Especifica un valor de máscara de subred para esta entrada de ruta. Si no se especifica, se usa de forma predeterminada el valor 255.255.255.255.

puerta_enlace  Especifica la puerta de enlace.

interfaz             El número de interfaz para la ruta especificada.

METRIC           Especifica la métrica; por ejemplo, costo para el destino.

Todos los nombres simbólicos usados para el destino se consultan en el archivo de base de datos de red, NETWORKS. Los nombres simbólicos para la puerta de enlace se consultan en el archivo de base de datos de nombre de host, HOSTS.

Si el comando es PRINT o DELETE, destino o puerta_enlace pueden ser un carácter comodín, (se especifica como un asterisco '*') o se puede omitir el argumento puerta_enlace.

Si destino contiene un carácter * o ?, se tratará como un modelo del shell y solo se imprimirán las rutas de destino coincidentes. El carácter '*' coincide con cualquier cadena y '?' coincide con cualquier carácter.

Ejemplos: 157.*.1, 157.*, 127.*, *224*.

La coincidencia de patrones solo se permite en el comando PRINT.
Notas de diagnóstico:
    Si MASK no es válido se genera un error, como cuando (DEST & MASK) != DEST
    Ejemplo> route ADD 157.0.0.0 MASK 155.0.0.0 157.55.80.1 IF 1
            Error al agregar la ruta: El parámetro de máscara especificado no es válido. (Destino & Máscara) != Destino.

Ejemplos:

    > route PRINT
    > route PRINT -4
    > route PRINT -6
    > route PRINT 157*          .... solo imprime lo que coincida con 157*

    > route ADD 157.0.0.0 MASK 255.0.0.0  157.55.80.1 METRIC 3 IF 2
                 destino^                            ^máscara   ^puerta de  métrica^    ^enlace         interfaz^

      Si no se proporciona IF, intenta buscar la mejor interfaz para una puerta de enlace específica.
    > route ADD 3ffe::/32 3ffe::1
    > route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2

      CHANGE solo se usa para modificar la puerta de enlace o la métrica.

    > route DELETE 157.0.0.0
    > route DELETE 3ffe::/32

Rizando el rizo

Es habitual que tanto los routers ADSL domésticos como otros equipos concentradores o enrutadores utilicen un rango de direcciones IP que empiecen por 192.168. de modo que, al enrutar con el comando anterior puede haberse perdido la conexión a la red local, es decir, a otros equipos que tengamos en caso conectados al router ADSL, por ejemplo.

En este caso, puedes cambiar el rango de direcciones de la red local al rango 10.X.X.X o, si ambas redes no disponen de algún rango distinto aprovecharlo para enrutar un rango de direcciones IP más pequeño. Por ejemplo, si las direcciones de nuestra red local empiezan por 192.168.2.X y las de la red a la que conectamos por VPN empiezan por 192.168.8.X, podemos enrutar todas las direcciones que se correspondan con dicho intervalo con el comando:

route add 192.168.8.0 mask 255.255.255.0 192.168.X.X

Si las direcciones de la red accesible a través de la VPN empiezan por 192.168.8.X o por 192.168.9.X, es decir, 192.168.8.0 con la máscara 255.255.254.0, podríamos indicarlo de dicho modo:

route add 192.168.8.0 mask 255.255.254.0 192.168.X.X

En este sentido puede ser interesante conocer el rango de direcciones de la red a la que conectamos por la VPN para definir un enrutado más exacto, aunque no es imprescindible. Dicho rango de direcciones se define por una dirección IP de la red (por ejemplo, la dirección de la puerta de enlace y la máscara de red). Si solamente tenemos acceso a algunos recursos esta información nos la tendrá que dar el administrador del sistema (si es que nos la quiere dar), pero si tenemos acceso a algún ordenador remoto (ya sea una máquina física o una máquina real), podemos ejecutar el comando ipconfig en la máquina remota para obtener esta información.

Y, si el servidor de VPN nos asigna una dirección IP cada vez que nos conectamos (no es habitual, pero puede configurarse de dicho modo), entonces podemos utilizar el comando route con la conexión VPN ya establecida, ya que el enrutado se puede aplicar sobre la marcha sin problemas.

Dejándolo todo como estaba

Si haciendo pruebas has dejado la tabla de rutas IP inservible, puedes ver la pinta que tiene con:

route print

 y eliminar las que no sean necesarias o estorben con:

route delete <direccion> mask <máscara>

por ejemplo, para eliminar el primer enrutado que hicimos se podría ejecutar el comando (fíjate que no aparece el 192.168.X.X al final):

route delete 192.168.0.0 mask 255.255.0.0

Pero tampoco tienes que preocuparte demasiado, ya que todos los enrutados que hemos definido desaparecerán al reiniciar el equipo. Si ya has probado la configuración y va bien puedes hacerla definitiva utilizando el parámetro "route print -p", en el comando de enrutado, como en el siguiente ejemplo:

route -p add 192.168.0.0 mask 255.255.0.0 192.168.X.X