Conceptos básicos del acceso móvil remoto: conexión a través de VPN

Tiene una máquina conectada a Internet a través de un nuevo y brillante módem de teléfono móvil que planea administrar de forma remota. Verifica rápidamente la IP externa e intenta iniciar sesión desde otra computadora. Intente tanto como sea posible, SSH simplemente no se conectará. ¿Lo que da?

La realidad de la Internet moderna es que la mayoría de los clientes ya no reciben su propia dirección IPv4 única. Simplemente ya no es suficiente para moverse. En cambio, la mayoría de las telecomunicaciones utilizan la traducción de direcciones de red de grado de operador, que le permite compartir una única dirección externa de varios clientes. Esto puede evitar intentos de enlace directo desde el mundo exterior. Incluso si ese no es el caso, la mayoría de los operadores celulares tienden a bloquear las conexiones entrantes de forma predeterminada. Sin embargo, hay una forma de solucionar este problema: utilizar una VPN.

Red privada y virtual

Una VPN permite que dos o más sistemas conectados a Internet se comporten como si estuvieran en una red local. Esto es útil para la administración remota, especialmente cuando se trabaja con conexiones celulares con reglas de tráfico restrictivas.

Las VPN, o redes privadas virtuales, son exactamente como suenan. Son una red privada que existe entre los clientes en una red pública más amplia como Internet. Cuando se trata de conectarse a hosts remotos en conexiones celulares, son la herramienta perfecta para hacer el trabajo. La conexión del host remoto a un servidor VPN gira en torno al problema de las conexiones entrantes rechazadas, ya que todo el tráfico pasa a través del túnel VPN iniciado por el propio host remoto. Además, significa que otros hosts conectados a la VPN pueden hablar con el host remoto como si fuera otra máquina en una red local. Con la configuración correcta, una VPN puede ser una forma muy segura y flexible de hablar con máquinas remotas con un mínimo de alboroto y furia.

Puede ejecutar su propio servidor VPN en casa sin muchos problemas. Necesitará una computadora con acceso confiable a Internet que pueda aceptar conexiones entrantes. Por lo general, esto implicará habilitar el reenvío de puertos en su enrutador doméstico para que las conexiones realizadas a su IP doméstica en un puerto particular se reenvíen a la computadora con el software del servidor VPN. Además, deberá asegurarse de que la conexión a Internet de su hogar no esté detrás de la NAT de un operador. Generalmente, si tiene cable, ADSL o fibra, se requiere una simple llamada telefónica a su ISP. Sin embargo, en algunos casos, es posible que necesite actualizar a un paquete de enlaces de nivel superior para recibir dicho tratamiento. Tampoco es necesario tener una IP estática; Los servicios de DNS dinámicos pueden facilitar que su sistema remoto recupere su hogar. Incluso puede ejecutar su propio DNS dinámico si lo desea.

Entonces, suponiendo que tenga una computadora y un enrutador con un puerto abierto a una Internet más amplia, solo necesita instalar el programa correcto. OpenVPN es una opción popular para ejecutar un servidor VPN y tiene todas las funciones necesarias con la ventaja de ser gratuito. Históricamente, se requiere una configuración significativa para instalar y generar todos los certificados de cifrado requeridos, sin embargo, con el lanzamiento de OpenVPN Access Server, comenzar es un poco más simplificado.

Sin embargo, existen otras posibilidades. PageKite es una solución VPN de código abierto que tiene como objetivo hacer que la conexión de sistemas remotos sea perfecta. Lo presentamos anteriormente discutiendo cómo conectarse a una Raspberry Pis desde cualquier lugar y en todas partes. Está disponible por una tarifa, con algunos datos a través de los servidores en la nube de PageKite para facilitar todo. El precio recomendado es de solo $ 3 USD por mes, aumentando a $ 6 USD por mes para usuarios más serios. Es una excelente manera de comenzar, si solo necesita su sistema remoto para hablar en línea sin tener que afeitarse demasiado. Otra solución es WireGuard, una VPN de código abierto basada en conceptos de facilidad de uso, velocidad y simplicidad. Con clientes disponibles para una amplia base de sistemas operativos populares, es fácil comenzar sin mucho problema.

Una vez que su host remoto se conecta a una VPN, la administración es fácil. Simplemente habilite SSH o su protocolo de administración remota preferido e inicie sesión como si la máquina estuviera en su red local. Si su máquina remota está configurada correctamente para mantener la conexión y volver a conectarse después del apagado, no debería tener problemas para controlar la máquina, sin importar dónde se encuentre en el mundo, siempre que tenga una buena conexión de datos móviles. Solo asegúrese de que antes de implementarlo en una ubicación local remota, debe conectarlo a la VPN durante el inicio; de lo contrario, no tendrá suerte la primera vez que tenga que reiniciar.

Si ha estado siguiendo esta serie, ahora debe asegurarse de elegir el hardware y software adecuados para controlar una computadora de forma remota a través de la red celular. Por supuesto, con la libertad errante de una red celular viene la dificultad de que su sistema remoto pueda terminar en un lugar remoto y de difícil acceso. Si algo sale mal, puede resultar costoso y complicado resolver el problema. En artículos futuros, exploraremos formas de minimizar estos problemas y la mejor manera de evitar que sucedan cosas. Hasta entonces, ¡feliz piratería!

  • getoffmyhack dice:

    También recomendaría ver SDN. Utilizo ZeroTier y ya no uso una VPN tradicional para el acceso remoto a mi red doméstica.

  • fabricante de acero dice:

    Algunas redes proporcionan planes M2M con una VPN "horneada". Los dispositivos remotos con dicho plan (SIM) llegan a una subred privada (192.168 / x) sin configuración adicional. Solo La máquina de un operador debe estar configurada para conectarse a esa subred a través de una VPN terminada en algún lugar de la infraestructura móvil. Pregunte a su ISP / red móvil sobre planes m2m.

  • ScriptGiddy dice:

    Ah, acabo de desconectar muchos hosts de VPN celulares hoy debido a un problema de DNS. No seas como yo y entrega al menos dos fuentes de DNS 🙂

  • Sr. T dice:

    Tengo algunos servidores Linux y mis máquinas con IP variable o sin IP usan ssh para crear una configuración de inicio de sesión inverso en estos servidores para que siempre pueda acceder a ellos de forma remota de esa manera.

    Fácil configuración y no se requiere VPN (verdadera).

  • danielbpm dice:

    @Lewin, olvidó mencionar softether (https://www.softether.org), que puede usar openvpn, l2tp a través del acceso normal o cuando las redes están bloqueadas, también puede funcionar a través de ICMP o DNS. También simplifica la configuración de openvpn, ya que proporciona archivos de configuración y certificación.

    Otra gran opción es ZeroTier, ya mencionada en el primer comentario.

  • rwoodsmall dice:

    Puedo recomendar personalmente la nebulosa de Slack aquí: https://github.com/slackhq/nebula: no es realmente una VPN o una red, sino una red superpuesta segura que funciona de manera similar a ambas. Anteriormente se usaba Pi3 para operar PiVPN, y antes de esa disposición OpenVPN, antes que L2TP y PPTP. E IPsec. Oh mi palabra, IPsec. Utilizo un cuentagotas Digital Ocean de $ 5 meses para encender algunos contenedores Docker y el faro público encaja bien allí, pero podría usarse fácilmente en el hogar de SBC con DNS dinámico. Debido a que es una interfaz “simplemente” simple, NAT y enrutamiento funcionan bien y, si es necesario, se pueden construir redes complejas sobre las herramientas estándar de código abierto, sin las complejas molestias de GRE + IPsec. Tengo algunos hosts en mi red doméstica conectados a mi infraestructura Digital Ocean y personal de Amazon EC2. Muy agradable, portátil, extremadamente fácil y le da a mi cerebro un descanso de las soluciones listas para empresas financiadas por cárteles testimoniales.

  • Derin dice:

    ¿Por qué no seguimos impulsando IPv6 en lugar de inventar NAT después de NAT para reutilizar las direcciones IPv4? Estoy seguro de que los ISP tendrían menos problemas para enrutar esos paquetes que para intercambiar constantemente direcciones IP.

    • WereCatf dice:

      Porque hay muchos ISP, como el mío, que no se han molestado ni siquiera en mover un dedo para intentar cambiar de IPv4. También hay muchos programas que hacen todo tipo de cosas estúpidas y, por lo tanto, funcionan bien con IPv4, como que ni Chrome, Edge o Firefox conectarán direcciones IPv6 locales de enlace. Básicamente, esto significa que los dispositivos IoT o LoT tendrán que permanecer en IPv4 si quieren ofrecer la configuración del navegador.

  • Rhys79 dice:

    En realidad, solo estaba lidiando con esto inesperado para un proyecto paralelo. Un sistema de cámara en el hardware de un teléfono celular remoto que tenía que ser visible desde la distancia. Una solución rápida y sucia fue un pequeño VPS de $ 2 / mes con un proxy inverso openVPN y nginx para exponer el navegador del sistema de la cámara y manejar la autenticación del usuario. De hecho funcionó muy bien y hasta ahora ha sido sólido.

Manuel Gómez
Manuel Gómez

Deja una respuesta

Tu dirección de correo electrónico no será publicada.