Ricardo Sam Grupo 41 TD

Universidad de Oriente
Facultad de Ingeniería Eléctrica

Departamento de Telecomunicaciones
TRABAJO DE CURSO
Redes Privadas Virtuales para el

mejoramiento del teletrabajo
Autor: Ricardo Luis Sam Hung
Tutor: Ing. Jose Luis Serret Lara
Santiago de Cuba
Octubre del 2021

Resumen
RESUMEN
El presente trabajo analiza las diferentes formas que hacen posible crear túneles seguros
de datos entre el usuario y redes de área local a través de Internet. Para ello se analizan
los modelos, la estructura que adopta la información al momento de considerarse listo
para viajar por el medio inseguro. Se da especial énfasis en este documento al protocolo
de seguridad sobre IP llamado IPSec, el cual reúne la mayoría de las características que
hacen que un modelo sea seguro sobre un medio masivo como lo es la Internet. Se
estudian además las diferentes formas de implementación de esta alternativa,
considerándose de gran seguridad la basada en Firewall, la cual contempla la solución
IPSec a los problemas antes mencionados.
Palabras clave:
IP, IPSec, túnel, Firewall.
Abstract
The present work analyzes the different ways to create safe tunnels throught Internet
between users and Local Area Networks. For it examine him models, the structure that he
embraces the information in a minute from considering oneself clever in order to travel by
the uncertain midway. The IPSec gives itself especial emphasis in this document to the
protocol of certainty on so-called IP, which joins together the characteristics that they do
that a model be sure on a mass means the majority ofly as the Internet is it. They study
besides this alternative's different forms of implementation, considering oneself of great
certainty the based in Firewall, which contemplates the solution IPSec to the problems
above-mentioned.
KeyWords:
IP, IPSec, tunnel, Firewall.
II
Indice
Índice
Introducción ............................................................................................ 1
Capítulo 1 Fundamentos de las Redes Privadas Virtuales. .................. 3
1.1 Redes Privadas Virtuales (VPN) .......................................................................... 3
1.1.1 ¿Por qué VPN? ............................................................................................. 3
1.1.2 Ventajas de VPN........................................................................................... 4
1.1.3 Direccionamiento y enrutamiento de las VPN ............................................... 5
1.1.4 Clasificación de las VPN ............................................................................... 8
1.1.5 Arquitectura de las VPN ................................................................................ 9
1.2 Protocolos VPN .................................................................................................. 10
1.2.1 IPSec (Internet Protocol Security): .............................................................. 10
1.2.2 L2TP (Layer 2 Tunneling Protocol): ............................................................. 12
1.2.3 PPTP (Point-to-Point Tunneling Protocol): .................................................. 13
1.2.4 L2F (Layer 2 Forwarding): ........................................................................... 16
1.2.5 SSL (Secure Sockets Layer) / TLS (Transport Layer Security): ................... 16
1.2.6 GRE (Generic Routing Encaosulation): ....................................................... 17
1.2.7 SSH (Secure Shell): .................................................................................... 18
1.2.8 PPP (Point-to-Point Protocol): ..................................................................... 21
1.2.9 OpenVPN.................................................................................................... 22
1.2.10 SoftEther: .................................................................................................... 23
1.3 Soluciones que implementan los protocolos de VPN ......................................... 23
1.4 Calidad de servicio (QoS) .................................................................................. 24
1.4.1 Servicio del mejor esfuerzo ......................................................................... 25
1.4.2 Servicio Integrados ..................................................................................... 25
1.4.3 Servicio diferenciados ................................................................................. 25
1.4.4 Mecanismos de QoS ................................................................................... 26
1.4.5 Mecanismos de eficiencia de enlace ........................................................... 26
Optimizar la conexión VPN ........................................................................................... 27
1.4.6 Mejorar la conexión de un túnel VPN .......................................................... 28
1.5 Selección de los protocolos que más se adecuan a las necesidades del
teletrabajo. ................................................................................................................... 28
Capítulo 2. Soluciones para implementar VPN ................................... 31
2.1 OpenVPN. .......................................................................................................... 31
Indice
2.1.1 Funcionamiento de OpenVPN. .................................................................... 32

2.1.2 Especificaiones Técnicas de OpenVPN. ..................................................... 33
2.1.3 Seguridad brindada por OpenVPN. ............................................................. 33
2.1.4 Comunicación en OpenVPN. ...................................................................... 34
2.1.5 Velocidad en OpenVPN. ............................................................................. 35
2.1.6 Ventajas y desventajas de OpenVPN.......................................................... 35
2.1.7 Instalación y configuración en Windows de OpenVPN. ............................... 36
2.1.8 Creación de la Clave/Certificado de la CA................................................... 41
2.1.9 Creación de la Clave/Certificado del servidor. ............................................. 43
2.1.10 Creación de la Clave/Certificado del cliente. ............................................... 44
2.1.11 Técnicas contra ataques Man-In-The-Middle. ............................................. 45
2.2 SoftEther. ........................................................................................................... 46
2.2.1 Características principales de SoftEther. ..................................................... 47
2.2.2 Ventajas de SoftEther. ................................................................................ 48
2.2.3 Funcionamiento de SoftEther. ..................................................................... 48
Capítulo 3. Implementación de la VPN ......................................................................... 51
3.1 Instalación y configuración del cliente y del servidor de SoftEther. ..................... 51
3.1.1 Instalación de SoftEther VPN Server Manager. ........................................... 51
3.1.2 Configuración de SoftEther VPN Server Manager. ...................................... 55
3.1.3 Instalación de SoftEther VPN Client Manager. ............................................ 64
3.1.4 Configuración de SoftEther VPN Client Manager. ....................................... 69
3.2 Análisis de la conexión entre el cliente y el servidor SoftEther. .......................... 71
Conclusiones ........................................................................................ 77
REFERENCIAS BIBLIOGRÁFICAS .................................................... 84
Bibliografía ........................................................................................... 85
II
Introducción
Introducción
Con el surgimiento masivo de las estructuras de redes de datos a nivel empresarial no

era aún significativo la conexión de usuarios a Internet para asuntos laborales, pero a
medida que ha pasado el tiempo las compañías han requerido que sus redes locales
trasciendan más allá del ámbito de la oficina e incluyeran a los trabajadores y centros de
información de otros edificios, ciudades, estados o incluso otros países. Para esta causa
tenían que invertir en hardware y servicios de telecomunicaciones costosos para crear
redes amplias de servicio, además de líneas dedicadas para el acceso WAN. Con el
avance tecnológico, las compañías tienen la posibilidad de crear enlaces virtuales que
demandan una inversión relativamente pequeña de hardware, ya que utilizan la
infraestructura ya establecida como publica para la conexión entre los puntos de la red.
Las LAN tradicionales son redes esencialmente restringidas, por lo cual se puede
intercambiar información entre las computadoras usualmente sin pensar en la seguridad
de la información o preocuparse mucho por ella y verdaderamente cuán importante es
esta ya que Internet no es un medio de difusión seguro, nacieron una serie de normas y
protocolos especiales que permiten encriptar información y permitir únicamente a la
persona autorizada desencriptar esta información con un identificador que comprueba que
la transmisión se ha hecho desde una fuente confiable. Este conjunto se conoce
actualmente como configuración VPN de redes, y muchas empresas comienzan a
utilizarlo, ya sea para interconectar sub-redes como teletrabajadores. Cuando un
empleado se conecta a Internet, la configuración de las VPN les permite "perforar" la red
privada de la compañía y navegar en la red como si estuvieran en la oficina. En la
actualidad existen dispositivos especiales que otorgan niveles de seguridad esenciales
para realizar enlaces remotos entre empresas, a estos equipos se les conoce como
equipos VPN. En este trabajo de titilación se analizaran configuraciones VPN, aspectos
técnicos a nivel protocolar del montaje de enlaces VPN, así como la puesta en marcha de
una aplicación de acceso remoto.
1
Introducción
Problema
El aumento del tele-trabajo producto de la pandemia hace imprescindible el acceso desde

internet al interior de las redes corporativas, lo que permite acceder a sus recursos y
servicios internos más allá de las fronteras de la institución, lo cual debe ocurrir de forma
segura y estable.
Objetivo General
Analizar los protocolos y tecnologías que permiten a los usuarios desde Internet acceder
a una red LAN de forma transparente, permitiendo utilizar los servicios y recursos de la
misma de forma remota.
Objetivos específicos
 Analizar los principios de funcionamiento de las Redes Privadas Virtuales.
 Investigar los protocolos y soluciones tecnológicas que definen las Redes Privadas
Virtuales.
 Reconocer en el escenario actual de nuestro país las soluciones que permitan

mejorar la calidad de la comunicación en el tele-trabajo.
2
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Capítulo 1 Fundamentos de las Redes Privadas

Virtuales.
Este capítulo ofrece una visión de los diversos temas relativos a la comunicación entre
computadoras y redes. Muchos de los conceptos presentados aquí están tratados desde
una perspectiva general.
1.1 Redes Privadas Virtuales (VPN)
En una VPN, la comunicación privada entre dos o más dispositivos se ejecuta a partir de
una red pública que es Internet. Por eso, esa comunicación privada es virtual con lo que
no está “físicamente” presente. La parte de “privada” se explica porque si los dispositivos
que están conectados a esa VPN se comunican entre sí en un entorno público, no hay un
tercero que pueda detener o inmiscuirse en esta comunicación recibiendo la información
trasmitida entre ellos.
Explicado de otro modo, una red privada virtual es una red que podría ser de una
empresa integrada en una infraestructura compartida. La tecnología de una red virtual
privada permite que una empresa “propague” sus servicios a través de esa red remota y
así facilitar a los usuarios, afiliados o compañías asociadas su conexión a través de
Internet a esos servicios. Sus ventajas son evidentes: crear un vínculo de comunicación
barato, seguro y rápido. [1]
1.1.1 ¿Por qué VPN?
Se requiere unir des redes LAN a través de una red WAN, y al mismo tiempo
implementar servicios en estas, por lo que se requiere de una tecnología que permita
estas opciones y además con una buena calidad para estos servicios. Las redes LAN son
redes privadas que se utilizan para conectar dispositivos personales o de trabajo y
compartir información, estas posee menos restricciones que las redes WAN, puesto que
cualquier usuario con acceso a la red tiene acceso a todo la información. La problemática
es la siguiente, para unir estas dos redes hay que enfrentar las limitantes de la red WAN,
3
la cual es una red nacional con políticas de restricciones y firewalls que impiden el
intercambio de información de manera transparente, así como el acceso limitado, por
tanto esto es un problema, ya que se necesita una conexión transparente para poder
desarrollar e implementar los servicios de una forma óptima. Es aquí donde entran las
VPN, una tecnología que permite realizar una conexión punto a punto y burlar los firewalls
que proponen las redes WAN, ya que las VPN consta de ciertos protocolos que cifran los
datos, ocultan el IP, encripta la información que se transmite, de manera que los firewalls
no tendrían oportunidad de restringir el acceso y poner limitantes. Además, igualmente
existen protocolos VPN que funcionan como túnel, por tanto se puede realizar una
conexión entre las dos LAN a través de la WAN de forma transparente, ya que esto facilita
que se deba modificar ningún dispositivo ni configurar ningún software en la red WAN y de
igual forma se obtiene dicha conexión.
Como se ha dicho anteriormente, la VPN es una solución ventajosa para realizar una
conexión punto a punto a través de una red WAN e implementar servicios en dicha
conexión. [2]
1.1.2 Ventajas de VPN
Cada día el ambiente empresarial está necesitando más y más productividad, por eso,
las empresas apuestan porque las comunicaciones tengan seguridad, fiabilidad y por
supuesto rapidez entre las diferentes sedes que componen la compañía y los puestos
desde que se conectan los trabajadores (hogares, oficinas remotas, entre otras.
Para ello, las empresas suelen contratar líneas Macrolan para conectar las diferentes
sedes a las que da cobertura geográfica, este servicio tiene un impedimento que es el
precio, según la velocidad contratada (caudal contratado y garantizado en base a un
porcentaje estipulado de velocidad). [2]
Las VPNs traen las siguientes ventajas a las compañías:
• Movilidad: cualquier proveedor o empleado de la compañía pueden conectarse a la red

empresarial desde cualquier lugar, solamente necesita conectividad a internet con la
seguridad que provee el servicio.
4
• Unificación: se pueden implementar y unificar mediante esta conexión para distintos

aplicativos como podría ser aplicaciones de videoconferencia, transferencia de archivos,
VoIP, sistemas de información propios, entre otras.
• Disminución de gastos económicos: las VPN son soluciones más baratas que las redes
privadas de las propias empresas. Por eso, el coste de contratar a un ISP una línea de
este tipo es mucho mayor, ya sin entrar en temas de los gastos de los empleados que las
gestionan y el hardware de red que las soporta.
• Escalabilidad: a la hora de que la empresa crezca y tenga más necesidades de

conectividad y movilidad para los empleados y proveedores, este servicio se puede
dimensionar para que no se quede obsoleto o tenga falta de rendimiento.
• Seguridad: todos los datos que viajan a través de las VPN están preservados por
muchas capas de seguridad como puede ser la autenticación de usuarios, encriptación y
cifrado de datos, IPSec, entre otras.
• Aplicaciones: se pueden integrar las aplicaciones empresariales en Cloud y utilizar las

VPN para conectarnos a ellas y trabajar bajo todas las posibilidades que brinda el servicio
(seguridad, rapidez, fiabilidad).
1.1.3 Direccionamiento y enrutamiento de las VPN
El tipo de enrutamiento seleccionado puede depender del fabricante y el modelo de su

dispositivo de Gateway del cliente. Si el dispositivo de Gateway de cliente admite el
protocolo de Gateway fronteriza (BGP), especifique el enrutamiento dinámico al configurar
la conexión sitio a sitio VPN, de lo contrario si el dispositivo del cliente no admite BGP se
especifica enrutamiento estático. Si se utiliza un dispositivo que admite publicidad BGP,
no será necesario especificar ninguna ruta estática en la conexión sitio a sitio VPN,
puesto que el dispositivo utiliza BGP para anunciar sus rutas a la Gateway privada virtual.
5
En cambio si utiliza un dispositivo que no admite publicidad BGP, debe seleccionar el

enrutamiento estático y escribir las rutas (prefijos IP) de su red que deben comunicarse a
la Gateway privada virtual.
Las tablas de enrutamiento determinan dónde se dirige el tráfico de red de la Nube

Privada Virtual (VPC). En la tabla de enrutamiento de la VPC, tiene que agregar una ruta
para su red remota y especificar la Gateway privada virtual como destino. Esto permite
que el tráfico desde su VPC que está dirigido a su red remota se enrute a través de la
Gateway privada virtual y a través de uno de los túneles de VPN. Puede habilitar la
propagación de rutas para que su tabla de ruteo propague automáticamente las rutas de
red de la tabla. [3]
Para determinar cómo dirigir el tráfico, se utiliza la ruta más específica de su tabla de
ruteo que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Si la
tabla de enrutamiento tiene rutas superpuestas o coincidentes, se aplican las siguientes
reglas:
 En caso de que las rutas propagadas de una conexión de sitio a sitio VPN se
superpongan con la ruta local de su VPC, se preferirá la ruta local aunque las rutas
propagadas sean más específicas.
 Si las rutas propagadas desde una conexión de sitio a sitio VPN tiene el mismo
bloque de enrutamiento entre dominio sin clases (CIDR) de destino que otras utas
estáticas (cuando no sea posible aplicar la coincidencia del prefijo más largo) se dará
prioridad a las rutas estáticas cuyos objetivos sean Gateway de Internet Gateway
NAT, una Gateway de tránsito o puntos e enlace de la VPC de Gateway.
Por ejemplo, la Tabla 1: Destino-objetivo de una ruta a una Gateway.de enrutamiento

tiene una ruta estática a una Gateway de Internet y una ruta propagada a una Gateway
privada virtual. Ambas rutas tienen el destino 172.31.0.0/24. En este caso, todo el tráfico
con destino 172.21.0.0/24 se dirige a la Gateway de Internet, ya que se trata de una ruta
estática con prioridad sobre la ruta propagada.
6
Tabla 1: Destino-objetivo de una ruta a una Gateway.
Destino Objetivo
10.0.0.0/16 Local
172.21.0.0/24 Vgw-112233445566778899(propagada)
172.31.0.0/24 Igw-12345678901234567(estática)
Solo los prefijos IP que la Gateway privada virtual conozca, ya sea mediante anuncios de
BGP o por introducción de una ruta estática, podrán recibir tráfico de su VPC. La
Gateway privada virtual no direcciona el tráfico cuyo destino no sea el mencionado en los
anuncios de BGP recibidos, las entradas de ruta estática o los CIDR de VPC asociados.
Las Gateway privadas virtual no admiten tráfico IPv6.
Cuando una Gateway privada virtual recibe información de direccionamiento, usa la

selección de rutas para determinar cómo debe dirigir el tráfico de las rutas. Se aplica la
coincidencia de prefijo más larga. Si los prefijos son los mismos, la Gateway privada
virtual da prioridad a las rutas de la siguiente manera, desde la más preferida a la menos
preferida:
Rutas propagadas de BGP desde una conexión.
 Rutas estáticas añadidas manualmente para una conexión de sitio a sitio VPN.
 Rutas propagadas de BGP desde una conexión sitio a sitio VPN.
 Para los prefijos que coinciden en los que cada conexión de sitio a sitio VPN
utiliza BGP, se compara la ruta AS PATH, y se prefiere el prefijo con la ruta AS
PATH más corta.
 Cuando las rutas AS PATH tengan la misma longitud y se prefiere el primer AS de

AS_SEQUENCE es el mismo en varias rutas, se comparan los multi-exit
discriminators (MED). Se prefiere la ruta con el valor de MED más bajo.
7
Enrutamiento durante las actualizaciones de punto de enlace de túnel VPN.
Una conexión de sitio a sitio VPN consta de dos túneles de VPN entre un dispositivo de
Gateway de cliente y una Gateway de tránsito.
Se recomienda configurar ambos túneles para la redundancia. Su conexión de VPN

puede experimentar una breve pérdida de redundancia cuando se realizan
actualizaciones de punto de enlace de túnel en uno de los dos túneles, estas
actualizaciones son con los motivos de dar mantenimiento, actualizar software o retirada
de hardware subyacente.
Cuando se realizan actualizaciones en un túnel VPN, se define un valor más bajo de

multi-exit discriminator (MED) saliendo en el otro túnel. Si ha configurado el dispositivo de
Gateway para que utilice ambos túneles, la conexión de VPN utilizará el otro túnel (activo)
durante el proceso de actualización del punto de enlace del túnel.
NOTA: Para asegurarse de que se prefiere el túnel activo con el MED inferior, asegúrese
de que su dispositivo de Gateway de cliente utilice los valores de peso y preferencia local
para ambos túneles (el peso y la preferencia local tienen mayor prioridad que el MED). [3]
1.1.4 Clasificación de las VPN
Existen varios criterios por los cuales regirse a la hora de clasificar un a VPN; según el
tipo de conexión (sitio a sitio o punto-punto), por capa en la que trabaja, por arquitectura,
entre otras.
 Protocolo de túnel de capa 2(capa de enlace de datos): incluye el protocolo de túnel

de punto a punto (PPTP), el protocolo de reenvío de capa 2 (L2F), el protocolo de
túnel de capa 2 (L2TP) y el cambio de etiquetas multiprotocolo (MPLS). Puede realizar
una conexión punto-punto.
 Protocolo de túnel de capa 3 (capa de red): incluye el protocolo de encapsulación de

enrutamiento genérico (GRE) y la seguridad de IP (IPSec), que son las dos VPN de
capa 3 más populares.
8
 Protocolo de tunelización de la capa de sesión: El protocolo Secks4, que proporciona

un servidor de seguridad que no requiere autenticación para programas cliente-
servidor basados en TCP (sin incluir UDP) como TELNET, FTP, HTTP, WAIS Y
GOPHER. Se establece un túnel VPN sin autenticación de cifrado. El protocolo
Socks5 amplía Socks4 para que sea compatible con IPv4, la resolución de nombres
de dominio e IPv6, tal como se define en esquema de autenticación seguro
especificado por los marcos UDP y TCP, y en el esquema de resolución de
direcciones.
 Protocolo de túnel de capa de aplicación: Secure Socket Layer (SSL) pertenece al

protocolo de capa de aplicación. Es ampliamente utilizado en navegadores web y
programas de servidor web. Proporcionar autenticación y cifrado de igual a igual de
los datos de la aplicación. [4]
1.1.5 Arquitectura de las VPN
Dentro de las arquitecturas de las VPN se pueden mencionar las siguientes:
 Proporcionada por un servidor de Internet: El proveedor de Internet puede instalar en

su oficina un dispositivo que se encarga de la creación del túnel para la organización.
 Basadas en firewalls: De la misma forma en que las VPN trabaja en los niveles más
bajos del modelo OSI, el firewall actuará de la misma manera.
 Basadas en caja negra: Básicamente es un dispositivo con software de encriptación.

No provee seguridad en la organización pero si en los datos. Para suplir esta falencia
se pueden utilizar un firewall en serie o paralelo al dispositivo VPN.
 Basadas en routers: El cliente tiene el software por el cual se conecta al servidor de

VPN de la corporación a través de un túnel encriptado.
 Basadas en acceso remoto: El cliente tiene un software por el cual se conecta al

servidor de VPN de la corporación a través de un túnel encriptado.
 Basadas en software: Por lo general se utiliza de un cliente a un servidor VPN que

está instalado en alguna estación de trabajo. Es necesario tener procesos de
administración de claves y un emisor de certificados.
9
Además existen las siguientes:
 Acceso remoto: Uno de los modelos más usados en la actualidad que consiste en
usuarios o proveedores conectados a la central desde sitios remotos (oficinas,
comercios, casas, hoteles, aviones, entre otros) utilizando la infraestructura de
Internet para acceder a su red. Desde el momento en que son identificados y
autenticados poseen acceso parecido al que tienen dentro de la red de la empresa.
 Punto a punto: Se utilizan para conectar ordenadores remotos con el servidor central.
El servidor VPN, conectado permanentemente a Internet, acepta, a través de esta
conexión, aquellas solicitudes provenientes de los sitios identificados y establece el
túnel VPN.
 Tunneling: Consiste en encapsular un protocolo de red en otro permitiendo tener un

túnel la red. El túnel se puede utilizar incluyendo una PDU establecida dentro de otra,
con el fin de transmitirla de un extremo a otro sin que sea necesaria la interpretación
intermedia de la PDU que fue encapsulada. Ejemplo del empleo de esta técnica es la
redirección de tráfico en IP Móvil.
1.2 Protocolos VPN
Hoy en día existen varios protocolos con modelos de funcionamiento diferentes, pero
todos con el mismo propósito de encriptar el tráfico para hacer el canal más seguro y
confiable.
1.2.1 IPSec (Internet Protocol Security):
Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el

protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.
También incluye protocolos para el establecimiento de cifrados. [5]
Los protocolos de IPSec actúan en la capa 3 del modelo OSI (capa red), por lo que hace
que sea más flexible, ya que puede utilizarse para proteger los protocolos de la capa 4,
incluyendo TCP y UDP. Una ventaja que tiene IPSec es que para que una aplicación
10
pueda utilizar IPSec no hay que hacer ningún cambio, en cambio en protocolos de capas
superiores, las aplicaciones deben modificar su código.
La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA).Una

asociación de seguridad (SA) es el paquete de algoritmos y parámetros que se está
usando para cifrar y autenticar un flujo particular en una dirección.
Para decidir qué protección se va a proporcionar a un paquete saliente, IPSec utiliza el

índice de parámetro de seguridad (SPI), un índice de la base de datos de asociaciones de
seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que
juntos identifican de forma única una SA para dicho paquete.
Modo de funcionamiento:
Modo de transporte: Solo la carga útil (los datos que se transfieren) del paquete IP es
cifrado y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se
cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autentificación (AH),
las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de
transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden
ser modificadas de ninguna manera. El modo transporte se utiliza de ordenador a
ordenador.
El propósito de este modo es establecer una comunicación segura punto a punto, entre
dos hosts y sobre un canal inseguro.
Modo Túnel: Todo el paquete IP (datos más cabecera del mensaje) es cifrado y/o
autenticado. Debe ser encapsulado en un nuevo paquete IP para que funcione el
enrutamiento. El modo túnel se utiliza para comunicaciones de red a red o
comunicaciones de dispositivo a red u dispositivo a dispositivo sobre Internet. El propósito
de este modo es establecer una comunicación segura entre dos redes remotas sobre un
canal inseguro. [5]
11
1.2.2 L2TP (Layer 2 Tunneling Protocol):
L2TP [REF5.4] fue creado como el sucesor de PPTP y L2F. Las dos compañías
abanderadas de cada uno de estos protocolos, Microsoft por PPTP y Cisco por L2F,
acordaron trabajar en conjunto para la creación de un único protocolo de capa 2 y así
lograr su estandarización por parte de la IETF. Como PPTP, L2F fue diseñado como un
protocolo de tunelización usando para ello encapsulamiento de cabeceras. Una de las
grandes diferencias entre PPTP y L2F, es que la tunelización de este último no depende
de IP y GRE, permitiéndole trabajar con otros medios físicos por ejemplo Frame Relay.
Paralelamente al diseño de PPTP, L2F utilizó PPP para autenticación de usuarios
accediendo vía telefónica conmutada, pero también incluyó soporte para TACACS+ y
Radius. Otra gran diferencia de L2F con respecto a PPTP es que permite que un único
túnel soporte más de una conexión. Hay dos niveles de autenticación del usuario: primero,
por el ISP antes de crear el túnel; segundo, cuando la conexión está configurada y la
autenticación la realiza el gateway corporativo. Todas las anteriores características de
L2F han sido transportadas a L2TP. Como PPTP, L2TP utiliza la funcionalidad de PPP
para proveer acceso conmutado que puede ser tunelizado a través de Internet a un sitio
destino. Sin embargo, como se ha mencionado anteriormente, L2TP define su propio
protocolo de tunelamiento basado en L2F permitiendo transporte sobre una amplia
variedad de medios de empaquetamiento tales como X.25, Frame Relay y ATM. Dado
que L2TP es un protocolo de capa 2, ofrece a los usuarios la misma flexibilidad de PPTP
de soportar otros protocolos aparte de IP, tales como IPX y NETBEUI. Puesto que L2TP
usa PPTP en enlaces conmutados, incluye mecanismos de autenticación nativos de PPP
como PAP y CHAP. Microsoft incluye L2TP a partir del sistema operativo Windows 2000,
ya que las mejoras de L2TP con respecto a PPTP saltan a la vista. Como muestra la
figura Figura 1: Túnel del protocolo L2TP. [6]
12
Figura 1: Túnel del protocolo L2TP.
El L2TP sobre las redes IP utiliza UDP y una serie de mensajes del L2TP para el
mantenimiento del túnel. El L2TP también utiliza UDP para enviar tramas del PPP
encapsuladas del L2TP como los datos enviados por el túnel. Se pueden encriptar y/o
comprimir las cargas útiles de las tramas PPP encapsuladas. La siguiente figura muestra
la forma en que se ensambla un paquete L2TP antes de su transmisión. La Error!
Reference source not found. muestra un cliente de marcación que crea un túnel a través
de una red. El diseño final de trama muestra la encapsulación para un cliente de
marcación (controlador de dispositivos PPP). La encapsulación supone el L2TP sobre IP.
1.2.3 PPTP (Point-to-Point Tunneling Protocol):
Protocolo de túnel de punto a punto (PPTP): El PPTP es un protocolo de Nivel 2 que

encapsula las tramas del PPP en datagramas del IP para transmisión sobre una red IP,
como la de Internet. El PPTP se documenta en el RFC preliminar, “Protocolo de túnel de
punto a punto” (pptp-draft-ietf -ppext-pptp-02.txt). Este proyecto se presentó ante el IETF
en junio de 1996 por parte de las compañías miembros del Foro PPTP incluyendo
Microsoft Corporation, Ascend Communications, 3Com/Primary Access, ECI Telematics y
US Robotics (ahora 3Com). PPTP agrega un nuevo nivel de seguridad mejorada y
comunicaciones multiprotocolo a través de Internet. Si se utiliza el nuevo Protocolo de
autenticación extensible (EAP, Extensible Authentication Protocol) con métodos de
autenticación seguros como los certificados, la transferencia de datos a través de una
13
conexión VPN con PPTP es tan segura como en una LAN de un sitio corporativo. Como
muestra la figura Figura 2: Conexión VPN con PPTP.. [7]
Figura 2: Conexión VPN con PPTP.
Protocolo de túnel de punto a punto (PPTP) utiliza una conexión TCP para mantenimiento
del túnel y tramas del PPP encapsuladas de Encapsulación de Enrutamiento Genérico
(GRE) para datos de túnel (puerto 1723). Se pueden encriptar y/o comprimir las cargas
útiles de las tramas del PPP encapsulado. La Figura 3: Trama final. muestra la forma en
que se ensambla el paquete del PPTP antes de la transmisión. El dibujo muestra un
cliente de marcación que crea un túnel a través de una red. El diseño de la trama final
muestra la encapsulación para un cliente de marcación (controlador de dispositivo PPP).
Figura 3: Trama final.
14
Está especialmente diseñado para las aplicaciones de acceso remoto de VPN, pero
también soporta las otras aplicaciones de VPN. PPTP soporta encriptación de datos y la
compresión de estos paquetes. Además usa una forma de GRE (Protocolo de
Encapsulación de Enrutamiento General). En el entorno de un acceso remoto VPN
usando PPTP a través de Internet, los túneles VPN son creados en dos pasos: 1. El
cliente PPTP conecta a su ISP usando PPP dial - up (mediante modem tradicional o
ISDN). 2. Por medio del dispositivo intermedio ya mencionado, PPTP crea una conexión
de control TCP entre el cliente VPN y el servidor VPN para establecer un túnel (PPTP usa
el puerto 1723 para estas conexiones). Por otro lado, PPTP soporta conexiones VPN a
través de una LAN, por lo que no es necesario conectar a un ISP. Los túneles son
creados directamente. Una vez que el túnel VPN está establecido, PPTP soporta dos
tipos de flujo de información:
 Mensajes de control para manejar y/o eliminar la conexión VPN. Este tipo de
mensajes pasan directamente entre el cliente VPN y el servidor.
 Paquetes de datos que pasan a través del túnel, hacia o desde el cliente VPN.
Volviendo al tema del control de conexión en PPTP, una vez que la conexión TCP
está establecida, PPTP utiliza una serie de mensajes de control para mantener la
conexión VPN. Algunos de estos mensajes son los siguientes:
 Start Control Connection Request: Inicia la configuración de la sesión VPN; puede ser
enviado tanto por el cliente como por el servidor.
 Start Control Connection Reply: Enviado en respuesta a (1). Contiene información
que indica el éxito o el fracaso de la operación de configuración y del número de
versión del protocolo.
 Stop Control Connection Request: Petición de cerrar la conexión de control. En
cuanto a la seguridad en PPTP, soporta autenticación (usa para ello protocolos
basados en PPP, tales como EAP, CHAP y PAP), encriptación y filtrado de paquetes.
PPTP depende de la funcionalidad de PPP para autentificar a los usuarios y mantener
la conexión remota dial up y para encapsular y encriptar los paquetes IP, IPX o
NeTBEUI pero se encarga directamente del mantenimiento del túnel VPN y de
transmitir los datos a través del túnel. PPTP además tiene algunas características
adicionales de seguridad aparte de la que provee PPP. La popularidad de PPTP se
15
debe en gran parte a Microsoft, ya que los clientes PPTP están disponibles en
Windows.
1.2.4 L2F (Layer 2 Forwarding):
Como PPTP, L2F fue diseñado, por Cisco, para establecer túneles de tráfico desde
usuarios remotos hasta sus sedes corporativas. La especificación para el protocolo L2F
fue publicada por el RFC 2341. La principal diferencia entre PPTP y L2F es que, como el
establecimiento de túneles de L2F no depende de IP, es capaz de trabajar directamente
con otros medios, como Frame Relay o ATM.
Utiliza el protocolo PPP para la autenticación entre usuarios remotos por lo que
implementa los protocolos de autenticación PAP y CHAP. Pero L2F también implementa
otras técnicas de autenticación como TACACS+ y RADIUS. Una característica que difiere
L2F de PPTP es que L2F permite más de una conexión por túnel.
En L2F se utilizan dos niveles de autenticación, primero por parte del ISP (proveedor de
servicio de red), anterior al establecimiento del túnel, y posteriormente, cuando se ha
establecido la conexión con la pasarela corporativa. Como L2F es un protocolo de nivel de
enlace de datos según el modelo de referencia OSI, ofrece a los usuarios la misma
flexibilidad que PPTP para manejar protocolos distintos a IP, como IPX. [7]
1.2.5 SSL (Secure Sockets Layer) / TLS (Transport Layer Security):
Primeramente es necesario reconocer que SSL es el predecesor del protocolo TLS, por
lo que básicamente es el mismo principio de funcionamiento. Se trata de protocolos
criptográficos que proporcionan privacidad e integridad entre dos puntos en una red de
comunicación, garantizando que solo los emisores y receptores sean los que tengan
acceso a la información de manera íntegra.
El protocolo SSL se utiliza entre la capa de aplicación y la capa de transporte. Uno de

sus usos extendidos, es el que realiza junto al protocolo HTTP dando lugar a la versión
segura de HTTP o HTTPS. Se utiliza para la transferencia de hipertexto (sitios web) y un
usuario (en ambos sentidos), sea segura. [8]
16
Funcionamiento
Se utiliza tanto criptografía asimétrica como simétrica. La primera se utiliza para realizar
el intercambio de las claves, que a su vez serán usadas para cifrar la comunicación
mediante un algoritmo simétrico.
En el caso de los sitios web, para el funcionamiento de este protocolo, lo que se necesita
utilizar es un certificado SSL. El servidor web tendrá instalado uno y cuando un cliente
intente acceder a él, le remitirá el mismo con la clave pública del servidor, para enviar de
esta forma la clave que se usará para realizar la conexión de manera segura mediante un
cifrado simétrico.
Mediante un ejemplo, se explicará cómo funciona el protocolo SSL/TLS combinado con

HTTP, para dar lugar a la versión segura de HTTP o HTTPS:
- Usuario realiza una petición HTTP segura a través de un navegador web.
- El servidor donde está alojado el sitio web, envía (si lo tiene) el certificado que
incluye la clave pública del servidor. En caso de no tener certificado SSL, se
producirá un error.
- El navegador comprueba que la entidad emisora del certificado (CA) sea de

confianza. En caso contrario, pedirá al usuario que acepte el certificado bajo su
responsabilidad.
- Llegados a este punto, el navegador generará una clave simétrica, que será
cifrada mediante la clave pública del servidor para ser enviada de manera segura
al mismo.
- De esta forma, la comunicación ya se ha establecido de manera segura, ya será

cifrada en ambos sentidos mediante la clave generada en el punto anterior.
1.2.6 GRE (Generic Routing Encaosulation):
Es un protocolo desarrollado por Cisco System para crear una conexión virtual privada
entre dos puntos, y los datos son encapsulados para poder transmitirlos a través de la
conexión virtual a la cual se conoce como túnel.
17
Los túneles GRE son utilizados también para poder establecer una comunicación a
través de redes donde no se tiene el control, o cierto tráfico no es soportado, o se posee
algún tipo de restricción en la red, un caso no muy lejano sería: Internet. Esto no quiere
decir que solo se puedan crear túneles privados a través de redes públicas, al contrario,
GRE es versátil. [7]
Funcionamiento
GRE utiliza el protocolo IP como el protocolo de transporte. Trabaja según tres protocolos:
- Protocolo pasajero
- Protocolo carrier
- Protocolo de transporte
Cuando un protocolo es encapsulado dentro de otro protocolo el tamaño de la trama se

incrementa y esto puede generar un problema si no se toma en consideración lo
siguiente: En el caso del GRE se incrementan 24 bytes, 4 del encabezado GRE y 20 del
encabezado IPv4, es aquí donde se puede generar problemas con el (unidad de
transferencia máxima) MTU que es de 1500 bytes, si se utiliza GRE este se incrementa a
1524 bytes lo que puede generar pérdidas de paquetes o problemas de fragmentación.
Para evitar este tipo de problemas, se puede ajustar los túneles para que trabajen con un
MTU de 1476 bytes o menor y esto también obligará a disminuir el valor de la carga útil
(MSS). El tamaño por defecto de TCP MSS es de 1460 bytes, el MSS debe ser al menos
40 bytes menor al MTU.
1.2.7 SSH (Secure Shell):
Este es un protocolo normalizado por la IETF como RFC 2451 y RFC 2452. SSH se basa
en TELNET pero le añade la seguridad que TELNET carece.
El protocolo SSH se utiliza para tunelizar tráfico confidencial sobre Internet de una manera
segura. Por ejemplo, un servidor de ficheros puede compartir archivos usando el protocolo
SMB (Server Message Block), cuyos datos no viajan cifrados. Esto permitiría que una
tercera parte, que tuviera acceso a la conexión (algo posible si las comunicaciones se
18
realizan en Internet) pudiera examinar a conciencia el contenido de cada fichero

trasmitido. Para poder montar el sistema de archivo de forma segura, se establece una
conexión mediante un túnel SSH que encamina todo el tráfico SMB al servidor de archivos
dentro de una conexión cifrada SSH. Aunque el protocolo SMB sigue siendo inseguro, al
viajar dentro de una conexión cifrada se impide el acceso al mismo. Por ejemplo, para
conectar con un servidor Web de forma segura, utilizando SSH, el cliente Web, en vez de
conectarse al servidor directamente, se conecte a un cliente SSH. El cliente SSH se
conectaría con el servidor tunelizado, el cual a su vez se conectaría con el servidor Web
final. Lo atractivo de este sistema es que se añade una capa de cifrado sin necesidad de
alterar ni el cliente ni el servidor Web.
Además de la conexión a otras máquinas, SSH permite copiar datos de forma segura
(tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para
no escribir claves al conectar a las máquinas y pasar los datos de cualquier otra
aplicación por un canal seguro tunelizado mediante SSH.
Características:
Encriptación de Datos: SSH utiliza un método seguro de encriptación de 128 bits al enviar
y recibir datos, lo cual hace que sea muy difícil de descifrar y leer el contenido transmitido
bajo un área no segura.
Operabilidad: El uso de SSH es muy simple, sólo se realiza una conexión mediante una
aplicación cliente hacia el servidor, una vez autenticado, el cliente toma completamente el
control del servidor remoto.
Canalización: Después de realizada la autenticación entre el cliente y el servidor remoto,

se abren canales múltiples para cada sesión sea por consola de comandos ó interfaz
gráfica X mediante el método llamado Multiplexación.
Reenvío por X11: Mediante éste protocolo es posible el tráfico seguro de sesiones
remotas bajo entornos gráficos X.
Redirección de Puertos: Permite el envío de conexiones TCP / IP no seguras, mediante

un canal seguro y cifrado. Cuando esto es realizado, el servidor SSH establece un túnel
encriptado hacia el cliente SSH.
19
Copia y Transferencia de Archivos: Con SCP y SFTP se copian y transfieren archivos

entre 2 computadoras y todo por medio de una canal seguro en una red insegura.
Funcionamiento:
El funcionamiento de este protocolo se resume en los siguientes pasos:
1. El cliente inicia una conexión TCP sobre el puerto 22 del servicio
2. El cliente y el servidor se ponen de acuerdo en la versión del protocolo a utilizar, así

como el algoritmo de cifrado utilizado para el intercambio de información.
3. El servidor, que tiene en su poder dos claves (una privada y otra pública), manda su
clave pública al cliente.
4. Cuando el cliente recibe la clave enviada por el servidor, la compara con la que tiene
almacenada para verificar su autenticidad. El protocolo SSH exige que el cliente confirme
la primera vez.
5. Con la clave pública del servidor en su poder, el cliente genera una clave de sesión
aleatoria, creando un mensaje que contiene esa clave y el algoritmo seleccionado para la
encriptación de la información. Toda esa información es enviada al servidor haciendo uso
de la clave pública que envió en un paso anterior de forma cifrada.
6. Si todo es correcto, el cliente queda autenticado, iniciando la sesión para comunicarse

con el servidor.
SSH Tunneling
El protocolo SSH (secures hell) se utiliza con frecuencia para tunelizar tráfico confidencial
sobre internet de una manera segura. Por ejemplo, un servidor de ficheros puede
compartir archivos usando el protocolo SMB (Server Message Block), cuyos datos no
viajan cifrados. Esto permitiría que una tercera parte, que tuviera acceso a la conexión
(algo posible si las comunicaciones se realizan en Internet) pudiera examinar a conciencia
el contenido de cada fichero trasmitido. Para poder montar el sistema de archivo de forma
segura, se establece una conexión mediante un túnel SSH que encamina todo el tráfico
SMB al servidor de archivos dentro de una conexión cifrada SSH. Aunque el protocolo
SMB sigue siendo inseguro, al viajar dentro de una conexión cifrada se impide el acceso
al mismo.
20
1.2.8 PPP (Point-to-Point Protocol):
Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones

originalmente especificadas para PPP, vale la pena examinar este protocolo más de
cerca. PPP se diseñó para enviar datos a través de conexiones de marcación o de punto
a punto dedicadas. PPP encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas
del PPP y luego transmite los paquetes encapsulados del PPP a través de un enlace
punto a punto. El PPP se utiliza entre un cliente de marcación y un NAS. Existen cuatro
fases distintivas de negociación en una sesión de marcación del PPP. Cada una de estas
cuatro fases debe completarse de manera exitosa antes de que la conexión del PPP esté
lista para transferir los datos del usuario:
Fase1: Establecer el enlace del PPP: Utiliza el Protocolo de control de enlace (LCP) para
establecer, mantener y terminar la conexión física.
Fase 2: Autenticar al usuario: La PC cliente presenta las credenciales del usuario al

servidor de acceso remoto. Un esquema seguro de autenticación proporciona protección
contra ataques de reproducción y personificación de clientes remotos. Un ataque de
reproducción ocurre cuando un tercero monitorea una conexión exitosa y utiliza paquetes
capturados para reproducir la respuesta del cliente remoto, de tal manera que pueda
lograr una conexión autenticada. La personificación del cliente remoto ocurre cuando un
tercero se apropia de una conexión autenticada. La mayoría de las implementaciones del
PPP proporcionan métodos limitados de Autenticación, típicamente el Protocolo de
autenticación de contraseña (PAP), el Protocolo de Autenticación de Saludo Challenge
(CHAP) y Microsoft Challenge Handshake Authentication Protocol (MSCHAP).
Fase 3: Control de rellamado del PPP: La implementación de Microsoft del PPP incluye
una Fase opcional de control de rellamado. Esta fase utiliza el Protocolo de control de
rellamado (CBCP) inmediatamente después de la fase de autenticación. Si se configura
para rellamado, después de la autenticación, se desconectan tanto el cliente remoto como
el NAS.
Fase 4: Invocar los protocolos a nivel de red: Una vez que se hayan terminado las fases
previas, PPP invoca los distintos Protocolos de Control de Red (NCPs) que se
seleccionaron durante la fase de establecimiento de enlace (Fase1) para configurar los
21
protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de
Control de IP (IPCP) puede asignar una dirección dinámica a un usuario de marcación.
Fase de transferencia de datos: Una vez que se han terminado las cuatro fases de
negociación, PPP empieza a transferir datos hacia y desde los dos iguales. Cada paquete
de datos transmitido se envuelve en un encabezado del PPP el cual quita el sistema
receptor. Si se seleccionó la compresión de datos en la fase 1 y se negoció en la fase 4,
los datos se comprimirán antes de la transmisión. Si se seleccionaron y se negociaron de
manera similar la encriptación de datos, los datos (comprimidos opcionalmente) se
encriptarán antes de la transmisión. [7]
1.2.9 OpenVPN
Es tanto un protocolo de comunicación como una aplicación de informática de código

abierto y licencia de software libre para realizar conexiones VPN. La programación de la
aplicación está realizada principalmente en C, y se basa en enlaces de tipo SSL y TLS
OpenVPN no soporta por tanto protocolos L2TP o PPTP, ya que es un protocolo
personalizado basado en los dos anteriormente citados.
La arquitectura de conexión y comunicación es la típica de una VPN, basada en punto a

punto. Para efectuar esta conexión se requiere validación jerárquica entre usuarios y
servidor a través de certificados SSL/TLS+RSA de forma remota. Soporta todo tipo de
enlaces de red como WiFi IEEE 802.11, Ethernet 802.3 y red de datos móviles.
Con esta solución se puede operar en lugares geográficamente separados utilizando

enlaces troncales o de alta velocidad de la red WAN. El volumen de conexiones que
acepta este protocolo no son problemas para implementar redes a gran escala, pudiendo
personalizar el nivel de acceso de clientes según credenciales con los certificados RSA.
OpenVPN trabaja en las capa de enlace, capa de red un capa de aplicación del modelo
OSI; OpenVPN ofrece una solución más sencilla que IPSec para el transporte de datos.
Túnel OpenVPN vs Túnel IPSec
Por un lado el túnel OpenVPN permite configurar puerto de conexión TCP o UDP u
número de puerto, que para clientes VPN va muy bien en tema de conexiones desde
22
portales. Suelen capar puertos UDP o TCP diferentes del 80 y 443. Soluciones
propietarias como Forticlient o soluciones de CISCO también permiten configurar el puerto
de conexión, aunque son algo más complicados que el OpenVPN.
Por otro lado, el túnel IPSec LAN-to-LAN utiliza puertos WellKnown (500 y 4500 UDP). A
veces hay pequeños temas de incompatibilidad en IPSec entre fabricantes, cosa que no
ocurre en OpenVPN. No obstante, en OpenVPN a veces es difícil establecer conexiones
por versiones, opciones obsoletas o bien por la configuración entre los dos extremos.[10]
1.2.10 SoftEther:
SoftEther VPN es un software VPN multiprotocolo que se utiliza en sistemas operativos

como Windows, Linux o macos, entre otros. Su nombre viene de Software Ethernet. Es de
código abierto y totalmente gratuito. Supone una alternativa a otras opciones como
OpenVPn y servidores de Microsft.
Se crea fácilmente VPN de acceso remoto y VPN de sitio a sitio, como una expansión de
la VPN L2 basada en Ethernet. También permite crear una VPN tradicional basada en L3
con enrutamiento IP.
1.3 Soluciones que implementan los protocolos de VPN
Los softwares para Windows 10 más recomendados para implementar las VPN:
 Cyber Ghost: IPv6 Leak Protection, protección contra fugas DNS, Firewall NAT. IP
Sharing, más de 1800 servidores a su disposición, 30 días de garantía de devolución
de dinero. (soporta OpenVPN, IPSec, L2TP y PPTP nativos).
 NordVPN: Permitir el streaming HD sin ralentizar la conexión, más de 3000 servidores
a su disposición, 6 uso del dispositivo para 1 sola licencia, doble protección de datos.
 VPN libre de Hostpot Sheild: Es utilizado por más de 350 millones de usuarios en el
mundo, posee todos los servidores VPN que utiliza con velocidades VPN más rápidas
23
y conexiones estables y segura, no rastrea ni guarda ningún registro de su actividad,

el servicio de atención al cliente está disponible en support@hsselite.zendesk.com
 PureVPN: Conexión VPN ultra segura AES-256-bit de clase mundial para su
seguridad y privacidad en línea, excelente para las empresa porque encripta las
comunicaciones de sus empleados, compatible con más de 20 dispositivos, 5
conexiones múltiples con una sola cuenta, conmutación limitada de servidores y
transferencia limitada de datos, soporte en vivo las 24 horas del día.
 VPN ilimitado: Paga por 1 y recibe 4 gratis, 7 días de prueba gratuita y reembolso
total si no estás satisfecho, extensiones adicionales – servidor personal, IP personal y
la posibilidad de configurar VPN en su router WiFi, protección de por vida.
 TouchVPN: Sin limitaciones de sesión, velocidad o ancho de banda, no hay período
de pruebas, fuerte encriptación para SSL, puede conectarse a cualquiera de los
servidores en distintos países, accede a cualquier sitio web en cualquier país, la VPN
táctil contiene solo un botón que le conecta a uno de muchos servidores anónimos.
 IPVanish: Acceso a una de las VPN más rápidas del mundo, más de 40 000 IPs
compartidas, más de 500 servidores VPN en más de 60 países, ancho de banda
ilimitado, cifrado AES de 256 bits, cero registro de tráfico, torrenting anónimo, 5
conexiones simultáneas en varios dispositivos, garantía de devolución de dinero de 7
días, soporte al cliente las 24 horas del día, (soporta OpenVPN, PPTP y L2TP/IPSec
VPN)
1.4 Calidad de servicio (QoS)
La definición de calidad de servicio depende del ámbito en el cual se implemente. Para

el caso de las telecomunicaciones, se puede definir calidad de servicio como “el efecto
colectivo del rendimiento de un servicio que determina el grado de satisfacción del usuario
de dicho servicio”. En el ámbito de la telemática, QoS es la capacidad de un elemento de
red – ya sea una aplicación, un servidor, un enrutador, o cualquier elemento que tome
parte en la comunicación – de asegurar que su tráfico y los requisitos del servicio
previamente establecidos puedan ser satisfechos; así como de cada elemento de la
misma. [10]
24
Ejemplos de mecanismos de QoS son la priorización de tráfico y la garantía de un ancho

de banda mínimo.
La aplicación de QoS es un requisito básico para poder implantar servicios interactivos

(por ejemplo VoIP).
1.4.1 Servicio del mejor esfuerzo
En este modelo, una aplicación envía datos cada vez que lo requiera, y en cualquier
cantidad, sin solicitar permiso ni informar inicialmente a la red. En este servicio, la red
envía los datos si puede, sin asegurar nada respecto a la confiabilidad, rendimiento ni
retardos. El principal problema de este modelo se presenta al tener una ráfaga de
paquetes dentro de uno de los múltiples flujos de datos que se manejan, puesto que ésta
afectará a todos los demás flujos retardando su transmisión. Es decir, que el tiempo de
llegada de los paquetes de un flujo puede verse afectado por otros flujos.
1.4.2 Servicio Integrados
En el modelo de servicios Integrados, la aplicación solicita un tipo de servicio específico a

la red, antes de enviar los datos. Para ello, la aplicación le informa a la red del perfil de su
tráfico, solicitando un servicio que cumpla con sus requerimientos de ancho de banda y
retardo. Se espera que el envío de datos inicie una vez se haya recibido confirmación por
parte de la red. La red a su vez, realiza control de admisión basado en la información de
la aplicación y en los recursos disponibles de red y se compromete a mantener la calidad
de servicio, mientras que el perfil del tráfico permanezca dentro de los límites
especificados.
1.4.3 Servicio diferenciados
Este modelo de QoS propuesto por la IETF3 se diferencia del modelo de servicios
integrados en que las aplicaciones no informan explícitamente a la red antes de enviar los
25
datos, sino que ésta trata de proveer un tipo particular de servicio basada en la QoS
especificada para cada paquete. Dicha especificación puede realizarse por ejemplo al
seleccionar los bits de precedencia IP, o con las direcciones fuente o destino, etc. La red
utiliza la QoS especificada para clasificar, marcar, dar forma, aplicar políticas de tráfico y
desarrollar colas inteligentes.
1.4.4 Mecanismos de QoS
Control de Admisión
El control de admisión determina si una petición de conexión puede ser llevada a cabo
por la red. Las principales consideraciones tras esta decisión son la carga del tráfico
actual, la calidad de servicio que se puede lograr, el perfil de tráfico pedido, la calidad de
servicio solicitada, el precio, entre otras. Es por tanto una herramienta resultante de la
aplicación de las políticas de calidad de servicio definidas en la compañía proveedora de
servicios de comunicación, y por tanto requiere de una correcta monitorización del
sistema de forma que se pueda visualizar en cada momento el estado del mismo para
poder aplicar la política de admisión definida.
1.4.5 Mecanismos de eficiencia de enlace
Las redes LAN y WAN transportan diferentes tipos de tráfico en cuanto a longitud de
paquetes, requerimientos de ancho de banda, sensibilidad a retardos, entre otras. Es por
esto que se han diseñado mecanismos que trabajan a nivel de la capa de enlace, que al
ser implementados junto con los algoritmos de colas y de regulación de tráfico, mejoran la
eficiencia y predictibilidad de las aplicaciones.
Uno de estos mecanismos consiste en la fragmentación de paquetes y el entremezclado

(LFI: Link Fragmentation and Interleaving), que busca fragmentar los paquetes largos que
transportan los enlaces de baja velocidad, como las transferencias de archivos FTP, de
forma que puedan ser entremezclados con paquetes cortos, sensibles a retardos, como
el tráfico Telnet o de VoIP, reduciendo así el retardo total y el jitter.
26
Esta herramienta fue diseñada especialmente para enlaces de poca velocidad en los que
el retardo al serializar es significativo. LFI es equivalente al borrador del IETF denominado
Multiclass Extensions to Multilink PPP (MCML).
Otro mecanismo que mejora la eficiencia de los enlaces consiste en la compresión de las
cabeceras de los paquetes RTP (Real-Time Protocol) de forma que se evite el consumo
innecesario del ancho de banda disponible. El Protocolo de Transporte en Tiempo Real es
un protocolo host-to-host usado para llevar las nuevas aplicaciones multimedia,
incluyendo audio y vídeo, sobre redes IP.
Optimizar la conexión VPN
La razón por la cual la velocidad de Internet puede verse restringida es porque la

conexión pasa a través del VPN. Los datos viajan en un túnel cifrado. Esto hace que tanto
las descargas como las subidas puedan mermar. Existen medidas para mejorar el
servicio, e intentar que la conexión vaya más fluida y tener mejor velocidad.
 Cambiar a conexión por cable: Siempre que sea posible, lo ideal es utilizar la conexión
por cable en vez de WiFi. Incluso puede ser positivo conectar los equipos que sean
posibles por cable, como un ordenador, para así descargar la zona WiFi para aquellos
que solamente puedan conectarse de manera inalámbrica.
 Usar VPN en el dispositivo en vez de en el router: Es aconsejable utilizar un programa
VPN en nuestro dispositivo, en vez de en el router. Así se tienen mejores resultados
en cuanto a velocidad y evitar problemas de conexión.
 Alternar entre los diferentes servidores: Normalmente los principales servicios VPN
cuentan con gran cantidad de servidores disponibles.
 Acelerar servicios VPN: En ocasiones lo más simple es lo más efectivo. Puede ocurrir
que el programa esté creando algún tipo de conflicto. Esto podría generar en una mala
velocidad de Internet. Una buena idea es reiniciar el servicio. Apagar el VPN y volver a
encenderlo. De esta manera es posible que el servicio mejore.
27
1.4.6 Mejorar la conexión de un túnel VPN
Una de las cosas que se puede revisar es la fragmentación de paquetes sobre túnel de
VPN. Si tus paquetes son muy grandes y se agrega el encabezado de IPSec lo más
seguro es que se requiera fragmentar dichos paquetes en algún punto del camino, lo que
contribuye a la demora. Si, por el contrario, se mandan paquetes más chicos no se
requiere fragmentación, pero ahí depende de las condiciones de la red y los equipos para
ver si el hecho de mandar más paquetes para una misma conversación no afecta
también.
Al final todo va a depender siempre del ancho de banda disponible, hay que tomar en
cuenta que si tienes varios flujos todos están en competencia por el mismo ancho de
banda que por default se distribuye con un método FIFO, el primer paquete que llega es el
primero que sale. Si dicho paquete es muy grande esto causará que los paquetes que le
siguen tarden en salir.
1.5 Selección de los protocolos que más se adecuan a las necesidades del
teletrabajo.
Para cumplir con los objetivos de este trabajo hay que elegir un protocolo VPN adecuado
al teletrabajo, que permita un acceso transparente a la red corporativa de los trabajadores
desde fuera de la misma. Una VPN correctamente seleccionada puede evitar cualquier
bloqueo o restricción en el servicio. También necesita proporcionar una conexión segura,
anónima, y de excelente calidad.
Criterios para seleccionar una VPN:
 Servidores en países donde los servicios a utilizar no están restringidos, de forma que
se puedan implementar como parte de la red LAN empresarial.
 Excelente encriptación con características de seguridad adicionales como un
interruptor de apagado.
28
 Políticas sólidas de protección de datos y anti-registro para evitar intentos de acceder

a su información o historial de actividad.
 Excelentes velocidades. Las conexiones rápidas y estables reducen el riesgo de
latencia y, por lo tanto de mala calidad de llamadas.
Teniendo en cuenta lo anterior y la necesidades planteadas se decide utilizar los

protocolos OpenVPN con SSL, OpenVPN con L2TP/IPSec y SoftEther VPN Server como
servidor, ya que las ventajas que ofrecen se adecuan más para la implementación de la
telefonía IP en una red VPN con estos protocolos.
Tener un servidor OpenVPN ofrece dos funcionalidades interesantes:
 Realizar conexiones seguras (encriptadas).
 Acceder a recursos internos a nuestra red local desde el exterior.
Por otra parte implementar un certificado SSL da como ventajas:

 Legitimas tu web y empresa.
 La información privada de tu web está encriptada.
 Pones barreras al malware.
 Más confianza.
 Mejor posicionamiento.
En el caso de implementar L2TP/IPSec:

 Mejor cifrado que otros protocolos
 Directamente compatible con muchos sistemas operativos
Y como desventaja:
 Más lento que OpenVPN
 Algunos firewalls pueden ser bloqueados por este protocolo
SoftEther VPN Server
 Establece VPN sobre el protocolo ICMP y DNS, burlando los dispositivos de seguridad
que se encuentran en la red.
 Ofrece resistencia a la alta restricción de los firewalls.
 Soporta VPN capa 2 y capa 3.
 Posee diversos métodos de encriptación, tales como AES 256-bits y RSA 4096.
29
 Brinda características de seguridad, tales como logging y firewall internos dentro del
túnel VPN.
 Ofrece un throughput de 1 Gbps, logrando tal rendimiento con poco consumo de
memoria y CPU.
 Su descarga es gratis, además se logra una navegación a través de internet de
manera segura y gratuita para Windows.
La Tabla 2: Comparativa de los protocolos VPN. Muestra la comparativa de los protocolos
VPN.
Tabla 2: Comparativa de los protocolos VPN.
30
Capítulo 2. Soluciones para implementar VPN
2.1 OpenVPN.
En la Figura 4: Logo de OpenVPN se muestra el logo de OpenVPN
Figura 4: Logo de OpenVPN
OpenVPN es tanto un protocolo como una aplicación informática de código abierto y

licencia de software libre para realizar conexiones VPN. La programación de la aplicación
está realizada principalmente en C, y se basa en enlaces de tipo SSL y TLS. OpenVPN no
soporta por tanto protocolos L2TP o PPTP, ya que es un protocolo personalizado basado
en los dos anteriormente citados.
La arquitectura de conexión y comunicación es la típica de una VPN, basada en punto-a-

punto. Para efectuar esta conexión se requiere validación jerárquica entre usuarios y
servidor a través de certificados SSL/TLS + RSA de forma remota. Soporta todo tipo de
enlaces de red, como WIFI IEEE 802.11, ETHERNET 802.3 y red de datos móviles.
31
2.1.1 Funcionamiento de OpenVPN.
Figura 5: Funcionamiento de OpenVPN.
El protocolo OpenVPN es responsable de manejar las comunicaciones cliente-servidor.

Básicamente, ayuda a establecer un túnel seguro entre el cliente VPN y el servidor VPN,
como se muestra en la figura Figura 5: Funcionamiento de OpenVPN..
Cuando OpenVPN maneja el cifrado y la autentificación, usa la biblioteca OpenSSL de

manera extensa. Además, OpenVPN puede usar UDP (Protocolo de Datagrama de
Usuario) o TCP(Protocolo de Control de Transmisión) para transmitir datos.
Si no está con TCP y UDP, son protocolos de capa de transporte y se utilizan para
transmitir datos en línea. TCP es más estable ya que ofrece funciones de corrección de
errores (cuando se envía un paquete de red, TCP espera la confirmación antes de
enviarlo nuevamente o enviar un nuevo paquete). UDP no realiza corrección de errores, lo
que lo hace un poco menos estable, pero mucho más rápido.
OpenVPN funciona mejor que UDP, por lo que el Servidor de Acceso de OpenVPN
primero intenta establecer conexiones TCP. La mayoría de los proveedores de VPN
también ofrecen OpenVPN sobre UDP por defecto.
Debido a la forma en que está programado (es un protocolo de seguridad personalizado),

el protocolo OpenVPN puede omitir fácilmente HTTP y NAT.
Al montar un servidor OpenVPN, también se puede tener acceso a todos los recursos
compartidos que se disponga en la entidad aun estando fuera de los límites que abarca la
red LAN de dicha entidad, ya sea correo, internet, carpetas compartidas, entre otras.
32
2.1.2 Especificaiones Técnicas de OpenVPN.
 En general, OpenVPN usa encriptación OpenSSL de 256 bits. Para fortalecer aún más
la seguridad de la conexión, OpenVPN puede utilizar los cifrados AES, Camelia,
3DES, CAST-128 o Blowfish.
 OpenVPN admite la mejora de los procesos de inicio de sesión y autenticación con el
uso de complementos y scripts de terceros.
 Si bien OpenVPN no tiene soporte para L2TP, IPSec y PPTP, usa su propio protocolo
personalizado basado en TLS y SSL.
 Los clientes pueden conectarse a servidores más allá del servidor OpenVPN, ya que
ofrece soporte para una configuración de subred privada.
 Para proteger a los usuarios deñas vulnerabilidades de desbordamiento del búffer en
implementaciones TLS/SSL, ataques DoS, escaneo de puertos e inundación de
puertos, OpenVPN confía en tls-auth para la verificación de firmas HMAC. OpenVPN
también está programado para eliminar privilegios si es necesario.
 OpenVPN se ejecuta en el espacio del usuario en lugar del espacio del kernel.
2.1.3 Seguridad brindada por OpenVPN.
Es uno de los protocolos VPN más seguro en este momento. La mayoría de los
proveedores de VPN y expertos en seguridad, recomiendan adherirse a OpenVPN.
Además la plataforma openvpn.net también tiene una gran lista de lo que los usuarios
pueden haber para asegurar aún más sus conexiones después de configurar OpenVPN
en sus dispositivos. Y dado que es un protocolo de código abierto, es mucho más
confiable ya que puede verificar el código usted mismo para asegurarse de que todo esté
en orden.
OpenVPN utiliza claves de cifrado para proteger los datos durante la comunicación,
utilizando dos métodos: de claves estáticas precompartidas y por certificados SSL/TLS +
RSA. El primero de ellos instala una clave en todos los clientes que pretendan acceder al
servidor VPN, es un método bastante sencillo. El segundo método, es la opción más
segura, basándose en dos claves públicas y dos privadas basadas en OpenSSL.
33
 certificados SSL/TLS + RSA: este método es el más seguro de los dos. En el sistema,
cada servidor y cliente tiene dos claves, una pública y otra privada. La clave pública
sirve para cifrar los datos, por lo que se enviará a todos los clientes que quieran
conectarse, mientras que la clave privada es la que los descifrará. De esta forma solo
se necesita una clave para conseguir hacer la comunicación. Esta clave se conocen
como certificados SSL/TLS de 256 bit por estar basado en el software OpenSSL que
siempre viene instalado en los sistemas operativos. Estos certificados se pueden
generar propiamente al crear una VPN mediante algoritmos matemáticos. Solamente
tendrán acceso a la VPN aquellos nodos con ambos certificados firmados.
 claves estáticas precompartidas: también llamados sistema de cifrado simétrico por
tener una clave de cifrado en los dos extremos de la conexión. El método es simple,
aquellos nodos que tengan la clave podrán descifrar el tráfico de la red, siendo un
método considerado inseguro, ya que si algún hacker obtiene dicha clave podrá ver
todo el contenido de la red.
2.1.4 Comunicación en OpenVPN.
Figura 6: Modo de comunicación de OpenVPN.
En la comunicación se suele utilizar el protocolo UDP para la capa 4 o capa de transporte

de datos del modelo OSI. De hecho, los puertos que se abren en el enrutador para admitir
conexiones de clientes externos serán de tipo UDP, com ose muestra en la figura Figura
34
6: Modo de comunicación de OpenVPN.. No obstante, si la conexión falla en un primer

momento se intentará conectar a través de TCP.
UDP: Es un protocolo no orientado a la conexión, por lo que cliente y servidor no

necesitan aceptar la comunicación para realizarla, Esto hace que sea mucho más rápido
que TCP, aunque no asegura que los datos lleguen al destino o que lleguen en orden.
TCP: Es orientado a la conexión, así que se debe abrir la comunicación antes de enviar,
asegurando que los datos van a llegar por tener corrección de errores, dado esto es más
lento que UDP.
Para poder conectar el servidor OpenVPN con el exterior y así recibir conexiones de
clientes fuera de una LAN real, se necesita abrir un total de tres puertos normalmente.
OpenVPN utiliza el puerto 194 UDP, así como los protocolos UDP 500 y UDP 4500 para
IPSec.
2.1.5 Velocidad en OpenVPN.
Se tienden a obtener velocidades de conexión decentes, si se tiene suficiente ancho de

banda. La razón por la que sus velocidades tienden a disminuir con frecuencia, se debe
principalmente a su fuerte cifrado. Por supuesto, también pueden entrar otros factores en
juego.
En general se puede obtener velocidades más rápidas si usa OpenVPN sobre UDP en
lugar de TCP.
2.1.6 Ventajas y desventajas de OpenVPN.
Ventajas:
 OpenVPN es un protocolo muy seguro, capaz de utilizar claves de cifrados de 256

bits y códigos de alta gama.
 El protocolo OpenVPN puede evitar fácilmente cualquier firewall que encuentre.
35
 Dado que OpenVPN puede usar tanto TCP como UDP, le ofrece más control sobre
sus conexiones.
 Dado que OpenVPN puede usar tanto TCP como UDP, le ofrece más control sobre
sus conexiones.
 OpenVPN se ejecuta en una gran cantidad de plataformas. Algunos ejemplos
incluyen Windows, macOS, iOS, Andriod, Linux, routers, FreeBSD, OpenBDS,
NetBDS y Solaris. OpenVPN tiene soporte para “Secreto perfecto hacia adelante” (lo
cual indica que el descubrimiento de las claves utilizadas actualmente no
comprometen la seguridad de las claves usadas con anterioridad. Por tanto la
seguridad de lo que se hizo usando claves antiguas persiste).
Desventajas:
 La configuración manual del protocolo OpenVPN puede ser bastante difícil en algunas
plataformas.
 A veces, puede encontrar caídas en las velocidades de conexión debido a su método
en el cifrado seguro.
 OpenVPN requiere que se ejecuten aplicaciones de terceros.
2.1.7 Instalación y configuración en Windows de OpenVPN.
Para configurar una conexión OpenVPN, necesitará una suscripción a un servicio VPN.
Si bien se puede configurar su propio servidor OpenVPN, es una implementación
compleja y la mayoría de tutoriales que existen solo cubren plataformas de Linux. En caso
de Windows es como se muestra en la Figura 7: Pasos para la instalación de OpenVPN.
Se abre el navegador en el URL: http://vpn.us.es/descargas
Se selecciona openvpn_2.3.1_win_iinstall_64_bits.exe, en caso de que el sistema

operativo esté instalado sea de 64 bits. Luego de seleccionar la descarga de ese fichero,
se procede a guardar.
36
A continuación se accede a la URL: http://www.vpn.us.es
Una vez dentro de la página web, se descargan los siguientes dos ficheros:
 Fichero de certificado de autoridad de certificación: vpn.us.es.ca.crt
 Fichero de configuración de OpenVPN: vpn.us.es.ovpn
A continuación, el programa guardado se ejecuta como administrador y se completa la

instalación.
Figura 7: Pasos para la instalación de OpenVPN.
Una vez instalado y listo para ejecutarse como administrador, solo queda añadir los otros
dos ficheros descargados anteriormente, en la carpeta del programa cuya ruta es
C:\Program Files\OpenVPN\config.
37
Para probar el correcto funcionamiento de la VPN, se ejecuta el programa OpenVPN

GUI. Cuando el programa está en ejecución, se aprecia el ícono de OpenVPN GUI en el
área de notificaciones en color rojo y dicho color indica que no está conectado a la VPN.
Luego se pulsa el clic derecho en dicho ícono y aparecerá un menú con varias opciones,
y se procede a seleccionar la opción connect.
Automáticamente, aparecerá en una ventana toda la información de conexión de su

cliente con el servidor VPN.
Esta información que aparece es muy importante si no se conecta el servidor

correctamente al VPN. Se debe cortar y adjuntar dicha información si se abre una
incidencia de soporte. Puede volver a obtener la información de la conexión
inmediatamente anterior, en el menú de OpenVPN GUI en el área de notificaciones, en la
opción View Log.
El cliente OpenVPN GUI, solicitará el usuario y la clave, tal como se muestra en la Figura
8: Autenticación del cliente OpenVPN.
Figura 8: Autenticación del cliente OpenVPN.
38
Si no pertenece a la US, al usuario se le habrá notificado en el correo de notificación del

servicio VPN, y la clave se habrá elegido durante el proceso de aceptación del servicio.
Si el nombre de usuarios y clave son correctos, el proceso seguirá adelante, apareciendo

más entradas en la ventana. Se puede observar que durante todo ese proceso, el ícono
de OpenVPN GUI en el área de notificaciones aparece en color amarillo.
Si todo ha ido correctamente desaparecerá la ventana anterior, el ícono de OpenVPN

GUI del área de notificaciones, se pondrá de color verde, y aparecerá durante un breve
período de tiempo una notificación donde indicará que está conectado a vpn.us.es y que
tiene una IP con el formato 168.192.168.x.
Esa IP no es realmente la IP que se tendrá a la hora de navegar en internet, es una IP

exclusiva de comunicación entre el dispositivo y el servidor de VPN, el cual actuará como
un Proxy y saldrá con otra IP que pertenece a la red que se utiliza cuando se encuentra
físicamente conectado en la US.
Ya se está conectado a la VPN de la US y el siguiente paso es opcional y sirve para

asegurarse que se está usando la conexión con el servidor VPN y saber que IP se tendrá
durante su uso.
Desde el navegador se accede a: http://www.reinus.us.es/ip/, tal como se muestra en la

Figura 9: Dirección http://www.reinus.us.es/ip/ en el navegador..
39
Figura 9: Dirección http://www.reinus.us.es/ip/ en el navegador.
Se muestra el IP con la que el dispositivo está llegando al servidor www.reinus.us.es y

además si se está conectado al servidor de la US.
Cuando no se desee más el servicio VPN, se puede cerrar la conexión de la siguiente

manera. Pulse en el ícono de OpenVPN GUI en el área de notificaciones, y se selecciona
la opción Disconnect o Exit.
A continuación en la Figura 10: Ejemplo de configuración de un servidor OpenVPN. se ,uestra

un ejemplo de configuración.
40
Figura 10: Ejemplo de configuración de un servidor OpenVPN.
2.1.8 Creación de la Clave/Certificado de la CA.
En este apartado se genera el certificado público y la clave privada de la CA. Para ello se
va a hacer uso de los scripts proporcionados por OpenVPN que se encuentran en la
carpeta “easy-rsa” en la ruta donde se halla instalado OpenVPN. El procedimiento para
ejecutar dichos scripts en Windows y Linux es muy similar y se hacen mediante consola.
La única diferencia es el formato, ya que en Windows se trata de archivos con extensión
.bat, mientras que en Linux se trata de archivos de shell.
Si se está utilizando Windows, el primer paso será ejecutar el archivo “init-

config.bat”desde la consola para copiar algunos archivos necesarios al mismo directorio
(esto, además, sobrescribirá los archivos “vars.bat” y “openssl.cnf” ya existentes).
41
Una vez se tiene el fichero llamado vars (vars.bat en Windows), se edita. Entre los
parámetros que a modificar se encuentran la ruta del fichero donde se crearán las claves
y certificados, el tamaño de las claves privadas (del servidor, cliente y CA) para su uso en
el algoritmo RSA, y los valores por defecto de algunos campos de los certificados tales
como KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG y KEY_EMAIL. Tras
haberlo editado se ejecuta el script.
Por último solo queda ejecutar el script build-ca (build-ca.bat en Windows) para generarla
clave privada y el certificado de la Autoridad Certificadora (CA), como se muestra en la
Figura 11: Salida de consola de la creación del certificado/clave de la CA..
Figura 11: Salida de consola de la creación del certificado/clave de la CA.
Mediante este procedimiento se han generado 2 ficheros nuevos:
 ca.crt: fichero correspondiente al certificado público de la CA.

 ca.key: fichero correspondiente a la clave privada de la CA, la cual debe mantenerse
protegida ya que es la clave más importante de toda la PKI.
42
2.1.9 Creación de la Clave/Certificado del servidor.
Los pasos para crear la clave privada y el certificado público del servidor son similares a
los pasos seguidos para crear el mismo par para la CA. Primero se ha de asegurar que se
han creado y asignado las variables que se utilizarán en el resto de scripts. Para ello se
vuelve a ejecutar el script vars (vars.bat en Windows). Para crear el par clave/certificado
del servidor se ejecuta el script build-key-server (build-key-server.baten Windows).
Como muestra la Figura 2.4, se ha creado, en una máquina con Linux, el certificado/clave
del servidor y se ha introducido, como campo “common name” del certificado, el nombre
“server”. Tras completar todos los campos del certificado del servidor se firma el
certificado de la CA, respondiendo afirmativo.
Figura 2.4 Salida de consola de la creación del certificado/clave de la CA en el servidor.
Tras realizar estos pasos se han generado 4 ficheros nuevos:
 servidor.crt: fichero correspondiente al certificado público del servidor.
43
 servidor.key: fichero correspondiente a la clave privada del servidor, la cual debe

permanecer protegida.
 01. pem: fichero correspondiente al certificado público del servidor en formato PEM. El
nombre del fichero proviene de su número de serie del certificado, el cual es 01.
 servidor.csr: este fichero sirve para poder crear el certificado del servidor en otra
máquina que pueda crearlo y firmarlo, ya que este fichero tiene toda la información
que le hace falta.
2.1.10 Creación de la Clave/Certificado del cliente.
Para crear la clave privada y el certificado público de los clientes se hacen casi los
mismos pasos que se han realizado para el servidor y para la Autoridad Certificadora
(CA). De nuevo, se ha de ejecutar el script vars (vars.bat en Windows) para crear y
asignar las variables que van a hacer falta para poder ejecutar el resto de scripts. En este
caso, el script para crear la clave y el certificado del cliente se utiliza el script build-key (o
build-key.bat en Windows).
Al introducir el campo “common name” en cada uno de los certificados de cliente,

conviene utilizar algún número para diferenciar uno de otro. Por ejemplo, se puede utilizar
los valores de “common name”, client1, client2, client3, para los tres primeros clientes. Al
igual que para el servidor, se completan los procedimientos debidos.
Tras realizar estos pasos se han generado 4 ficheros nuevos:
 client.crt: fichero correspondiente al certificado público del cliente.

 client.key: fichero correspondiente a la clave privada del cliente, la cual
debepermanecer protegida.
 02.pem: fichero correspondiente al certificado público del cliente en formato
PEM. El nombre del fichero proviene de su número de serie del certificado, el cual es 02.
44
 client.csr: este fichero sirve para poder crear el certificado del cliente en otramáquina
que pueda crearlo y firmarlo, ya que este fichero tiene toda la información que le hace
falta.
2.1.11 Técnicas contra ataques Man-In-The-Middle.
En criptografía, un ataque man-in-the-middle es un ataque en el que el enemigo adquiere

la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin
que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe
ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque man-in-
the-middle es particularmente significativo en el protocolo original de intercambio de
claves de Diffie-Hellman, cuando éste se emplea sin autenticación. La posibilidad de un
ataque man-in-the-middle sigue siendo un problema potencial de seguridad serio, incluso
para muchos sistemas criptográficos basados en clave pública. [11]
En OpenVPN existen técnicas de defensa contra estos tipos de ataques como los que se
explican, brevemente, a continuación:
 Crear nuestros certificados de servidor con los scripts comentados en apartados

anteriores. Ejecutando el script “build-key-server” se creará un certificado exclusivo de
servidor asignándolo como “nsCertType=server” (de esta manera se le dice al
protocolo SSL/TLS que este certificado es de tipo servidor). Tras hacer el certificado
del servidor por este procedimiento se puede hacer que los clientes no acepten ningún
certificado que no sea del tipo servidor utilizando, para ello, la directiva “--ns-cert-type”.
Por tanto, una buena recomendación para prevenir ataques man-in-the-middle es la
de incluir en el fichero de configuración de los clientes la siguiente línea: ns-cert-type
server
 Utilizar la directiva “--tls-remote name” para que el cliente o el servidor soloacepte

certificados que tengan el campo “common name” con el valor del parámetro “name”.
De esta manera, se puede hacer que los clientes solo acepten/rechacen conexiones
basándose en el “common name” del certificado del servidor. configuración de los
clientes: tls-remote server
45
 Utilizar algún plugin o script junto a la directiva “--tls-verify” de OpenVPN paraque el

servidor acepte o rechace conexiones de clientes basándose en la comprobación de
algunos de los detalles de los certificados X509. Esta función es muy útil si el cliente
tiene un certificado el cual fue firmado por una CA que también firmó otros certificados
a otros clientes, pero se quiere hacer una selección de algunos certificados que si
serán aceptados. Esta directiva permitirá pasarle como argumento cualquier plugin o
script que testeará alguno de los campos del certificado X509, como por ejemplo, el
campo “common-name”.
 Firmar los certificados del servidor con una CA y los certificados del cliente conuna CA
diferente. La directiva “--ca” del fichero de configuración del cliente deberá hacer
referencia al fichero de la CA del servidor, mientras que la directiva “--ca” del fichero
de configuración del servidor deberá de hacer referencia al fichero de la CA del
cliente.
2.2 SoftEther.
La Figura 12: Logo de SoftEther. muestra el logo de SoftEther.
Figura 12: Logo de SoftEther.
46
Es considerada una opción más rápida que OpenVPn y además hay que indicar que es
compatible con Microsoft SSTP VPN para las diferentes versiones de Windows. Cuenta
con un protocolo propio: SSL-VPN. Está optimizado totalmente para esta herramienta, por
lo que ofrece un rendimiento muy rápido, baja latencia y resistencia al firewall.
Permite virtualizar Ethernet a través de la enumeración de software. SoftEther VPN Client

implementa Virtual Ethernet Switch.
SoftEther tiene una gran compatibilidad con los productos VPN más populares de la
actualidad. Tiene compatibilidad con OpenVPN, L2TP, IPSec, EtherIP, L2TPv3, Cisco
VPN Routers y MS-SSTP VPN Clients. En la actualidad es el único en el mundo que
admite SSL-VPN, OpenVPN, L2TP, EtherIP, L2Pv3 e IPSec como único software VPN.
2.2.1 Características principales de SoftEther.
 Es un software gratuito y de código abierto.

 Facilidad para establecer VPN de sitio a sitio y de acceso remoto.
 Tunelización SSL-VPN en HTTPS para pasar a través de NAT y cortafuegos.
 Funciones innovadoras de VPN sobre ICMP y VPN sobre DNS.
 Es resistente a firewalls altamente restringidos.
 DNS dinámico y NAT transversal integrados para que no se requiera una dirección IP
fija o estática.
 Cifrados AES de 256 bits y RSA de 4096 bits.
 Funciones de seguridad, como registro y túnel VPN.
 Alto rendimiento con 1 Gbps con bajo uso de memoria y CPU.
 Admite Windows, Linux, macos, iOS o Andriod, entre otros.
 Compatibilidad con SSL-VPN (HTTPS) y los seis principales protocolos VPN
(OpenVPN, IPSec, L2TP, MS-SSTP, L2Tpv3 y EtherIP)
 La función de clonación de OpenVPN admite clientes OpenVPN heredados.
 IPv4 y IPv6
47
 Puede construir fácilmente una conexión de VPN tanto como de acceso remoto, de
sitio a sitio, como también expansión VPN L2 basada en Ethernet.
2.2.2 Ventajas de SoftEther.
Es un software desarrollado en Japón, soporta múltiples protocolos VPN, es un software

VPN avanzado.
Es un software libre y de código abierto de muy fácil instalación y gestión. Su cliente VPN
protege su identidad, ya que el SoftEther VPN Client levanta en la máquina un nuevo
adaptador de red con un direccionamiento interno e independiente a la IP de la tarjeta de
red física. Esta IP es asignada por el DHCP que posee el servidor VPN, el cual constituye
el DNS y el Gateway de la nueva subred interna creada.
 Establece VPN sobre el protocolo ICMP y DNS, burlando los dispositivos de seguridad
que se encuentran en la red.
 Ofrece resistencia a la alta restricción de los firewalls.
 Soporta VPN capa 2 y capa 3.
 Posee diversos métodos de encriptación, tales como AES 256-bits y RSA 4096.
 Brinda características de seguridad, tales como autenticación por logueo y cortafuegos
internos dentro del túnel VPN.
 Ofrece un throughput de 1 Gbps, logrando tal rendimiento con poco consumo de
memoria y CPU.
 Su descarga es gratis, además se logra una navegación a través de internet de
manera segura y gratuita para Windows.
2.2.3 Funcionamiento de SoftEther.
SoftEther VPN lleva a cabo el mecanismo de comunicaciones de Ethernet por el software

y comprende VPN creando una red virtual.
48
Con LAN que usa las normas de Ethernet comunes (IEEE802.3) como 100Base-TX
convencional o 1000Base-T, las computadoras múltiples se equipan con el equipo de
comunicaciones (el adaptador de la red) eso apoya Ethernet para que se conecte por la
conexión de estrella a Cubo cambiante central (también llamado "capa 2 que cambia") y
se comunica libremente entre sí.
Ethernet puede poseer computadoras múltiples que usted puede comunicar entre sí. Aquí
sin embargo las computadoras usan un adaptador de la red (también llamado "LAN Card")
qué es un dispositivo especial para conectar a Ethernet, y conecta físicamente a Ethernet.
En las condiciones específicas, la computadora conecta el adaptador de la red al

Ethernet deseado, que cambia el Cubo por una línea señalada física llamada "cable de la
red."
Dirección MAC
Las computadoras que participan en Ethernet deben comunicar con IDs para impedirles
reproducirlos. Cada adaptador de la red se le ha asignado un ID a un único 48-bit. Estos
48-bit ID se envía como "MAC de origen". Como una regla, las MAC se dirigen al
adaptador de la red físico al cual se ha asignado, no se reproducirían las computadoras
en cualquier parte del mundo (en el caso de adaptador de red de software como SoftEther
VPN el Adaptador de la Red Virtual, un algoritmo conveniente con que la posibilidad de
dirección de MAC que realmente se reproduce es sumamente baja se genera para
prevenir la duplicación). Los Paquetes de comunicación (Ethernet Frames) Flujo a través
de Ethernet
Los paquetes de comunicación que fluyen a través de Ethernet normalmente son llamado
"Ethernet idea" o "MAC idean los paquetes de Ethernet" (en este manual ellos son
uniformemente llamado "Ethernet Frame") los marcos de Ethernet contienen varios títulos
y los datos que realmente van a ser transmitido (la carga útil). Lo siguiente cuatro artículos
son los más importantes de éstos.
49
El destino MAC se dirigen (48 bit) es un campo que contiene la dirección de MAC que
recupera indicando a que computadora Ethernet Frame de la computadora que envía los
datos.
La fuente MAC que dirige (48 bit) es el campo que contiene la MAC que se dirige al
adaptador de la red de la computadora que envía los datos de Ethernet.
El tipo protocolar (16 bit) indica en un valor de 16-bit contenidos en Ethernet Frame (la
carga útil) usada en capa 3…. por ejemplo el valor es el 0x0800 para IP y 0x0806 para
ARP. En algunos casos el campo puede contener un valor que indica la longitud de la
carga útil en lugar del tipo protocolar, pero no se usa actualmente a menudo.
La carga útil (el máximo 1500 bytes) es el dato a ser transmitido usando Ethernet
realmente.
50
Capítulo 3. Implementación de la VPN
3.1 Instalación y configuración del cliente y del servidor de SoftEther.
Equipos y software necesarios para dicha instalación:
1- Una computadora con acceso a internet para instalar y configurar en ella el

servidor de SoftEther, dicha computadora puede tener cualquier sistema operativo
instalado, ya que SoftEther es compatible con todos, en este caso se hará con
Windows 10.
2- Una segunda computadora también con acceso a internet para instalar y
configurar el cliente de SoftEther, igualmente dicha computadora puede tener
cualquier sistema operativo, pero en este caso tendrá Windows 10.
3- Tener los programas SoftEther VPN Server Manager y SoftEther VPN Client
previamente descargados en la página oficial de SoftEther: como se explicó en el
capítulo anterior.
3.1.1 Instalación de SoftEther VPN Server Manager.
Una vez damos doble clic en el programa SoftEther VPN Server Manager, comienza la
instalación, y para completarla se siguen los siguientes pasos:
 En la Figura 13: Presentación del programa de instalación del servidor SoftEther. se

muestra la presentación de la instalación del programa, al cual se da clic en Siguiente.
51
Figura 13: Presentación del programa de instalación del servidor SoftEther.
 En la Figura 14: Ventana para seleccionar el modo de Software a instalar. se muestra para
seleccionar el componente del software que se desee instalar, como muestra la
siguiente figura seleccionamos la opción que está circulada con color negro, ya que
esta nos permite crear el servidor a la vez que configurarlo, luego le demos en
siguiente como indica en el círculo amarillo.
Figura 14: Ventana para seleccionar el modo de Software a instalar.
52
 En la Figura 15: Ventana para aceptar las políticas del software. se muestra
seleccionamos agree, diciendo que estamos de acuerdo con las políticas del software,
y luego siguiente.
Figura 15: Ventana para aceptar las políticas del software.
 En la siguiente ventana, la cual se muestra en la Figura 16: Ventana para seleccionar el

destino de la carpeta de instalación. se puede seleccionar el destino de la instalación del
software, ya sea por defecto o se puede modificar su destino, seleccionamos y damos
en siguiente.
Figura 16: Ventana para seleccionar el destino de la carpeta de instalación.
53
 Luego esperamos unos minutos para que culmine el proceso de instalación, el cual
aparecerá tal y como se muestra en la Figura 17: Ventana de espera para la culminación
del proceso de instalación..
Figura 17: Ventana de espera para la culminación del proceso de instalación.
 Ya culminado el proceso de instalación nos aparece la siguiente Figura 18: Ventana de

culminación del proceso de instalación. en la cual seleccionamos abrir el SoftEther VPN
Server Manager, y damos en finalizar.
54
Figura 18: Ventana de culminación del proceso de instalación.
3.1.2 Configuración de SoftEther VPN Server Manager.
Con estos 7 pasos previos ya está lista la instalación de SoftEther VPN Server Manager,
automáticamente, después del paso 6 se abrirá la primera ventana de configuración del
servidor, donde seleccionamos la opción New Connecting Server y se abre una nueva
ventana la cual se muestra en la Figura 19: Ventana para poner los datos del servidor..
55
Figura 19: Ventana para poner los datos del servidor.
1 El recuadro Setting Name, se rellena con el nombre que se desea ponerla al

servidor, en este caso se llamó VPN.
2 En el recuadro Host Name, se pone el IP por el cual la computadora tiene acceso
a internet… para saber este IP, hay dos opciones, una acceder al ejecutable de
Windows (Windows + r, escribimos cmd, y luego ponemos el comando ipconfig),
tal y como se muestra en la Figura 20: IP que nos provee el adaptador que tiene salida
a internet, visto por el ejecutable bajo el comando ipconfig. .
Figura 20: IP que nos provee el adaptador que tiene salida a internet, visto por el ejecutable bajo el
comando ipconfig.
Y la otra opción es dar clic derecho en el ícono del adaptador de red de la barra de tarea,
clic en abrir el centro de redes y recursos compartidos, clic en cambiar la configuración del
56
adaptador, clic derecho en el adaptador con el cual se está dando salida a internet, clic en
detalles y se mostrará una ventana donde indica el IP, tal como se muestra en la Figura
21: IP que nos provee el adaptador que tiene salida a interne, visto en centro de redes y recursos
compartidos.
Figura 21: IP que nos provee el adaptador que tiene salida a interne, visto en centro de redes y
recursos compartidos.
3 Luego, se selecciona el puerto de escucha, en este caso se selecciona el puerto

443, debido a que es un puerto muy común.
4 Debajo, se puede seleccionar, el tipo de proxy del servidor, o no utilizar proxy, en

este caso no se utiliza proxy, ya que es más sencillo sin proxy.
5 Por último introducimos la contraseña deseada, y damos clic en OK.
Tras dar clic en OK aparece un recuadro pidiendo contraseña de administrador, tal y

com ose muestra en la esta la dejamos en blanco y presionamos OK.
57
Figura 22: Contraseña de Administrador (se deja en blanco).
Nos aparece un nuevo recuadro, el cual se muestra en la Figura 23: Contraseña de

Administrador creada previamente. nuevamente pidiendo contraseña, pero esta vez, es
la contraseña que se puso en el paso 5, y presionamos OK.
Figura 23: Contraseña de Administrador creada previamente.
Después de los pasos anteriores, se abre una nueva ventana (es la que se muestra en la
Figura 24: Ventana donde aparece los servidores creados (en este caso 1 servidor llamado
VPN).) donde aparecerá el nombre del servidor y el Host name de este.
58
Figura 24: Ventana donde aparece los servidores creados (en este caso 1 servidor llamado VPN).
Damos clic en Connect y automáticamente se abre una nueva ventana para comenzar a
configurar con las opciones deseadas nuestro servidor:
1 En la primera ventana, la cual se muestra en la Figura 25: Ventana para seleccionar

el tipo de conexión de nuestra VPN aparece para seleccionar el tipo de VPN que
deseamos, en este caso, se selecciona el de acceso remoto, ya que para cumplir
con los objetivos de este trabajo es la más adecuada, luego hacemos clic en Next.
59
Figura 25: Ventana para seleccionar el tipo de conexión de nuestra VPN
2 En la Figura 26: Configuración del DNS Dinámico muestra el DNS Dinámico, el cual
el programa SoftEther VPN Server Manager genera uno aleatorio, pero si se
desea se puede cambiar y poner como nombre el que desea (en caso de
cambiarlo, se presionar el botón Set Above Hostname). También se puede
observar el IPv4 con el cual igualmente de forma aleatoria el programa asigna al
DNS Dinámico, en el caso del IPv6, en algunos países este está restringido para
este servidor.
60
Figura 26: Configuración del DNS Dinámico
3 En la Figura 27: Ventana para habilitar la función del servidor L2TP., se pueden
habilitar las funciones del servidor L2TP. Como se observa en la siguiente figura
se habilitan las dos primeras funciones y no la tercera, ya que se seleccionó el
Acceso Remoto y no la VPN sitio a sitio.
61
Figura 27: Ventana para habilitar la función del servidor L2TP.
4 En la Figura 28: Ventana para habilitar o deshabilitar el VPN Azure. se muestra para
deshabilitar o habilitar el Azure, en este caso, se deshabilita, ya que la opción de
Azure permite conectar las redes locales a Azure (es como una nube para
Windows) a través de nuestra VPN, esta opción no se necesita para cumplir el
objetivo de este trabajo, por tanto se deshabilita. Y presionamos OK.
Figura 28: Ventana para habilitar o deshabilitar el VPN Azure.
62
5 Luego ya podremos crear nuestros usuarios (cuanto usuario se necesite), en este

caso crearemos 1 usuario. Presionamos el botón Create Users, como se muestra
en la Figura 29: Opción para crear los usuarios..
Figura 29: Opción para crear los usuarios.
6 Se nos abre una ventana, la cual se muestra en la Figura 30: Ventana para rellenar
los datos del usuario. donde se puede rellenar los datos de usuarios, también se
observa que se puede seleccionar el tipo de autenticación del usuario, en caso de
seleccionar la autenticación por certificado, este programa permite crear
certificados, los cuales se guardan en la computadora del servidor, por lo que para
que el usuario correspondiente pueda autenticarse, es debido copiar estos
certificados a la PC del cliente, en este caso seleccionamos el tipo de
autenticación por contraseña, pues es más sencillo. Una vez rellenado los datos,
presionamos OK.
63
Figura 30: Ventana para rellenar los datos del usuario.
7 Luego de presionar OK, vuelve ala venatna anterior donde se selecciona el

adaptador con el cual se identificará nuestro servidor VPN, como se muestra en la
Figura 31: La opción para seleccionar el adaptador., el adaptador que se debe
seleccionar es el que tiene la salida a internet. También podemos observar com la
segunda opción no se puede variar, esto es debido a que al configurar en
configuraciones anteriores como Acceso Remoto y no como conección sitio a sitio,
el programa SoftEther VPN Server Manager, crea un servidor VPN central por
defecto.
64
Figura 31: La opción para seleccionar el adaptador.
3.1.3 Instalación de SoftEther VPN Client Manager.
Con estos 7 pasos anteriores, ya está lista la configuración del servidor VPN. Por lo que,
se puede proceder a configurar el cliente en la PC del usuario.
Una vez copiado el programa de instalación de SoftEther VPN Client Manager en la PC
del usuario, se procede a su instalación:
1- Es un proceso similar a la instalación del servidor, se observa la presentación del

programa, la cual se muestra en la Figura 32: Presentación del programa de
instalación del cliente SoftEther. y seleccionamos el botón Siguiente.
65
Figura 32: Presentación del programa de instalación del cliente SoftEther.
2- Se abre una ventana, la cual se muestra en la Figura 33: Ventana para seleccionar
el tipo de componente de software a instalar. para seleccionar el tipo de componente
del software que se desea, en este caso seleccionamos el primero, ya que fue el
que se seleccionó en el servidor, además de que es el más sencillo.
66
Figura 33: Ventana para seleccionar el tipo de componente de software a instalar.
3- Aceptamos las políticas del programa marcando en Agree y presionamos

Siguiente, tal y como se muestra en la Figura 34: Ventana para aceptar las políticas
del programa..
67
Figura 34: Ventana para aceptar las políticas del programa.
4- Ahora nos da la opción de elegir la carpeta de destino, a la cual en este caso

seleccionamos la carpeta por defecto, tal y como se muestra en la Figura 35:
Ventana para seleccionar la carpeta de destino..
68
Figura 35: Ventana para seleccionar la carpeta de destino.
5- Solo resta esperar unos minutos para que finalice la instalación del cliente, el cual
se indica en la barra verde, tal y como se muestra en la Figura 36: Ventana de
espera para la finalización del cliente.. Y cuando finalice presionamos Siguiente.
69
Figura 36: Ventana de espera para la finalización del cliente.
6- Una vez finalizada la espera, seleccionamos Finalizar, como se muestra en la .
Figura 37: Ventana para finalizar el proceso de instalación.
3.1.4 Configuración de SoftEther VPN Client Manager.
Con estos 6 pasos anteriores, ya está instalado SoftEther VPN Client Manager. Por lo
que se procede a la configuración de este.
1- A penas presionamos Finalizar en el último paso de la instalación, se abre

automáticamente la ventana para configurar el cliente, es la que se muestra en la
Figura 38: Ventana para la configuración del cliente y ya creado el adaptador virtual
llamado VPN Client Adapter - VPN.. En la cual hacemos doble clic en Add VPN
Connection, entonces el mismo programa creará un adaptador virtual llamado VPN
Client Adapter – VPN, este proceso demora unos segundos. Y se crea una nueva
VPN en el cliente.
70
Figura 38: Ventana para la configuración del cliente y ya creado el adaptador virtual llamado VPN
Client Adapter - VPN.
2- Una vez creado el adaptador virtual, damos doble clic en la VPN creada para
acceder a la configuración de esta y rellenarla con los datos del servidor. Y una
vez rellanada, presionamos el botón OK, la ventana de esta opción se muestra en
la Figura 39: Ventana para rellenar con los datos del servidor la VPN creada..
71
Figura 39: Ventana para rellenar con los datos del servidor la VPN creada.
Con estos dos pasos anteriores, ya se tiene configurado SoftEther VPN Client Manager
en la PC del usuario, por lo que ya se puede establecer la conexión con el servidor, como
se muestra en la Figura 40: Estableciendo conexión del cliente con el servidor..
Figura 40: Estableciendo conexión del cliente con el servidor.
72
Luego de unos segundos, el cliente y el servidor VPN están conectados.
3.2 Análisis de la conexión entre el cliente y el servidor SoftEther.
Para realizar el análisis de la conexión entre el servidor y el cliente de SoftEther, se

instaló una máquina virtual, la cual hará función de cliente, para ello se descargó el
programa Oracle Virtual Box, el cual se encuentra en la página web oficial
https://www.virtualbox.org.
Su instalación es sencilla, al igual que la configuración de la máquina virtual, en este caso
la máquina virtual tendrá instalado el sistema operativo Windows 7, como una manera de
demostrar que SoftEther es compatible tanto con Windows 10 como Windows 7, y que
además, independientemente de que los sistemas operativos del cliente y del servidor
sean distintos, funcionan.
Luego, de configurada la máquina virtual, y ya iniciada, se copia en ella el programa
SoftEther VPN Client Manager, cabe destacar que para copiar de la PC real a la PC
virtual , debemos activar dicha opción en la PC virtual:
Clic en menú Machine, Settings, en la pestaña Advanced cambiar la opción Shared
clipboard a Bidirectional.
Luego de copiado el programa SoftEther VPN Client Manager, se procede a instalar y
configurar como se indica anteriormente.
3.2.1 Análisis de la conexión

En la Figura 41 se muestra el estado del cliente con respecto al servidor, se puede
observar que están conectados.
73
Figura 41: Estado de conexión del cliente y el servidor.
Accedemos a la pestaña Tools, en el cliente instalado, luego clic en Network Device

Status, donde se puede apreciar en la Figura 42, que el estado de conexión es conectado,
y que se encuentra enviando y recibiendo Byte y paquetes.
Figura 42: Estado de conexión del cliente y el servidor y Byte y pauetes enviados y
recibidos.
74
En la misma pestaña de Tools, en el cliente instalado, damos clic en Network Traffic

Speed Test Tool, con esto el mismo cliente hace una prueba de velocidad a la conexión
establecida entre el cliente y el servidor, se puede observar en Figura 43, que la conexión
se estableció con éxitos y que comenzó la transferencia de datos.
Figura 43: Prueba de velocidad a la conexión del cliente y servidor.
Luego del lado del servidor, se puede analizar el estado de la conexión del cliente, como
se puede apreciar en la Figura 44, la conexión se realizó satisfactoriamente, además,
efectivamente dicho cliente se encuentra conectado al Hostname del servidor (el cual
configuramos previamente) 172.20.10.2, el mismo puerto de escucha 443.
75
Figura 44: Prueba en tiempo real del estado de conexión del cliente y el servidor
En la computadora donde se instaló el cliente, se puede observar en la Figura 45 si

accedemos a Abrir el centro de redes y recursos compartidos, dando clic derecho en el
ícono de la barra de tarea, luego clic izquierdo en Cambiar la configuración del adaptador,
que el adaptador virtual creado por el programa del cliente (VPN Client Adapter) se
encuentra habilitado.
76
Figura 45: El adaptador virtual creado por el programa del cliente está habilitado.
Luego como una opción también para analizar la conexión del cliente y el servidor de
SoftEther, es realizar el comando ping desde la PC del servidor al IP del cliente y
viceversa. Y como se observa en la Figura 46 y la Figura 47, ambas pruebas responden
con éxito.
77
Figura 46: Realizando el comando ping desde la PC del servidor al IP del cliente.
Figura 47: Realizando el comando ping desde la PC del cliente al IP del servidor.
78
Conclusiones
CONCLUSIONES
Las redes VPN proporcionan principalmente dos ventajas. Teletrabajo, es la solución

ideal, por su efectividad y sus bajos costes, para aquellas organizaciones que necesiten
que sus empleados accedan a la red corporativa, independientemente de su ubicación
geográfica.VPN Empresa, solución de conectividad entre sucursales de la empresa o
entre la empresa y sus socios, proveedores, etc. Gracias a su flexibilidad se adapta al
tamaño y necesidades de la organización.
Las redes VPN presentan cuatro inconvenientes. Requieren un conocimiento en

profundidad de la seguridad en las redes públicas y tomar precauciones en su desarrollo.
Dependen de un área externa a la organización, Internet en particular, y por lo tanto

dependen de factores externos al control de la organización. Las diferentes tecnologías de
VPN podrían no trabajar bien juntas.
Teniendo en cuenta el principio de funcionamiento y funcionalidades, se escoge como

soluciones para implementar el teletrabajo, OpenVPN y SoftEther.
79
Recomendaciones
Recomendaciones
Implementar las soluciones de software identificadas con el fin de comprobar su utilidad

ante la necesidad planteada.
Realizar las pruebas correspondientes que permitan avalar su uso.
80
GLOSARIO
GLOSARIO
- Ataque: intento organizado y deliberado de una o más personas para causar daño
o problemas a un sistema ifonrmático o red.
- Autenticación: es una estrategia de seguridad de redes inalámbricas. En una red
con autenticación, los dispositivos utilizan una clave compartida como contraseña
y se comunican sólo con los dispositivos que conocen dicha clave. Al contrario que
en WEP, la autenticación no encripta los datos que se envían entre los dispositivos
inalámbricos. Sin embargo, se puede utilizar la autenticación junto con WEP. Las
claves de autenticación y WEP pueden ser idénticas.
- DNS: Sistema de Nombres de Dominio (en inglés: el Domain Name System) es
una base de datos distribuida y jerárquica que almacena información asociada a
nombres de dominio en redes como Internet. Aunque como base de datos el DNS
es capaz de asociar diferentes tipos de información a cada nombre, los usos más
comunes son la asignación de nombres de dominio a direcciones IP y la
localización de los servidores de correo electrónico de cada dominio.
- Encriptación: una estrategia de seguridad de la red que codifica los datos que se
envían por una red inalámbrica, de manera que los datos son ininteligibles para los
"cotillas informáticos". La impresora admite WEP y WPA.
- Estándar: (en inglés: Standard) son una serie de lineamientos técnicos detallados,
destinados a establecer uniformidad en el desarrollo de programas (software) y
compra de equipos (hardware).
- Firewall: son los programas que protegen a una red de otras. Conjunto de
programas de protección y dispositivos especiales que ponen barreras al acceso
exterior a una determinada red privada. Es utilizado para proteger los recursos de
una organización de consultas externas no autorizadas.
- Frame relay: tecnología de transporte de datos por paquetes muy utilizada en las
conexiones por líneas dedicadas.
- Hacker: experto técnico en algún tema relacionado con comunicaciones o
seguridad; de alguna manera, es también un gurú. Los hackers suelen dedicarse a
violar claves de acceso por pura diversión, o para demostrar falencias en los
sistemas de protección de una red de computadoras, casi como un deporte.
81
GLOSARIO
- Hardware: es el conjunto de dispositivos físicos de los que se compone una

unidad central de procesamiento. Comprende componentes tales como la placa
madre, el teclado, el ratón, las unidades de disco o el monitor. El hardware por sí
mismo no hace que una máquina funcione, es necesario, además, instalar un
Software.
- Inalámbrico: (inglés wireless, sin cables) es el tipo de comunicación en la que no
se utiliza un medio de propagación físico alguno esto quiere decir que se utiliza la
modulación de ondas electromagnéticas, las cuales se propagan por el espacio sin
un medio físico que comunique cada uno de los extremos de la transmisión.
- Infraestructura: modo de conexión en una red wireless que define que nuestro
equipo (PDA, portátil u ordenador de sobremesa) se conectará a un Punto de
Acceso. El modo de conexión deberá de especificarse en la configuración de
nuestro equipo o del accesorio WiFi. Por defecto viene activado este modo.
- Medio de transmisión: o medio de transferencia, es el soporte o forma de
conexión que permite la transferencia de datos entre dos dispositivos o nodos en
una red. El medio puede ser alambrado (con cables) o inalámbrico. El medio de
transmisión es un factor determinante en la velocidad de transmisión de datos.
Algunos medios de transferencia son: radiofrecuencia, microondas, fibra óptica,
línea telefónica, cable coaxial.
- Protocolo: se denomina protocolo a un conjunto de normas y/o procedimientos
para la transmisión de datos que ha de ser observado por los dos extremos de un
proceso de comunicación (emisor y receptor). Estos protocolos «gobiernan»
formatos, modos de acceso, secuencias temporales, etc.
- Puente: un puente o bridge es un dispositivo de interconexión de redes de
ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI.
Este interconecta dos segmentos de red (o divide una red en segmentos) haciendo
el pasaje de datos de una red hacia otra, con base en la dirección física de destino
de cada paquete.
- Red: una red es un sistema de comunicación entre computadoras que permite la
transmisión de datos de una máquina a la otra, con lo que se lleva adelante entre
ellas un intercambio de todo tipo de información y de recursos. En cuanto a los
elementos que la conforman, la red está integrada por un nodo o terminal que
inicia o termina la comunicación, como la computadora, aunque también hay otros
dispositivos, como por ejemplo una impresora y un medio de transmisión que son
82
GLOSARIO
los cables o las ondas electromagnéticas (tecnología inalámbrica, enlaces vía

satélite, etc.). Las redes pueden clasificarse según su tamaño en redes LAN, MAN
y WAN
- Router: enrutador, encaminador. Dispositivo hardware o software para
interconexión de redes de computadoras que opera en la capa tres (nivel de red)
del modelo OSI. El router interconecta segmentos de red o redes enteras. Hace
pasar paquetes de datos entre redes tomando como base la información de la
capa de red. El router toma decisiones (basado en diversos parámetros) con
respecto a la mejor ruta para el envío de datos a través de una red interconectada
y luego redirige los paquetes hacia el segmento y el puerto de salida adecuados.
- Seguridad: es una combinación de su capacidad de apoyo en sistema de
disponibilidad, datos de integridad y datos de confidencialidad; la falta de un
sistema para proteger a cualquiera de estas características constituye una
violación de seguridad o debilidad.
- Tecnología: de acuerdo a la Real Academia Española, la tecnología es el
conjunto de teorías y técnicas que permiten el aprovechamiento práctico del
conocimiento científico. Cabe destacar que, en forma errónea, se utiliza la palabra
tecnología como sinónimo de tecnología informático, que es aquella que permite el
procesamiento de información por medios artificiales y que incluye todo lo
relacionado con los computadores.
- Topología: hace referencia a la forma de una red. La topología muestra cómo los
diferentes nodos están conectados entre sí, y la forma de cómo se comunican está
determinada por la topología de la red. Las topologías pueden ser físicas o lógicas.
Entre las topologías más comunes existen: la topología en malla, la topología en
estrella, la topología en bus, la topología en anillo y la topología en árbol.
- Túnel: Técnicas de encapsulado del tráfico.
- Velocidad de transmisión: es un promedio del número de bits, caracteres o
bloques, que se transfieren entre dos dispositivos, por una unidad de tiempo. La
velocidad de transmisión en una conexión depende de múltiples factores como el
tipo de conexión física, los límites en los caché, velocidad negociada entre los
dispositivos, limitación controlada de la velocidad, interferencias o ruidos en la
conexión física, etc.
- Wi-Fi: es la abreviación de "wireless fidelity," o “fidelidad inalámbrica.” Término
utilizado por la Wireless Ethernet Compatibility Alliance http://www.weca.net/ para
83
GLOSARIO
describir la tecnología de las redes inalámbricas. También este mismo término se

le conoce de manera alternativa como 802.11b.
SIGLAS
- DHCP: protocolo de configuración dinámica de servidor, (DHCP por sus siglas en

inglés: Dynamic Host Configuration Protocol), es un protocolo de red para asignar
automáticamente información TCP/IP a equipos cliente. Cada cliente DHCP se
conecta a un servidor DHCP centralizado que devuelve la configuración de red del
cliente, incluyendo la dirección IP, la puerta de enlace y los servidores DNS
- IEEE: Instituto de Ingenieros Eléctricos y Electrónicos (en inglés: Institute of
Electrical and Electronics Engineers) organización profesional cuyas actividades
incluyen el desarrollo de estándares de comunicaciones y redes. Los estándares
de LAN de IEEE son los estándares que predominan en las LAN de la actualidad.
- MAC: Control de acceso al medio (en inglés, Médium Access Control) Capa
inferior de las dos subcapas de la capa de enlace de datos, según la define el
IEEE. La subcapa MAC maneja el acceso a los medios compartidos, por ejemplo,
si se utilizara la transmisión o la contención de tokens.
- SSID: Identificador de conjunto de servicio (en inglés Service Set IDentifier) es un
código incluido en todos los paquetes de una red inalámbrica (Wi-Fi) para
identificarlos como parte de esa red. El código consiste en un máximo de 32
caracteres alfanuméricos. Todos los dispositivos inalámbricos que intentan
comunicarse entre sí deben compartir el mismo SSID.
- VLAN: Redes de Área Local Virtual (en inglés, Virtual Local Área Network) es una
red de área local que agrupa un conjunto de equipos de manera lógica y no física.
Efectivamente, la comunicación entre los diferentes equipos en una red de área
local está regida por la arquitectura física. Gracias a las redes virtuales (VLAN), es
posible liberarse de las limitaciones de la arquitectura física (limitaciones
geográficas, limitaciones de dirección, etc.), ya que se define una segmentación
lógica basada en el agrupamiento de equipos según determinados criterios
(direcciones MAC, números de puertos, protocolo, etc.).
84
GLOSARIO
- Protocolo de equivalencia con red cableada (en inglés, Wired Equivalent Privacy)
es un protocolo de seguridad estipulado en el estándar para Wi-Fi IEEE-802.11b,
diseñado para proveer una red de área local inalámbrica con un nivel de seguridad
comparable con el que usualmente se espera en una red alambrada. Una red
alambrada está protegida por mecanismos de seguridad de acceso, (como el
acceso a un edificio por ejemplo), que normalmente son efectivos para un
ambiente controlado, pero inefectivos para redes inalámbricas, ya que las ondas
radiales no están confinadas al interior del edificio. WEB busca establecer una
protección similar a las medidas físicas, mediante encripción de datos transmitidos
sobre la WLAN entre el cliente y los puntos de acceso. Una vez esta encripción se
ha implementado, se pueden utilizar otras medidas típicas de seguridad en LAN
como claves de acceso, VPN y autenticación.
- WPA: Acceso Protegido Wi-Fi (en inglés, Wi-Fi Protected Access) estándar Wi-Fi,
aprobado en abril de 2003, desarrollado para mejorar las características de
seguridad del estándar WEP y permitir su implementación en productos
inalámbricos que actualmente soportan WEP, pero la tecnología incluye dos
mejoras con respecto a este último: emplea el protocolo de integridad de claves
TKIP y la autenticación de usuarios se realiza mediante el protocolo EAP.
85
REFERENCIAS BIBLIOGRÁFICAS
REFERENCIAS BIBLIOGRÁFICAS
[1] A.G. Mason. Cisco Secure Virtual Private Network. Cisco Press 1er Edición, 2002, p.7.
[2] Jon C. Sander.VPNs Illustrated: Tunnels, VPNs and IPsec, Editorial Addison-Wesley
1er Edición, 26 de Octubre del 2005
[3] Luke Jonas P. Guías sobre direccionamiento IP, sobre redes y enrutamiento de las
VPN, 2019
[4] A.G. Mason. Cisco Secure Virtual Private Network. Cisco Press, 1er Edición, 2002,
p.25
[5] J.P.Degabriele y K.G. Paterson. Attacking the Ipsec Standars in Encryption-only

Configuration, 2007, p.335-349
[6] G. Pall y G. Zorn, Layer Two Tunneling Protcol (L2TP), Cisco System, 2016
[7] R. Nader Carreón, Redes Privadas Virtuales, 2007
[8] C Kaufman, R. Perlam y M.Speciner. Network Security: Private Communication in a

Public World. Prentice Hall PTR 2da Edición, 2002
[9] Pérez Hernández María Gabriela. Ciencias Fundamentales y Tecnología. Editorial

Dikinson. 2006.
[10] M Aguilar, F. Barceló y J. García Haro. Estimación de los parámetros de calidad para
distintos tráficos en nodos MTA con enlaces múltiples, Jornada de Ingeniería Telemática,
Jitel 97, 2004, pp. 233-240
[11] Tanmay Patange. How to defend yourself against MITM or Man-in-the-middle attack,
noviembre del 2013
86
BIBLIOGRÁFIA
BIBLIOGRAFÍA
A. Lakbabli y G. Orhanou, VPN IPsec &SSL Technology, Université Mohammed V,

Faculté de sciences , 2012.
A. Malik, K. Verma Harsh y R. Pal, Impact of firewall an d VPN for securing WLAN,
International Journal of Computer Science and Software Engineering, 2012.
Apuntes de Laboratorio de Arquitectura de Redes de Computadores de 3º de
Apuntes de Seguridad en Redes de 5º de Ingeniería de Telecomunicación de la
UPCT, Maria Dolores Cano Baños
G. Quan-Deng y L. Yi-He, Dynamic IPsec VPN architecture for private cloud services,
College of Computer Science, Neijiang Normal University, 2012
Ingeniería Técnica de Telecomunicación, Especialidad Telemática de la UPCT, José Juan

Sánchez Manzanares
Douglas E.Comer. Internetworking with TCP/IP. Principles, protocols and architectures.
J. Lu y C. Dong, Study on the application of a VPN technology based on IPSec in the

modern universities, Department of Computer Science, Northeast Petroleum University,
2011.
John Viega, Matt Messier & Pravir Chandra.Network Security with OpenSSL
Markus Feliner. OpenVPN. Building and Integrating Virtual Private Networks,
Jon C. Snader VPNs Illustrated: Tunnels, VPNs and Ipsec
INFOGRAFÍA
https://www.softether.org.
https://www.openvpn.net/
https://www.virtualbox.org
87
BIBLIOGRÁFIA
88
Anexos
Anexos
Ascenso del teletrabajo en años
89
Anexos
Comparativa entre OpenVPN y SoftEther
90
Anexos
91

Ricardo Sam Grupo 41 TD

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ricardo Sam Grupo 41 TD

Cargado por

Copyright:

Formatos disponibles

Universidad de Oriente

Facultad de Ingeniería Eléctrica

Redes Privadas Virtuales para el

Autor: Ricardo Luis Sam Hung

Tutor: Ing. Jose Luis Serret Lara

Octubre del 2021

IP, IPSec, túnel, Firewall.

IP, IPSec, tunnel, Firewall.

2.1.1 Funcionamiento de OpenVPN. .................................................................... 32

Con el surgimiento masivo de las estructuras de redes de datos a nivel empresarial no

El aumento del tele-trabajo producto de la pandemia hace imprescindible el acceso desde

 Analizar los principios de funcionamiento de las Redes Privadas Virtuales.

 Reconocer en el escenario actual de nuestro país las soluciones que permitan

Capítulo 1 Fundamentos de las Redes Privadas

1.1 Redes Privadas Virtuales (VPN)

1.1.1 ¿Por qué VPN?

1.1.2 Ventajas de VPN

Las VPNs traen las siguientes ventajas a las compañías:

• Movilidad: cualquier proveedor o empleado de la compañía pueden conectarse a la red

• Unificación: se pueden implementar y unificar mediante esta conexión para distintos

• Escalabilidad: a la hora de que la empresa crezca y tenga más necesidades de

• Aplicaciones: se pueden integrar las aplicaciones empresariales en Cloud y utilizar las

1.1.3 Direccionamiento y enrutamiento de las VPN

El tipo de enrutamiento seleccionado puede depender del fabricante y el modelo de su

En cambio si utiliza un dispositivo que no admite publicidad BGP, debe seleccionar el

Las tablas de enrutamiento determinan dónde se dirige el tráfico de red de la Nube

Por ejemplo, la Tabla 1: Destino-objetivo de una ruta a una Gateway.de enrutamiento

Tabla 1: Destino-objetivo de una ruta a una Gateway.

Cuando una Gateway privada virtual recibe información de direccionamiento, usa la

Rutas propagadas de BGP desde una conexión.

 Rutas propagadas de BGP desde una conexión sitio a sitio VPN.

 Cuando las rutas AS PATH tengan la misma longitud y se prefiere el primer AS de

Enrutamiento durante las actualizaciones de punto de enlace de túnel VPN.

Se recomienda configurar ambos túneles para la redundancia. Su conexión de VPN

Cuando se realizan actualizaciones en un túnel VPN, se define un valor más bajo de

1.1.4 Clasificación de las VPN

 Protocolo de túnel de capa 2(capa de enlace de datos): incluye el protocolo de túnel

 Protocolo de túnel de capa 3 (capa de red): incluye el protocolo de encapsulación de

 Protocolo de tunelización de la capa de sesión: El protocolo Secks4, que proporciona

 Protocolo de túnel de capa de aplicación: Secure Socket Layer (SSL) pertenece al

1.1.5 Arquitectura de las VPN

Dentro de las arquitecturas de las VPN se pueden mencionar las siguientes:

 Proporcionada por un servidor de Internet: El proveedor de Internet puede instalar en

 Basadas en caja negra: Básicamente es un dispositivo con software de encriptación.

 Basadas en routers: El cliente tiene el software por el cual se conecta al servidor de

 Basadas en acceso remoto: El cliente tiene un software por el cual se conecta al

 Basadas en software: Por lo general se utiliza de un cliente a un servidor VPN que

Además existen las siguientes:

 Tunneling: Consiste en encapsular un protocolo de red en otro permitiendo tener un

1.2 Protocolos VPN

1.2.1 IPSec (Internet Protocol Security):

Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el

La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA).Una

Para decidir qué protección se va a proporcionar a un paquete saliente, IPSec utiliza el

1.2.2 L2TP (Layer 2 Tunneling Protocol):

Figura 1: Túnel del protocolo L2TP.

1.2.3 PPTP (Point-to-Point Tunneling Protocol):

Protocolo de túnel de punto a punto (PPTP): El PPTP es un protocolo de Nivel 2 que

Figura 2: Conexión VPN con PPTP.

Figura 3: Trama final.

1.2.4 L2F (Layer 2 Forwarding):

1.2.5 SSL (Secure Sockets Layer) / TLS (Transport Layer Security):

El protocolo SSL se utiliza entre la capa de aplicación y la capa de transporte. Uno de

Mediante un ejemplo, se explicará cómo funciona el protocolo SSL/TLS combinado con