En esta guía, te explicaré qué es un «VPN passthrough» y cómo funciona.
Lee a continuación para aprender más sobre cómo funciona un «VPN passthrough».
Usa el menú de navegación a la derecha (escritorio) o abajo (móvil) para saltar rápidamente a secciones relevantes.
Hay dos tipos principales de routers, aquellos que aceptan de forma nativa una conexión VPN y aquellos que no.
Los routers que aceptan una conexión VPN de forma nativa admitirán tecnologías como IPsec (Seguridad del Protocolo de Internet), PPTP (Protocolo de túnel punto a punto) o L2TP (Protocolo de túnel de dos capas).
Puedes configurar este router para que funcione como un servidor VPN o crear una VPN de sitio a sitio con otra puerta de enlace VPN.
El diseño de algunos routers no permite su uso como servidores VPN. No admiten de forma nativa este tipo de tecnología y, por lo tanto, bloquean el tráfico VPN. Para usar una VPN, tienes que sortear esta limitación.
Puedes hacerlo con la función «VPN passthrough». Cuando está activado, el tráfico del cliente VPN pasará por internet y llegará a la puerta de enlace VPN.
La función «VPN passthrough» está disponible en muchos routers domésticos, y los que sí lo tienen son ampliamente aceptados como estándar porque admiten tanto PPTP como IPsec VPNs.
En otras palabras, esta característica permitirá que las computadoras en una red privada establezcan VPNs salientes. No afecta ni obstaculiza de ninguna manera el correcto funcionamiento de las conexiones VPN entrantes.
El nombre proviene de que esta característica permite que el tráfico VPN pase a través de el router. No tienes que abrir ningún puerto para hacerlo. El proceso es completamente automático.
Esta característica está presente principalmente en dispositivos de puerta de enlace de Internet para pequeñas empresas y routers VPN para consumidores. Estos dispositivos trabajarán con protocolos VPN como IPsec, PPTP, L2TP o incluso la tecnología VPN SSL (Capa de Puertos Seguros).
Esto significa que podrán conectarse a un servidor central o a la puerta de enlace VPN sin un cliente VPN presente. Este tipo de cliente es incompatible con dicho router, y solo perderías tiempo intentando combinarlos.
Los dispositivos de red para pequeñas empresas que admiten la función «VPN passthrough» permitirán que los paquetes de datos del cliente VPN se cifren con tecnología VPN y lleguen a internet.
La mayoría de los routers en el mercado vienen con un VPN passthrough incorporado. Es necesario para utilizar una VPN que use los protocolos IPsec o PPTP.
Sin embargo, el reemplazo de estos protocolos de seguridad por otros más rápidos y seguros, como OpenVPN y IKEv2/IPsec, ha hecho que esta función sea redundante.
Los protocolos VPN son inherentemente incompatibles con las tecnologías NAT (Traducción de Dirección de Red) y PAT (Traducción de Dirección de Puerto).
Esta incompatibilidad es un problema si usas dispositivos en red basados en estas tecnologías para compartir la misma conexión a internet entre varias computadoras.
Este escenario tiene dos posibles soluciones: un passthrough PPTP o un passthrough IPsec.
La mayoría de los routers se conectan a internet usando un protocolo NAT incompatible con PPTP. El passthrough PPTP sortea este problema, permitiendo que las conexiones VPN atraviesen el fondo NAT. Sin embargo, NAT requiere el uso de puertos para funcionar correctamente.
PPTP utiliza el canal TCP (Protocolo de Control de Transmisión) en el puerto 1723 para el control y el protocolo GRE (Encapsulación de Enrutamiento Genérico) para recopilar los datos y crear el túnel VPN, lo que sucede sin el uso de ningún puerto.
El GRE nativo de PPTP no necesita puertos para establecer el túnel VPN. Dado que NAT requiere una dirección IP válida y un número de puerto, hay un conflicto.
La función passthrough PPTP trabaja reconfigurando la función GRE y mejorando algunos de sus servicios. Lo más importante es que añade el ID de llamada.
Cuando un cliente PPTP se conecta a un servidor, crea un ID de llamada único que inserta en el encabezado modificado. Este ID de llamada está disponible como sustituto de los puertos en la traducción NAT.
Los ID de llamada se utilizan ampliamente en el mapeo de puertos PPTP para identificar de manera única a los clientes PPTP que utilizan NAT.
Está diseñado naturalmente para actuar como reemplazo solo para el tráfico PPTP, pero es un procedimiento no estándar que el router no reconoce automáticamente.
La función passthrough PPTP permite que el PPTP pase a través del router NAT. Obliga al router a cambiar del puerto estándar al indicado por el ID de llamada cuando se encuentra con cualquier tráfico PPTP.
Esta función permite que los clientes VPN realicen conexiones PPTP salientes.
El passthrough IPsec funciona usando un NAT-T, la travesía del traductor de dirección de red. Implementar este procedimiento de red establecerá y mantendrá de forma segura conexiones IP a través de gateways que requieran NAT.
Las VPN IPsec necesitan usar NAT-T para funcionar correctamente con el protocolo NAT. De lo contrario, el tráfico no será cifrado y no se creará ningún túnel VPN.
El NAT-T encapsula la carga útil de seguridad en un paquete UDP (Protocolo de Datagrama de Usuario), que NAT reconoce.
El proceso es mucho más eficiente porque la base de IPsec son protocolos que deben estar completamente habilitados para atravesar firewalls y traductores de direcciones de red:
Muchos routers tienen características específicas incrustadas en su programa, llamadas passthrough IPsec. Todas las versiones admitidas de Microsoft Windows tienen la travesía NAT habilitada por defecto, por lo que no tienes que cambiar ninguna configuración.
Solo debes desactivar el VPN passthrough cuando esto mejore la seguridad general. Los puertos de comunicación a través del firewall que de otra manera estarían abiertos y accesibles ahora serán bloqueados.
Sin embargo, esto significa que cualquier usuario detrás del gateway no podrá crear y mantener una conexión VPN. Esta restricción será el resultado de bloquear los puertos VPN en el firewall.
Los usuarios de VPN en una red SOHO (Oficina pequeña/Oficina en casa) no deberían bloquear estos puertos.
Un VPN passthrough es necesario si necesitas usar un protocolo VPN más antiguo que no es compatible con el router que usas para conectarte a tu red o al internet.
Si utilizas tecnología obsoleta, esta es una función que es posible que necesites activar, pero lo más probable es que hoy en día solo sea de interés histórico.
El router más confiable y eficiente en este caso, que se ha convertido en el estándar para VPN passthrough, es el Netgear WGR614 Wireless Router. Soporta no menos de tres conexiones VPN simultáneas.
Luego, tenemos el Netgear FWAG114 ProSafe. Aunque es un poco más caro que el anterior, este también soporta VPNs de extremo a extremo, mejor conocidas como VPNs de sitio a sitio.
Al final, puedes ver que el procedimiento de VPN passthrough tiene muchas ventajas y casi ningún inconveniente. Te permite usar VPNs con prácticamente todos los routers superando sus configuraciones de sistema predeterminadas.
Ahora sabes qué hacer cuando tu router no puede conectarse a una VPN. Ejecuta el IPSec o el passthrough VPN PPTP, dependiendo del propio router, y disfruta del fresco ambiente de privacidad.
Además, toco el tema de cuándo desactivar la función de VPN passthrough y proporciono ejemplos de routers que soportan esta funcionalidad.
Esta guía es perfecta para cualquiera interesado en entender cómo funciona el VPN passthrough y cómo puede ser beneficioso para los protocolos VPN más antiguos.
Algunas personas encontraron útiles las respuestas a estas preguntas
¿Debería permitir VPN passthrough?
Si tu conexión VPN se basa en protocolos VPN antiguos como PPTP y L2TP, deberías hacerlo. Estos protocolos no se llevan bien con NAT. Los routers usan NAT para saber cómo mapear y enrutar paquetes en dispositivos de red. Sin embargo, si estás usando una conexión VPN moderna, no hay necesidad de activar el VPN passthrough. Los protocolos modernos funcionan con NAT.
¿Cómo activo mi VPN passthrough?
Para comprobar si tu VPN passthrough está activado, debes acceder a la página de configuración web de tu router. En la mayoría de los routers, la configuración de VPN passthrough estará bajo la pestaña de seguridad o VPN. Asegúrate de que las siguientes opciones estén activadas; IPSec Passthrough, PPTP Passthrough y L2TP Passthrough. Si están permitidos, deberías poder establecer una conexión VPN.
¿Es seguro el VPN passthrough?
Los protocolos ofrecidos para VPN passthrough no son seguros. Ofrecerán las velocidades más rápidas a expensas de tu seguridad. Si la seguridad en línea es tu preocupación, deberías desactivar el VPN passthrough y usar conexiones VPN con protocolos de seguridad modernos como el protocolo OpenVPN.
¿Todos los routers tienen VPN passthrough?
La mayoría de los routers populares vienen con un VPN passthrough incorporado. Esto acomoda a los usuarios antiguos que todavía utilizan conexiones VPN que dependen de los protocolos IPSec, PPTP y L2TP. Si no usas estos protocolos, habilitar esta característica es innecesario.
¿Debería desactivar NAT?
No. NAT es útil ya que permite a los routers redirigir el tráfico de internet a tus dispositivos. Normalmente, tu router se conecta a internet con una dirección IP externa registrada. Los dispositivos conectados a tu router usan direcciones IP privadas. Si desactivas NAT, perderás la conexión a internet.
1 Comment
Ferdin
mayo 22, 2024 10:17 pm
hola, muchas gracias por tu post. Queda claro el tema ya que puede crear confusión y llegar uno a tomar malas decisiones al adquirir un router nuevo.