Recientemente después que escribí mis primeras impresiones de la netbook HP Mini Mi, en donde expliqué que planeaba utilizar esa netbook como un servidor experimental, algunos me enviaron preguntas parecidas a "¿y cómo puedo entrar desde el Internet público al servidor en mi casa?"

Pues hay unos pasos básicos a seguir, antes de configurar los puertos, los cuales detallo a continuación, y noten que esta guía de hoy asume cierto conocimientos técnicos básicos, y medio avanzados en temas de redes. Así mismo noten que hay maneras mas simples (aunque mas lentas) de hacer casi lo mismo como explicamos previamente en eliax. Así que habiendo dicho eso, iniciemos con los preparativos:

A. Primero instala e inicia el servicio que deseas acceder remotamente desde el Internet a tu casa u oficina. Por ejemplo, quizás quieras poder entrar a tu PC y ver el escritorio como si estuvieras sentado frente a él. Las dos opciones básicas para hacer esto son VNC (he utilizado la versión gratuita de RealVNC con mucho éxito), Remote Desktop (que viene por defecto con Windows XP Professional en adelante, en el menú de "Propiedades de mi PC" -> "Remote"). Con Linux puedes utilizar diferentes versiones de VNC, o sesiones de X11 directamente. Las últimas versiones de Mac OS X ya vienen con VNC instalado de fábrica. Sin embargo, este artículo de hoy no se trata de estos temas, por lo que asumo que los puedes instalar por tu cuenta y utilizarlos.

Noten que aunque utilizo estos ejemplos de servicios, que existen muchísimos mas que puedes utilizar, como servidores web, de FTP (para descargar y subir archivos), servidores de video-juegos, proxies, etc.

B. Es importante configurar los servicios que deseas acceder para que estos inicien automáticamente cuando inicie tu PC. En el caso de RealVNC hay una opción justo para esto que se llama "Service Mode" que debes habilitar.

C. Asegúrate que los usuarios que tendrán acceso a estos servicios tengan claves asignadas. En el caso de Remote Desktop, si tu usuario de Windows no tiene clave, cualquier persona que detecte tu máquina por Internet podrá entrar a ella inmediatamente.

D. Opcionalmente es posible que quieras configurar tu máquina para que se reinicie automáticamente en caso de que se apague por cualquier razón (como un crash en Windows). Esto se configura a veces en el BIOS de tu PC.

E. Otra cosa opcional es habilitar WOL (Wake-On-LAN) en tu tarjeta de red. Esto a veces es una combinación del BIOS de tu máquina y del driver de tu tarjeta de red (desde Windows es bastante fácil hacerlo, está en las propiedades de tu tarjeta de red). Esto permite que aun si tu PC está apagada, que puedas enviarle un mensaje desde Internet para que esta encienda por sí sola, lo que es una buena manera de ahorrar electricidad, particularmente si no planeas entrar a tu PC constantemente desde Internet. Una vez mas, esto merece una guía por sí sola y no es el objetivo de esta guía de hoy, pero al final de esta guía puse enlaces a noticias anteriores en eliax que tratan estos temas.

F. Opcionalmente, si eres lo suficientemente técnico es recomendable que configures cifrado de datos para evitar que el tráfico de red sea monitoreado en Internet por alguien para después invadir tu PC y/o privacidad.

Después que tengas tu servicio funcionando y listo para que te conectes por Internet, es donde llegamos al tema de hoy, la configuración de los puertos, y para eso hay que seguir estos pasos:

1. Asumiendo que ya tienes el servicio funcionando (digamos, VNC), debes asegurarte de que si tienes un firewall/cortafuegos (o antivirus que bloquee puertos) funcionando, que este permita el tráfico de red desde el Internet hacia el servicio en tu PC. Por ejemplo, digamos que el puerto por defecto de VNC sea el 5900, entonces debes ir a la configuración de tu firewall y decirle que permita el tráfico por el puerto 5900 a tu PC.

Algunos Firewall te lo hacen fácil, poniéndote una lista de las aplicaciones populares que deseas utilizar, en cuyo caso es posible que simplemente tengas que elegir "VNC" de una lista y ya está. En otras debes especificar los puertos manualmente, así como el tipo de protocolo (TCP, UDP, o ambos).

Cuando no estés seguro del número del puerto, google es tu amigo. Por ejemplo puedes escribir cosas como "default vnc ports".

2. Ya que tienes tu Firewall abierto para el puerto que deseas acceder desde afuera, asegúrate que puedes acceder al servicio desde otra máquina en tu red local. Si no te puedes conectar, haz configurado mal el servicio o el servicio aun está bloqueado detrás del Firewall. Para saber cual de los dos es el problema, puedes desabilitar por completo el Firewall para ver si puedes acceder al servicio.

3. Ahora debes configurar tu red y tu PC para que tu PC siempre que arranque tenga siempre la misma dirección IP en tu red. Esto es importantísimo para los próximos pasos.

Hay dos maneras de especificar una dirección IP fija. La primera es simplemente especificando en tu conexión local de PC una dirección IP fija (digamos, 192.168.0.3). Sin embargo, antes de hacer eso debes configurar el router que te provee de direcciones por medio de DHCP para decirle en cual rango este debe proveer direcciones dinámicas, y en cual rango tu utilizarás direcciones fijas.

Así que por ejemplo, le puedes decir que entre los valores 192.168.0.3 a 192.168.0.100 las direcciones serán fijas, pero que entre 192.168.0.101 y 192.168.0.255 serán asignadas dinámicamente.

La otra manera es diciéndole a tu router que asocie siempre la misma dirección IP a tu dirección MAC (es decir, a la dirección única que viene con toda tarjeta de red, que consiste de varios dígitos hexadecimales). Esta es la manera que prefiero pues no tengo nunca que configurar manualmente mi conexión a Internet, y funciona con cualquier sistema operativo que soporte DHCP (que hoy día significa casi el 100% de todos).

Aquí la idea es que todas las direcciones IP son dinámicas, pero si tu router detecta una dirección MAC conocida, entonces este siempre le asignará la misma dirección IP. Esta opción por lo general la encuentras en el menú de DHCP de tu router, y a veces la llaman "DHCP Reservations List".

4. Ahora que tienes un servicio funcionando en tu PC, el puerto abierto en tu firewall (si es que tienes uno), y una dirección IP fija en tu PC en la red, prosigamos a la parte interesante.

5. Voy a asumir el escenario mas complicado, el cual sería que tengas un router que te conecte a Internet, y después otro router que te provea de WiFi en tu casa/oficina. Obviamente existen routers hoy día que integran las dos cosas, así como personas que no utilizan el WiFi. En estos últimos casos, simplemente obvien algunos de los pasos a continuación.

El "truco" aquí está en de alguna manera hacer que el tráfico de red del Internet, para el puerto en cuestión, "entre" hasta tu PC, y en realidad después que entiendas conceptualmente lo que sucede, verás que no es nada difícil.

Noten que en esta guía asumo que ya saben como acceder a la configuración de sus routers. Estos por lo general vienen con un interfaz estilo página web que te facilitan mucho las cosas.

6. Asumamos que el router que te conecta a Internet (llamémoslo "DSL") está conectado a otro router que te provee de Internet inalámbrico ("WiFi"). Una cosa que debemos asegurarnos antes de continuar es que de la misma manera que le asignamos una IP fija a la PC, que de esa misma manera el DSL le asigne una dirección IP fija a tu WiFi.

Esto se configura primero en el DSL, diciéndole que le asigne siempre una dirección IP a la MAC de tu WiFi (similar al paso 3 arriba), y si no puedes hacer eso entonces (similar al paso 3) asigna una dirección IP fija manual en la caja de WiFi.

7. Aclaremos ahora antes de continuar que tanto el DSL como el WiFi tendrán dos tipos de direcciones. Una del tipo WAN y otra del tipo LAN. La WAN es la dirección que "alguien mas te asigna a ti", y la LAN es la "que tu les asignas a otros".

Así que por ejemplo, desde el punto de vista del DSL, la dirección IP WAN es la dirección IP pública en el Internet, y las direcciones LAN son las que el DSL le asigna al WiFi y otros dispositivos en la red interna de tu casa.

Similarmente, desde el punto de vista de tu WiFi, la dirección IP WAN es la dirección que el DSL le asignó al WiFi, y las direcciones IP LAN del WiFi son las que el WiFi le asigna a las PCs que se conectan por el WiFi, como es tu PC. Habiendo dicho eso, asumamos entonces lo siguiente:

DSL:
Dirección IP WAN: xxx.xxx.xxx.xxx (depende de tu proveedor de Internet)
Dirección IP LAN: 10.0.0.3 hasta 10.0.0.255

WiFi:
Dirección IP WAN: 10.0.0.3
Dirección IP LAN: 192.168.0.3 hasta 196.168.0.255

PC:
Dirección IP: 192.168.0.3

O en otras palabras, lo que deseamos hacer ahora es que el flujo de tráfico de red por Internet hacia el puerto 5900 viaje desde la dirección xxx.xxx.xxx.xxx hasta la 10.0.0.3, y desde la 10.0.0.3 hasta la 192.168.0.3 que es tu PC.

La buena noticia es que ya tenemos todos los equipos listos para recibir tráfico de esta manera, ya que todos tienen direcciones IP fijas internamente. Ahora solo tenemos que decirle a ellos cual es esta relación.

8. Ahora lo que debemos hacer es decirle al DSL "Abre el puerto 5900, y todo lo que entre por Internet por ese puerto quiero que lo reenvíes a la dirección IP LAN de 10.0.0.3 (es decir, al router de WiFi)".

Esto se hace de varias maneras según el router, pero la buena noticia es que existe una página que tiene una base de datos de muchos de los routers populares, y que te explica como configurarlos visualmente. El enlace a esa página es esta. Noten que esa página también tiene una herramienta comercial llamada PFConfig que te configura tus routers directamente desde Windows de manera casi automatizada.

Sin embargo, el truco principalmente viene en una de dos formas:

A) Declaras un "Virtual Server", que no es nada mas que decirle al router la dirección IP (en este caso 10.0.0.3) del componente en tu red que manejará tráfico por algún puerto (como el 5900).

B) Hacer un "Port Forward" (redireccionamiento de puerto), en donde entras un rango de puertos (en este caso, desde el 5900 hasta el mismo 5900) el tipo de tráfico (en este caso "TCP", pero si no sabes simplemente selecciona "Ambos", es decir, TCP y UDP), y la máquina a donde redireccionar el tráfico (en este caso, 10.0.0.3).

Yo prefiero el modo "B", pues a veces el modo "A" no me funciona en algunos routers por razones "misteriosas".

9. Ahora sigue los mismos pasos que seguimos en el punto anterior, pero esta vez en el WiFi, para decirle que redireccione todo le tráfico del puerto 5900 a la PC en la dirección 192.168.0.3.

Nota ahora que la razón por la queríamos ponerle direcciones IP fijas a tu WiFi y tu PC, es precisamente por estas reglas, porque si después reinicias tu PC y esta obtiene otra dirección IP, entonces el tráfico de red nunca le llegará a la nueva dirección.

10. En este punto en teoría ya tienes todo listo: Haz configurado la PC y el servicio, y haz hecho una prueba local para ver que funcione. Haz configurado las direcciones IP fijas, haz configurado la reglas de redireccionamiento. Por lo que falta ahora es simplemente probar.

Para probar la opción mas fácil es decirle a un amigo que entre desde afuera, pero si tienes opción otra cosa que puedes hacer es conectarte remotamente a una máquina en Internet, y desde esa máquina volver a conectarte a la tuya, aunque ojo, esto puede hacer que tu conexión sea bastante lenta.

Ahora, algunos consejos:

Consejo 1: Nota que necesitarás saber la dirección IP pública de tu DSL para saber a donde conectarte desde Internet a tu casa. Una página que te lo dice fácilmente es esta (aunque tu router DSL también te lo dice desde su página de configuración), sin embargo si tu conexión a Internet no tiene una IP fija (que es casi seguro que ese sea el caso), lo que puedes hacer es utilizar uno de esos servicios gratuitos como los de DynDNS, quienes te ofrecen un servicio de DNS Dinámico en donde puedes conectarte a la PC de tu casa utilizando un nombre, en vez de una dirección IP.

Así que por ejemplo en vez de conectarte a xxx.xxx.xxx.xxx (que puede ser diferente cada vez que se reinicie tu router DSL) te conectas a algo como MiLindaPC.dyndns.org que siempre será fijo (en este ejemplo, tú mismo haz creado el nombre "MiLindaPC"). De la manera que esto funciona es que dyndns funciona como un "resolvedor de nombres dinámicos". Es decir, si alguien le pregunta "¿cual es la dirección IP de MiLindaPC.dyndns.org? DynDNS le responde "en estos momentos la dirección IP dinámica es la siguiente: xxx.xxx.xxx.xxx".

Esto se logra de dos posibles maneras:

A. Descargando un programa creado por DynDNS que instalas en tu PC, y que reporta cada cierto tiempo tu dirección actual a DynDNS, de modo que DynDNS sepa siempre cual es la dirección que tienes en determinado momento.

B. Configurando tu router para que le diga a DynDNS cual es su dirección actual en cada momento. Esta es la mejor opción ya que no tienes que instalar nada en tu PC. Para saber si tu router soporta esto, busca alguna opción que diga "Dynamic DNS" o "DDNS".

Consejo 2: Debes entender que dependiendo del tipo de servicio es posible que los datos viajen por Internet de manera "abierta" sin ser cifrados, lo que es bastante peligroso. Ese tema va mas allá que esta guía de hoy, pero consulta siempre la documentación de los servicios que vayas a utilizar para saber cómo manejan la seguridad.

Como mínimo asegúrate de que cifren al menos las claves. Así mismo evita utilizar servicios como FTP para transferir archivos, y mejor utiliza SFTP (Secure FTP) que son mas seguros.

Consejo 3: Recuerden que hay otras maneras de lograr entrar remotamente de una PC a otra y compartir recursos con programas como Hamachi del cual les hemos hablado anteriormente en eliax.

Consejo 4: Existen programas de VNC y Remote Desktop para muchas plataformas móviles. Por ejemplo, si tienes un iPhone puedes entrar a tu PC con cualquiera de estos dos protocolos y manejar tu PC como si estuvieras sentado frente a ella, lo que es bastante útil para situaciones de emergencia en donde tengas que hacer algo para un cliente y estés lejos de una PC.

Consejo 5: Si tienes un router relativamente moderno, es posible que este utlice UPnP. Esa es una tecnología que automáticamente "conecta" dispositivos, en cuyo caso no es necesario hacer todo el rejuego de las direcciones IP fijas, sino que puedes manejar todo por nombres (como el nombre de tus routers, de tu PC, etc). Si tus routers soportan esto, utilízalos. Sin embargo, de la manera que escribí esta guía podrás lograr entrar desde Interner con prácticamente cualquier router, inclusive los mas viejos del mercado.

Consejo 6: A veces notarás que puedes probar desde otra PC en tu red local a acceder el servicio perfectamente, y sabes bien que haz configurado perfectamente los routers, pero por alguna razón el tráfico no entra desde el Internet a tu PC. En estos casos es posible que sea el proveedor de Internet quien esté bloqueando tus puertos externos, en cuyo caso debes llamarlos y decirles que los abran. Esto me ha pasado con algunos routers, en particular con el puerto 80 y 443 (es decir, los puertos "web" para HTTP y HTTPS).

Y como siempre, pueden acceder a mas artículos similares en la sección de "Pregunta a eliax", y enviar sus preguntas por este medio.

autor: josé elías