Teoría sobre VPN

[jandrucu]

Lo primero, buenas a todos.

Quería exponer una teoría que tengo a ver si alguien puede arrojar un poco de luz sobre el tema y que de ser cierta podría ser provechosa para mucha gente.

Estoy seguro de que tiene que habérsele ocurrido a alguien antes que a mi y, aunque he buscado por el foro, no he encontrado respuestas definitivas a algunas de las dudas que tengo.

Paso a explicar la teoría.

Hechos:

- Android 1.6 (al menos) tiene integrado un cliente VPN.

- Yo sólo he conseguido conexiones exitosas a un servidor VPN (PPTP) por medio del APN airtelnet.es y por WiFi. (Si alguien lo ha conseguido utilizando airtelwap.es, agradecería comentarios al respecto).

- Al establecerse un túnel (conexión) VPN, todos los datos que fluyan por él, van cifrados entre los dos puntos del mismo (cliente-servidor).

- Una vez establecido el túnel, Android utiliza como puerta de enlace la designada en la red a la que se conecta.

Éste último punto puede corroborarse comprobando nuestra ip pública en un servicio web como www.whatsmyip.org, por ejemplo.

- Si no tenemos una VPN activa, saldremos a internet a través de la red de Vodafone y se mostrará una IP pública asignada por Vodafone (la mía suele estar en el rango 212.X.X.X)

- Si tenemos una VPN activa, saldremos a internet por la puerta de enlace que nos asigne nuestro servidor VPN (el router del sitio remoto). (En mi caso es una 85.X.X.X)

Por tanto nuestro móvil deja de realizar las peticiones de acceso a internet a los Gateway de Vodafone para hacérselas a la puerta de enlace del sitio remoto.

Acabo de releer lo que he escrito y me parece que si me apoyo con unas imágenes se me entenderá mejor.

Ésta representaría (muy simplificadamente) como se conecta nuestra magic a internet a través del APN Airtelnet.es, es decir, sin proxy.



La siguiente representaría el establecimiento de un túnel VPN entre nuestra Magic y el Servidor VPN.




Por último, la última representaría el flujo de la comunicación con un túnel VPN establecido. (El servidor de la izquierda dentro de la flecha naranja es el Gateway de Vodafone).





Y aquí es donde yo quería llegar.

Aquí vemos que toda la comunicación entre nuestro dispositivo y el Servidor VPN, si bien utiliza Internet para viajar de un punto a otro, lo hace de forma encriptada.

Cuando nuestra Magic quiera salir a internet (por ejemplo navegar a la página de inicio de Google) enviará su petición a través del túnel VPN al router remoto (de forma encriptada), éste realiza la petición a Google, recoge el resultado y se lo devuelve a la Magic a través del túnel VPN (encriptado de nuevo).

Mi teoría, por tanto, es la siguiente:

Mientras nuestro tráfico viaje a través del túnel (VPN activa), Vodafone no tiene forma de ver que tipo de tráfico estamos intercambiado con la sede remota. Perfectamente podría ser VoIP, P2P, Tethering, etc...) con lo que podríamos saltarnos todas esas restricciones debido a que no tienen forma de analizar ese tráfico.

Ya se que hay mucha gente que considera que es suficientemente seguro cambiar las cabeceras del navegador al usar tethering y no es mi intención discutirlo. Creo que de ser correcta mi teoría, lo que se ganaría es saltar cualquier tipo de restricción que tengamos por contrato en el uso de datos, y no sólo la de tethering, de una forma totalmente segura.

Yo de momento le encuentro un par de desventajas (que no problemas):

- Dependemos de la velocidad de subida que tengamos contratada en la sede remota
- Dependemos de la estabilidad de la conexión de la sede remota
- Dependemos de que Airtelnet.es no tenga limitación en el tráfico (¿Alguien que haya utilizado este APN con suficiente tráfico puede corroborar si existe o no limite de descarga con él, por favor?)

Agracedería comentarios al respecto, aunque sean pa tirarme pedradas.

Un saludo.

[pawa86]

Totalmente de acuerdo en que la informacion por VPN va encriptada, pero sigue siendo una trama IP (por debajo de la TCP para la conexion) por lo que la informacion que se ve es toda esta:

No estoy muy seguro pero puedes comprobarlo de una manera facil, capturando tramas con el network monitor por ejemplo y veras las cabeceras de IP y que es lo que se ve y que no.
Me parece que un analogo seria por ejemplo sin meterte en lios de VPN, una conexion SSL (gmail por ejemplo la usa, el https famoso). Logueate en gmail desde tu PC y al mismo tiempo con el network monitor captura tramas, la informacion de los paquetes IP va encriptada pero las cabeceras son completamente visibles.

[palacios25]

Yo apoyo con algunas aclaraciones que pides:

-Con Airtelwap no funciona porque esa conexión pasa por proxy.
-Yo suelo usar Airtelnet y transfiero 1GB/mes. Hasta ahora no me han limitado la velocidad, y si lo han hecho me la han dejado a los 384kbps especificados en la tarifa plana plus de 15€, lo cual yo no he detectado porque casi nunca me va a más de 384kbps :-P

[jandrucu]

Bueno, pues me he puesto al lio y he estado realizando algunas capturas con el Network Monitor 3.3

Os pego una captura de pantalla para que veais el resultado:



Antes de tomar esta captura, los pasos que seguí fueron los siguientes:

- Marcar la casilla de "Usar la puerta de enlace predeterminada en la red remota" en las propiedades de la conexion (emulando lo que hace android)
- Conectarme a mi servidor VPN (cliente VPN de Windows)
- Iniciar la captura
- Abrir Firefox y navegar por HTC Mania, Google, Gmail, Google Calendar, Wikipedia y Vodafone
- Parar la captura

Por lo que puedo apreciar, en la cabecera de los datagramas IP se ven los campos descritos por pawa86:

- Datagramas IP4 (version)
- PPP y GRE (Tipo de Servicio)
- Total Lenght (Longitud Total)
- Indentification (Identificación)
- Fragment Flags (Desplazamiento de Fragmento)
- TimeToLive (Tiempo de Vida)
- NextProtocol (Protocolo)
- Checksum (Suma de la cabecera)
- IP Origen (Mi Equipo)
- IP Destino (Servidor VPN)

Creo que me dejo alguno, pero se puede comprobar en la captura de pantalla.

La cuestión es que los paquetes que se capturan son los del servicio GRE y PPP (sesión de VPN) y lo que hay dentro de ellos está cifrado.

¿Sería lógico, por tanto, deducir que toda la comunicación generada por el tráfico Web anteriormente comentado es el contenido cifrado por los paquetes GRE y PPP?

Editado: Me acabo de fijar que en la captura pone PPP (Compressed), pero quiero hacer notar que en las propiedades de la conexion VPN, en la pestaña de seguridad, tengo seleccionado "Requiere cifrado (Desconectar si el servidor no acepta la conexion)"

[j2002]

Creo que se escapa del nivel que tenemos la mayoría de los usuarios del foro (que conste que lo he leído con mucho interés)

[chinitiw]

Solo un apunte , pequeño pero quizás interesante , tanto para VPN como SSL existen herramientas correspondientes para poder "capturar" o visualizar la información cifrada , con lo que, ojo que no todo es tan bonito como se pinta.

Cierto que las tramas IP van cifradas en ambos casos aunque las cabeceras no en le caso de ssl , si bien es preferible agregar un certificado digital para asegurar que no hay "oidos curiosos" por medio de las comunicaciones.

Para SSL , existe a bote pronto SSLstrip y para VPN si no recuerdo mal existen un monton de opciones entre ellas Hydra.

Saludos

[chapas]

Algo de razon hay en el fundamento y NO, desde mis obsoletos conocimientos me atrevería a asegurar que no habría modo de ver lo que va dentro de las tramas VPN...

Si dichas conexiones de datos no son capadas por Garrafone, el uso de p2p sería viable.
VoIP sufriria demasiado retraso y seria inviable...

De todos modos,consiguiendo acceso a nuestra red por VPN,yo considero mas sencillo usar un pc dentro de ella para p2p y luego descargar del pc a nuestra htc lo que queramos por ftp... q en principio no esta capado...

Saludos
Chapas @ htcmagic

[chinitiw]

 Cita: Originalmente Escrito por chapas

Algo de razon hay en el fundamento y NO, desde mis obsoletos conocimientos me atrevería a asegurar que no habría modo de ver lo que va dentro de las tramas VPN...

Si dichas conexiones de datos no son capadas por Garrafone, el uso de p2p sería viable.
VoIP sufriria demasiado retraso y seria inviable...

De todos modos,consiguiendo acceso a nuestra red por VPN,yo considero mas sencillo usar un pc dentro de ella para p2p y luego descargar del pc a nuestra htc lo que queramos por ftp... q en principio no esta capado...

Saludos
Chapas @ htcmagic

El caso es que muchos operadores lo que hacen es Capar en origen puertos y por mucho que hagas o por puerto 80 o nanai , por descontado de puertos altos nada , otra cosa es QOS (Quality of Service) que bien implementado si te pasas de trafico , te tira la sesión y a otra cosa mariposa.

y el FTP no se yo como irá el tema ,además pensad que "ellos" tienen la electronica (routers, Gateways, etc) y controlan el cotarrro desde el origen con lo cual , más complicado

[txisma]

 Cita: Originalmente Escrito por chinitiw

El caso es que muchos operadores lo que hacen es Capar en origen puertos y por mucho que hagas o por puerto 80 o nanai , por descontado de puertos altos nada , otra cosa es QOS (Quality of Service) que bien implementado si te pasas de trafico , te tira la sesión y a otra cosa mariposa.

y el FTP no se yo como irá el tema ,además pensad que "ellos" tienen la electronica (routers, Gateways, etc) y controlan el cotarrro desde el origen con lo cual , más complicado

Aupa gente !
No sé cómo controla una operadora el tráfico para determinar cómo facturar, pero la afirmación de que haces por puerto 80 o nanai no es cierta.
FTP funciona perfectamente (puerto 21), cliente VPN funciona perfectamente (puerto 1723), cliente correo funciona perfectamente (puerto 25), cliente Terminal Server funciona perfectamente (puerto 3389).
Supongo que tendrán varias técnicas para detectar este tipo de tráfico, aunque la teória de la conexión VPN de entrada es interesante, habrá que hacer algunas pruebas.
Un saludo y aaaaaaaaaaaaaaaaaaaaaaaaadios

[txus.ballesteros]

Buenas a todos,

Tengo un problema con las VPN, lo que sucede es que únicamente me puedo conectar a ellas a través del WiFi, ya que por medio del 3G me resulta imposible, revisando mis APN, he visto que estoy utilizando airtelwap.net, y no sé si es por este motivo por lo que no puedo realizar las conexiones, he leído que por aquí usáis otro APN, airtelnet.net,

Este funciona bien??
Se puede usar con la tarifa plana de 12 €??

Gracias

[pawa86]

Si se puede usar con la tarifa plana y puede que sea ese tu problema ya que airtelwap pasa por un proxy para descargar contenidos de vodafone live. Prueba el de airtelnet:
airtelnet.es
usuario: vodafone
contraseña: vodafone
Todo lo demas no lo toques.

[txus.ballesteros]

Muchas gracias pawa86.

[txus.ballesteros]

Probado y funcionando, era por el MHDP de airtelwap.

Muchas Gracias.

[pawa86]

De nada, me alegro que se solucionara.

[miranda666]

Muy buenas a todos. Tengo un router Wi-Fi SMC. Explico los pasos que he seguido:

1- He abierto el puerto 1723 en el router
2- He creado un servidor VPN mediante el asistente de Windows 7
3- He creado el perfil VPN en la HTC Desire S
4- Consigo conectarme al VPN de windows 7

El problema viene a continuación... ya que aunque si que me permite conectarme desde la HTC Desire S a Windows 7 mediante VPN, no consigo tener acceso a internet desde el movil en cuestión.

¿Alguién sabe que puede pasar?