Vous êtes sur la page 1sur 36

Como montar un servidor web en Windows XP

Tutorial para instalar en Windows XP un servidor Web

En esta guia veremos como montar nuestro propio servidor de paginas web en
Windows XP PRO de manera sencilla y rapida.
Primero debemos de saber que Windows XP PRO solo nos permite montar un solo
servidor de paginas web y tambien un solo servidor FTP. Otra limitacion es que nos
permite hasta un maximo de 10 conexiones TCP simultaneas.
Si el servidor de paginas web lo montamos para una red local solo deberemos
conocer la direccion IP del ordenador en el cual instalaremos el servidor, si lo
hacemos para dar servicio de paginas web a internet tendremos que tener una
conexion a internet con una IP fija, esto normalmente sucede cuando nuestra
conexion es del tipo de banda ancha ( por ejemplo es el caso de ADSL ).
Primero tendremos que instalar el servidor en nuestro Windows XP PRO para ello
hacemos lo siguiente: vamos a INICIO -> CONFIGURACION -> PANEL DE
CONTROL -> AGREGAR O QUITAR PROGRAMAS y pinchamos en "Agregar o
quitar componentes de Windows"

Tendremos que seleccionar la instalacion de "Servicios de Internet Information


Server o IIS", pichamos luego en detalles y veremos lo siguiente:

Veremos un poco en detalle que son todas estas opciones:


* Archivos comunes : archivos necesarios para los componentes de Internet
Information Server.
* Complemento de servicios de Internet Information Server : sirve para
administrar el internet informatio server.
* Documentacion : documentacion necesaria para profundizar en el
funcionamiento del IIS.
* Extensiones de servidor de FrontPage2000 : estas extensiones permiten que
nuestro servidor pueda incluir formularios, contadores, etc.
* Servicio de protocolo de transferencia de archivos (FTP) : solo necesario si
queremos un servidor FTP.
* Servicio SMTP : Simple Mail Transfer Protocol ( SMTP ), nos permite montar
un servicio de mail dentro de nuestra intranet.
* Servicio World Wide Web : necesario para poder montar nuestro servidor de
paginas web.
Las opciones mas comunes para montar un servidor web son las que hemos
seleccionado en la imagen anterior.
Pinchamos en aceptar y comenzara la instalacion...
Una vez que hayamos terminado la instalacion podemos ver la consola de
administracion de nuestro sitio WEB o FTP. Para abrir la consola vamos a INICIO
-> CONFIGURACION -> PANEL DE CONTROL -> HERRAMIENTAS
ADMINISTRATIVAS y pinchamos en "Servicios de Internet Information Server",

veremos la siguiente pantalla:

Vemos que la ventana tiene dos paneles ( izquierdo y derecho ), en la izquierdo


seleccionamos una opcion del arbol y en la derecha veremos los detalles de la
seleccion.
En la imagen podemos ver en la parte de la derecha el nombre del equipo en el que
hemos instalado el servidor WEB, en nuestro caso se llama "SAURON", luego
vemos si es un equipo local y la version del Internet Information Server que
estamos usando.
Por defecto el nombre de nuestro sitio WEB es "Sitio Web Predeterminado"
podremos cambiar el nombre en cualquier momento, simplemente pichamos dos
veces en "Sitio Web predeterminado" y podremos modificarlo.
Ahora veremos algunas de las opciones mas genereales para poder montar una
servidor de pagina WEB. Hacemos click con el boton derecho sobre "Sitio Web
Predeterminado" y seleccionamos "Propiedades".

Veremos la siguiente ventana:

Aqui explicaremos algunas de las opciones:


Descripcion: podremos poner una breve descripcion de nuestro sitio web.
Direccion IP: aqui colocaremos la direccion IP del ordenador que hara de servidor
WEB, si estamos en una intranet ( red local ) la IP asignada al ordenador dentro de
la red, si tenemos una conexion a internet con una direccion IP Publica ( ADSL,
etc ) aqui la colocaremos.
Puerto TCP: el puerto: que queremos que sea el que responda a las peticiones de

los visitantes, por norma el puerto a usar para paginas web es el 80.
El resto de opcion las dejaremos como estan.
Ahora veremos la pestaa de "Directorio particular":

Un directorio particular de estae equipo: aqui especificamos el directorio que


contendra nuestra pagina web en el ordenador.
Un recurso compartido de otro equipo: podremos seleccionar un recurso
compartido que se encuentre dentro de nuestra red y que sera el que contendra
nuestra pagina web.
Un redireccion a un direccion URL: con este metodo podremos redireccionar a
otro sitio las peticiones que se haga a nuestra web.
Ruta de acceso local ( disponible solo con la opcion de "Un directorio particular de
estae equipo" ), selecionamos el directorio que utilizaremos.
Directorio de Red ( disponible solo con la opcion de "Un recurso compartido de
otro equipo" ), el directorio compartido del equipo remoto.
Luego podremos dar permisos de Lectura, escritura, examinar directorios, etc por
parte del visitante.
Otra opcion interesante a seleccionar es la de "Registrar visitas".

Veremos la pestaa de "Documentos"

En Habilitar documento predeterminado especificamos en su ventana cual sera el


documento que el servidor abrira al ingresar un usuario en nuestra web. Este
documento es el de inicio de nuestra web, el que primero se abre y que no depende
del usuario
Con esto hemos terminado lo configuracion basica para montar nuestro primer
servidor de paginas web.
Algunos consejos utlies:
Tener un Antivirus con las ultimas actualizaciones en el ordenador que dara
servicios de paginas web.
Es altamente recomendable que utilicemos un cortafuegos para evitar visitas no
deseadas ya que al tener el servidor constantemente encendido y conectado a
internet/intranet puede ser objeto de ataques.
Conviene dar permisos de Lectura pero no asi de Escritura o Examinar directorio
para evitar que nos dejen programas o aplicaciones no deseadas, que pueden en
algunos casos ejecutarse para recolectar infomacion privada.
Ver el archivo de registros de visitas para ver que secciones de nuestra web son las
mas visitadas y cuales no lo son y asi mejorarlas. Para ver este archivo es tan facil
como abrir con un editor de texto lo que veamos en la siguiente direccion de
nuestro ordenador \WINDOWS\System32\LogFiles. Para que esto funcione
tenemos que activarlo en la pestaa de "Sitio Web" ( en propiedades de nuestro sitio

web )

Y dejamos el formato en "Formato de archivo de registro extendido W3C".


Podemos configurar este registro segun nuestas exigencias, pichamos en
"porpiedades".

En periodo de registro daremos la frecuencia con la cual se creara un nuevo registro


de visitas a nuestra pagina. Tambien podemos cambiar la ubicacion donde se
guardaran los registros.

En la pestaa de "Propiedades extendidas":

podremos seleccionar que tipo de informacion guardara el archivo de registro de


cada visitante.
Con estas recomendaciones hemos terminado de montar de forma general nuestro
servidor de paginas web.

Configuracin del servidor SMTP de Windows XP Profesional


Muchos de nosotros ltimamente estamos teniendo problemas con el servicio de correo
saliente de nuestro proveedor de servicios de Internet, por lo que no podemos enviar correo.
Con este articulo configuraremos el servicio virtual SMTP que nos ofrece Windows XP en su
versin Profesional (La versin HOME no incluye este servicio).

Antes de empezar a configurar el servicio que nos ofrece Windows, nos daremos de alta en
algn servidor que nos ofrezca un dominio DNS. Esto ser muy til sobretodo para aquellos
que no tienen una IP fija. En este caso nos daremos de alta en servicio que nos ofrece
"DNS2Go" http://dns2go.deerfield.com// pero tenis una lista de otros proveedores en la pgina
de la Asociacin de Internautas http://www.internautas.org/curso_servidores/
Dndonos de alta en el servicio de dominio
Nos vamos a la pgina de "DNS2Go". Es sencillo darnos de alta, pero para torpes o gente que
se entiende poco con el ingls doy los pasos que se dan para darse de alta. Damos a "Signup":
1) What type of domain would you like to signup DNS2Go service with? Seleccionaremos:
DNS2Go Domain Name (e.g. you.dns2go.com)
2) Aqu seleccionaremos el tipo de dominio que queremos de los que nos ofrece y el nombre de
subdominio que queramos dar. Quedando mas o menos de esta forma:
subdominio.dominio.com
En esta ocasin yo lo registrare con el subdominio "ctsg" y con uno de los dominio que nos
ofrece el servicio "d2g.com" y damos al botn "next".
3) Llegados ha este punto nos sale un formulario en el que nos solicita datos personales. Los
que estn precedidos con un "*" son de obligado cumplimiento. (Cada cual es libre de poner lo
que quiera pero la direccion de correo debe de ser buena ya que nos envia una clave y los
datos correspondiente sobre el registro). Una vez cumplimentado aceptamos el contrato si
estamos de acuerdo con los trminos y damos al botn "Register Now!" 4) El siguiente paso es:
"Indicate desired DNS2Go Domain Type:" Dejaremos por defecto el que nos aparece marcado:
"Free Non-Commercial" y seguimos dndole al botn "next".
5) Nos dan la bienvenida y nos ofrece servicios complementarios de pago: "Welcome to
DNS2Go Value Added Services." Como no nos interesa dejamos la opcin que nos sale por
defecto y le damos a "next"
6) En esta parte nos dan las gracias y nos indica que nuestro dominio estar activado en 10
minutos aproximadamente. Tambin nos da un enlace para que nos descarguemos el
programa que comunicara al servidor en todo momento cual es nuestra IP. "If you haven't
downloadedthe DNS2Go Client yet, we encourage you to do so now." Para ahorraros unos
pasos, aqu teneis el enlace del programa directamente:
ftp://ftp1.deerfield.com/pub/current/d2gsetup.exe
7) Ahora solo nos queda instalarlo. Es sencillo, ejecutamos el programa descargado y le damos
a "next" hasta que finalice. Se nos abre el programa y le damos a "OK" nos pide el nombre de
dominio que hemos registrado y el key de registro. Esto ltimo nos lleva por correo electrnico
de ah la importancia de que la direccin de correo que pongamos sea buena. Aplicamos y
aceptamos.
Ahora ya tenemos un nombre de dominio y nos vale para cualquier servicio que queramos
tener en nuestro ordenador: ftp, http, smtp, etc
Instalacin y configuracin del servidor SMTP
Muchas personas desconocemos que desde la familia Windows 2000 desde la profesional
hasta los servidores, tiene un servicio llamado IIS (Servicios de Internet Information Server).
Nos ofrece tener un servidor FTP, HTTP y SMTP.
Windows no instala por defecto el "IIS" por lo que nos tocara instalarlo. Nos vamos a "Inicio",
"Panel de Control", "Agregar o quitar programas", "Agregar o quitar componentes de Windows"
y marcamos la casilla "Servicios de Internet Information Server (IIS)" (Nos pedir el CD de
"Windows XP") Una vez finalizada la instalacin, iremos cerrando ventanas hasta llegar
nuevamente al "Panel de Control". Aqu nos vamos a "Herramientas administrativas" y luego a
"Servicios de Internet Information Server".

Se nos abre una vitrina. Si desplegamos dando al "+" que tenemos antecediendo al nombre de
nuestro equipo vemos que tenemos dos servicios instalados. El de "Sitio Web" y el "Servidor
virtual SMTP". Como el primero no nos interesa y dado que Windows por defecto cuando
instalamos el IIS pone todos los servicios en marcha desplegaremos "Sitio Web" y
seleccionaremos "Sitio Web predeterminado" damos al botn derecho del ratn y damos a
"Detener" (Esto solo es para aquellos que no quieran utilizarlo).
Empezamos a configurar el Servidor virtual SMTP, para ello lo seleccionamos, botn derecho,
"Propiedades". Nos encontraremos en la pestaa general. Si tenemos una IP fija en Direccin
IP seleccionaremos. Ojo si tenemos IP Dinmica dejaremos la "Direccin IP" en "Todos sin
asignar". Si queremos cambiar el puerto del SMTP que por defecto es el 25 le damos al botn
"Avanzada" y lo modificaremos.
Continuamos con la siguiente pestaa "Acceso". Damos al botn "Conexin". Por defecto
aparece marcado "Todos excepto los de la lista siguiente". Si solo quieres el servidor para tu
maquina y tu red interna, selecciona "Slo los de la lista siguiente". En "Agregar" Escribimos
nuestra IP fija y le damos a "Aceptar". Si lo que queremos aadir es un equipo que tenemos en
red, el paso es el mismo, pero seleccionaremos "Grupo de equipos" y le daremos los datos que
nos solicita. Al volver cuadro de "Conexin" vemos que Direccin IP tienen permiso para
acceder al servicio. Si tu IP es dinmica, djalo tal cual esta por defecto (no hay que aadir
ninguna IP). Seguimos en la pestaa "Acceso" pero en esta ocasin nos iremos al botn
"Retransmisin". Aqu agregaremos las mismas IPs que en el apartado "Conexin" y
dejaremos por defecto "Solo los de la lista siguiente". Si tu IP es dinmica, selecciona "Todos
excepto los de la lista siguiente" (no hay que aadir ninguna IP). Esto nos evitara el que
desaprensivos nos coja el servidor SMTP y se aprovechen de hacer SPAM. Continuamos en la
pestaa "Mensajes" aqu podemos modificar el tamao mximo en Kb de los mensajes, yo los
dejo por defecto. Quien necesite aumentarlos solo hay que cambiar los nmeros a mayor. Ms
abajo deberemos de indicar un correo Valido si queremos saber de los correos que no son
entregados. Pestaa "Entrega", aqu esta los reintentos de envos de correo, notificaciones de
retraso, etc esto es sencillo y no veo que necesite explicacin. Tambin los dejo por defecto.
Ms abajo vemos tres botones. "Seguridad saliente" en este punto no he profundizado ni
realizado pruebas. Pero es para poner nombre de usuario y contrasea al servidor de correo
saliente. Seguimos con el botn "Avanzada". Aqu pondremos en "Dominio de
enmascaramiento" y "Host inteligente" el dominio que hemos dado de alta en "DNS2Go" y
marcaremos las dos casillas de verificacin que tenemos mas abajo: "Intentar la entrega directa
antes de enviar al host inteligente" y "Realizar consulta de DNS inversa en los mensajes
entrantes". Damos ha "Aceptar" y "Aplicar" todo. Cerramos todas las ventanas ya tenemos
configurado nuestro servidor SMTP. Solo nos queda configurar en nuestro gestor de correo, el
servidor de correo saliente de nuestras cuentas de correo. Pondremos lo siguiente:
Ejemplo: ctsg.d2g.com = BIEN
subdominio.dominio.com = BIEN
smtp.ctsg.d2g.com = MAL
smtp.subdominio.dominio.com = MAL

LINUX CONFIG SQUID

Qu es Servidor Intermediario (Proxy)?


El trmino en ingles Proxy tiene un significado muy general y al mismo tiempo
ambiguo, aunque invariablemente se considera un sinnimo del concepto de

Intermediario. Se suele traducir, en el sentido estricto, como delegado o apoderado


(el que tiene el que poder sobre otro).
Un Servidor Intermediario (Proxy) se define como una computadora o dispositivo que
ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones de
red indirectas hacia otros servicios de red. Durante el proceso ocurre lo siguiente:
Cliente se conecta hacia un Servidor Intermediario (Proxy).
Cliente solicita una conexin, fichero u otro recurso disponible en un
servidor distinto.
Servidor Intermediario (Proxy) proporciona el recurso ya sea
conectndose hacia el servidor especificado o sirviendo ste desde un
cach.
En algunos casos el Servidor Intermediario (Proxy) puede alterar la
solicitud del cliente o bien la respuesta del servidor para diversos
propsitos.
Los Servidores Intermediarios (Proxies) generalmente se hacen trabajar
simultneamente como muro cortafuegos operando en el Nivel de Red, actuando como
filtro de paquetes, como en el caso de iptables, o bien operando en el Nivel de
Aplicacin, controlando diversos servicios, como es el caso de TCP Wrapper.
Dependiendo del contexto, el muro cortafuegos tambin se conoce como BPD o Border
Protection Device o simplemente filtro de paquetes.
Una aplicacin comn de los Servidores Intermediarios (Proxies) es funcionar como
cach de contenido de Red (principalmente HTTP), proporcionando en la proximidad de
los clientes un cach de pginas y ficheros disponibles a travs de la Red en servidores
HTTP remotos, permitiendo a los clientes de la red local acceder hacia stos de forma
ms rpida y confiable.
Cuando se recibe una peticin para un recurso de Red especificado en un URL
(Uniform Resource Locator) el Servidor Intermediario busca el resultado del URL
dentro del cach. Si ste es encontrado, el Servidor Intermediario responde al cliente
proporcionado inmediatamente el contenido solicitado. Si el contenido solicitado no
estuviera disponible en el cach, el Servidor Intermediario lo traer desde servidor
remoto, entregndolo al cliente que lo solicit y guardando una copia en el cach. El
contenido en el cach es eliminado luego a travs de un algoritmo de expiracin de
acuerdo a la antigedad, tamao e historial de respuestas a solicitudes (hits) (ejemplos:
LRU, LFUDA y GDSF).
Los Servidores Intermediarios para contenido de Red (Web Proxies) tambin pueden
actuar como filtros del contenido servido, aplicando polticas de censura de acuerdo a
criterios arbitrarios.

Acerca de Squid.
Squid es un Servidor Intermediario (Proxy) de alto desempeo que se ha venido
desarrollando desde hace varios aos y es hoy en da un muy popular y ampliamente
utilizado entre los sistemas operativos como GNU/Linux y derivados de Unix. Es muy

confiable, robusto y verstil y se distribuye bajo los trminos de la Licencia Pblica


General GNU (GNU/GPL). Siendo sustento lgico libre, est disponible el cdigo
fuente para quien as lo requiera.
Entre otras cosas, Squid puede funcionar como Servidor Intermediario (Proxy) y
cach de contenido de Red para los protocolos HTTP, FTP, GOPHER y WAIS,
Proxy de SSL, cach transparente, WWCP, aceleracin HTTP, cach de consultas
DNS y otras muchas ms como filtracin de contenido y control de acceso por IP y por
usuario.
Squid consiste de un programa principal como servidor, un programa para bsqueda en
servidores DNS, programas opcionales para reescribir solicitudes y realizar
autenticacin y algunas herramientas para administracin y y herramientas para clientes.
Al iniciar Squid da origen a un nmero configurable (5, de modo predefinido a travs
del parmetro dns_children) de procesos de bsqueda en servidores DNS, cada uno de
los cuales realiza una bsqueda nica en servidores DNS, reduciendo la cantidad de
tiempo de espera para las bsquedas en servidores DNS.

NOTA ESPECIAL: Squid no debe ser utilizado como Servidor


Intermediario (Proxy) para protocolos como SMTP, POP3, TELNET,
SSH, IRC, etc. Si se requiere intermediar para cualquier protocolo
distinto a HTTP, HTTPS, FTP, GOPHER y WAIS se requerir
implementar obligatoriamente un enmascaramiento de IP o NAT (Network
Address Translation) o bien hacer uso de un servidor SOCKS como
Dante (http://www.inet.no/dante/).
URL: http://www.squid-cache.org/
Algoritmos de cach utilizados por Squid.
A travs de un parmetro (cache_replacement_policy) Squid incluye soporte para los
siguientes algoritmos para el cach:
LRU

Acrnimo de Least Recently Used, que traduce como Menos


Recientemente Utilizado. En este algoritmo los objetos que
no han sido accedidos en mucho tiempo son eliminados
primero, manteniendo siempre en el cach a los objetos ms
recientemente solicitados. sta poltica es la utilizada por
Squid de modo predefinido.

LFUDA Acrnimo de Least Frequently Used with Dynamic Aging,


que se traduce como Menos Frecuentemente Utilizado con
Envejecimiento Dinmico. En este algoritmo los objetos ms
solicitados permanecen en el cach sin importar su tamao
optimizando la eficiencia (hit rate) por octetos (Bytes) a
expensas de la eficiencia misma, de modo que un objeto
grande que se solicite con mayor frecuencia impedir que se
pueda hacer cach de objetos pequeos que se soliciten con

menor frecuencia.
GDSF

Acrnimo de GreedyDual Size Frequency, que se traduce


como Frecuencia de tamao GreedyDual (codicioso dual),
que es el algoritmo sobre el cual se basa GDSF. Optimiza la
eficiencia (hit rate) por objeto manteniendo en el cach los
objetos pequeos ms frecuentemente solicitados de modo que
hay mejores posibilidades de lograr respuesta a una solicitud
(hit). Tiene una eficiencia por octetos (Bytes) menor que el
algoritmo LFUDA debido a que descarta del cach objetos
grandes que sean solicitado con frecuencia.

Sustento lgico necesario.


Para poder llevar al cabo los procedimientos descritos en este manual y documentos
relacionados, usted necesitar tener instalado al menos lo siguiente:
Al menos squid-2.5.STABLE6
httpd-2.0.x (Apache), como auxiliar de cach con aceleracin.
Todos los parches de seguridad disponibles para la versin del sistema
operativo que est utilizando. No es conveniente utilizar un sistema con
posibles vulnerabilidades como Servidor Intermediario.
Debe tomarse en consideracin que, de ser posible, se debe utilizar siempre las
versiones estables ms recientes de todo sustento lgico que vaya a ser instalado para
realizar los procedimientos descritos en este manual, a fin de contar con los parches de
seguridad necesarios. Ninguna versin de Squid anterior a la 2.5.STABLE6 se
considera como apropiada debido a fallas de seguridad de gran importancia.
Squid no se instala de manera predeterminada a menos que especifique lo contrario
durante la instalacin del sistema operativo, sin embargo viene incluido en casi todas las
distribuciones actuales. El procedimiento de instalacin es exactamente el mismo que
con cualquier otro sustento lgico.

Instalacin a travs de yum.


Si cuenta con un sistema con CentOS o White Box Enterprise Linux 3 o versiones
posteriores, utilice lo siguiente y se instalar todo lo necesario junto con sus
dependencias:
yum -y install squid httpd

Instalacin a travs de up2date.


Si cuenta con un sistema con Red Hat Enterprise Linux 3 o versiones posteriores,
utilice lo siguiente y se instalar todo lo necesario junto con sus dependencias:
up2date -i squid httpd

Otros componentes necesarios.


El mandato iptables se utilizar para generar las reglas necesarias para el guin de
Enmascaramiento de IP. Se instala de modo predefinido en todas las distribuciones
actuales que utilicen ncleo (kernel) versiones 2.4 y 2.6.
Es importante tener actualizado el ncleo del sistema operativo por diversas cuestiones
de seguridad. No es recomendable utilizar versiones del kernel anteriores a la 2.4.21.
Actualice el ncleo a la versin ms reciente disponible para su distribucin.
Si cuenta con un sistema con CentOS o White Box Enterprise Linux 3 o versiones
posteriores, utilice lo siguiente para actualizar el ncleo del sistema operativo e
iptables, si acaso fuera necesario:
yum -y update kernel iptables

Si cuenta con un sistema con Red Hat Enterprise Linux 3 o versiones posteriores,
utilice lo siguiente para actualizar el ncleo del sistema operativo, e iptables si acaso
fuera necesario:
up2date -u kernel iptables

Antes de continuar.
Tenga en cuenta que este manual ha sido comprobado varias veces y ha funcionado en
todos los casos y si algo no funciona solo significa que usted no lo ley a detalle y no
sigui correctamente las indicaciones.
Evite dejar espacios vacos en lugares indebidos. El siguiente es un ejemplo de como
no se debe habilitar un parmetro.
Mal
# Opcin incorrectamente habilitada
http_port 3128

El siguiente es un ejemplo de como si se debe habilitar un parmetro.


Bien
# Opcin correctamente habilitada
http_port 3128

Configuracin bsica.
Squid utiliza el fichero de configuracin localizado en /etc/squid/squid.conf, y podr
trabajar sobre este utilizando su editor de texto simple preferido. Existen un gran
nmero de parmetros, de los cuales recomendamos configurar los siguientes:
http_port
cache_dir

Al menos una Lista de Control de Acceso


Al menos una Regla de Control de Acceso
httpd_accel_host
httpd_accel_port
httpd_accel_with_proxy

Parmetro http_port: Que puerto utilizar para Squid?


De acuerdo a las asignaciones hechas por IANA y continuadas por la ICANN desde el
21 de marzo de 2001, los Puertos Registrados (rango desde 1024 hasta 49151)
recomendados para Servidores Intermediarios (Proxies) pueden ser el 3128 y 8080 a
travs de TCP.
De modo predefinido Squid utilizar el puerto 3128 para atender peticiones, sin
embargo se puede especificar que lo haga en cualquier otro puerto disponible o bien que
lo haga en varios puertos disponibles a la vez.
En el caso de un Servidor Intermediario (Proxy) Transparente, regularmente se
utilizar el puerto 80 o el 8000 y se valdr del re-direccionamiento de peticiones de
modo tal que no habr necesidad alguna de modificar la configuracin de los clientes
HTTP para utilizar el Servidor Intermediario (Proxy). Bastar con utilizar como
puerta de enlace al servidor. Es importante recordar que los Servidores HTTP, como
Apache, tambin utilizan dicho puerto, por lo que ser necesario volver a configurar el
servidor HTTP para utilizar otro puerto disponible, o bien desinstalar o desactivar el
servidor HTTP.
Hoy en da puede no ser del todo prctico el utilizar un Servidor Intermediario
(Proxy) Transparente, a menos que se trate de un servicio de Caf Internet u oficina
pequea, siendo que uno de los principales problemas con los que lidian los
administradores es el mal uso y/o abuso del acceso a Internet por parte del personal. Es
por esto que puede resultar ms conveniente configurar un Servidor Intermediario
(Proxy) con restricciones por clave de acceso, lo cual no puede hacerse con un Servidor
Intermediario (Proxy) Transparente, debido a que se requiere un dilogo de nombre
de usuario y clave de acceso.
Regularmente algunos programas utilizados comnmente por los usuarios suelen traer
de modo predefinido el puerto 8080 (servicio de cacheo WWW) para utilizarse al
configurar que Servidor Intermediario (Proxy) utilizar. Si queremos aprovechar esto
en nuestro favor y ahorrarnos el tener que dar explicaciones innecesarias al usuario,
podemos especificar que Squid escuche peticiones en dicho puerto tambin. Siendo as
localice la seccin de definicin de http_port, y especifique:
#
#
You may specify multiple socket addresses on multiple
lines.
#
# Default: http_port 3128
http_port 3128
http_port 8080

Si desea incrementar la seguridad, puede vincularse el servicio a una IP que solo se


pueda acceder desde la red local. Considerando que el servidor utilizado posee una IP
192.168.1.254, puede hacerse lo siguiente:
#
#
You may specify multiple socket addresses on multiple
lines.
#
# Default: http_port 3128
http_port 192.168.1.254:3128
http_port 192.168.1.254:8080

Parmetro cache_mem.
El parmetro cache_mem establece la cantidad ideal de memoria para lo siguiente:
Objetos en trnsito.
Objetos frecuentemente utilizados (Hot).
Objetos negativamente almacenados en el cach.
Los datos de estos objetos se almacenan en bloques de 4 Kb. El parmetro cache_mem
especifica un lmite mximo en el tamao total de bloques acomodados, donde los
objetos en trnsito tienen mayor prioridad. Sin embargo los objetos Hot y aquellos
negativamente almacenados en el cach podrn utilizar la memoria no utilizada hasta
que esta sea requerida. De ser necesario, si un objeto en trnsito es mayor a la cantidad
de memoria especificada, Squid exceder lo que sea necesario para satisfacer la
peticin.
De modo predefinido se establecen 8 MB. Puede especificarse una cantidad mayor si as
se considera necesario, dependiendo esto de los hbitos de los usuarios o necesidades
establecidas por el administrador.
Si se posee un servidor con al menos 128 MB de RAM, establezca 16 MB como valor
para este parmetro:
cache_mem 16 MB

Parmetro cache_dir: Cuanto desea almacenar de Internet en el disco


duro?
Este parmetro se utiliza para establecer que tamao se desea que tenga el cach en el
disco duro para Squid. Para entender esto un poco mejor, responda a esta pregunta:
Cuanto desea almacenar de Internet en el disco duro? De modo predefinido Squid
utilizar un cach de 100 MB, de modo tal que encontrar la siguiente lnea:
cache_dir ufs /var/spool/squid 100 16 256

Se puede incrementar el tamao del cach hasta donde lo desee el administrador.


Mientras ms grande sea el cach, ms objetos se almacenarn en ste y por lo tanto se
utilizar menos el ancho de banda. La siguiente lnea establece un cach de 700 MB:

cache_dir ufs /var/spool/squid 700 16 256

Los nmeros 16 y 256 significan que el directorio del cach contendr 16 directorios
subordinados con 256 niveles cada uno. No modifique esto nmeros, no hay
necesidad de hacerlo.
Es muy importante considerar que si se especifica un determinado tamao de cach y
ste excede al espacio real disponible en el disco duro, Squid se bloquear
inevitablemente. Sea cauteloso con el tamao de cach especificado.

Parmetro ftp_user.
Al acceder a un servidor FTP de manera annima, de modo predefinido Squid enviar
como clave de acceso Squid@. Si se desea que el acceso annimo a los servidores FTP
sea ms informativo, o bien si se desea acceder a servidores FTP que validan la
autenticidad de la direccin de correo especificada como clave de acceso, puede
especificarse la direccin de correo electrnico que uno considere pertinente.
ftp_user proxy@su-dominio.net

Controles de acceso.
Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas
mquinas en particular. A cada lista se le asignar una Regla de Control de Acceso que
permitir o denegar el acceso a Squid. Procedamos a entender como definir unas y
otras.
Listas de control de acceso.
Regularmente una lista de control de acceso se establece con la siguiente sintaxis:
acl [nombre de la lista] src [lo que compone a la lista]

Si se desea establecer una lista de control de acceso que abarque a toda la red local,
basta definir la IP correspondiente a la red y la mscara de la sub-red. Por ejemplo, si se
tiene una red donde las mquinas tienen direcciones IP 192.168.1.n con mscara de subred 255.255.255.0, podemos utilizar lo siguiente:
acl miredlocal src 192.168.1.0/255.255.255.0

Tambin puede definirse una Lista de Control de Acceso especificando un fichero


localizado en cualquier parte del disco duro, y la cual contiene una lista de direcciones
IP. Ejemplo:
acl permitidos src "/etc/squid/permitidos"

El fichero /etc/squid/permitidos contendra algo como siguiente:


192.168.1.1

192.168.1.2
192.168.1.3
192.168.1.15
192.168.1.16
192.168.1.20
192.168.1.40

Lo anterior estara definiendo que la Lista de Control de Acceso denominada


permitidos estara compuesta por las direcciones IP incluidas en el fichero
/etc/squid/permitidos.
Reglas de Control de Acceso.
Estas definen si se permite o no el acceso hacia Squid. Se aplican a las Listas de
Control de Acceso. Deben colocarse en la seccin de reglas de control de acceso
definidas por el administrador, es decir, a partir de donde se localiza la siguiente
leyenda:
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR
CLIENTS
#

La sintaxis bsica es la siguiente:


http_access [deny o allow] [lista de control de acceso]

En el siguiente ejemplo consideramos una regla que establece acceso permitido a Squid
a la Lista de Control de Acceso denominada permitidos:
http_access allow permitidos

Tambin pueden definirse reglas valindose de la expresin !, la cual significa no.


Pueden definirse, por ejemplo, dos listas de control de acceso, una denominada lista1 y
otra denominada lista2, en la misma regla de control de acceso, en donde se asigna una
expresin a una de estas. La siguiente establece que se permite el acceso a Squid a lo
que comprenda lista1 excepto aquello que comprenda lista2:
http_access allow lista1 !lista2

Este tipo de reglas son tiles cuando se tiene un gran grupo de IP dentro de un rango de
red al que se debe permitir acceso, y otro grupo dentro de la misma red al que se debe
denegar el acceso.

Aplicando Listas y Reglas de control de acceso.


Una vez comprendido el funcionamiento de la Listas y las Regla de Control de Acceso,
procederemos a determinar cuales utilizar para nuestra configuracin.
Caso 1.

Considerando como ejemplo que se dispone de una red 192.168.1.0/255.255.255.0, si se


desea definir toda la red local, utilizaremos la siguiente lnea en la seccin de Listas de
Control de Acceso:
acl todalared src 192.168.1.0/255.255.255.0

Habiendo hecho lo anterior, la seccin de listas de control de acceso debe quedar ms o


menos del siguiente modo:
Listas de Control de Acceso: definicin de una red local completa
#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl todalared src 192.168.1.0/255.255.255.0

A continuacin procedemos a aplicar la regla de control de acceso:


http_access allow todalared

Habiendo hecho lo anterior, la zona de reglas de control de acceso debera quedar ms o


menos de este modo:
Reglas de control de acceso: Acceso a una Lista de Control de Acceso.
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR
CLIENTS
#
http_access allow localhost
http_access allow todalared
http_access deny all

La regla http_access allow todalared permite el acceso a Squid a la Lista de Control


de Acceso denominada todalared, la cual est conformada por
192.168.1.0/255.255.255.0. Esto significa que cualquier mquina desde 192.168.1.1
hasta 192.168.1.254 podr acceder a Squid.
Caso 2.
Si solo se desea permitir el acceso a Squid a ciertas direcciones IP de la red local,
deberemos crear un fichero que contenga dicha lista. Genere el fichero
/etc/squid/listas/redlocal, dentro del cual se incluirn solo aquellas direcciones IP que
desea confirmen la Lista de Control de acceso. Ejemplo:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.15
192.168.1.16

192.168.1.20
192.168.1.40

Denominaremos a esta lista de control de acceso como redlocal:


acl redlocal src "/etc/squid/listas/redlocal"

Habiendo hecho lo anterior, la seccin de listas de control de acceso debe quedar ms o


menos del siguiente modo:
Listas de Control de Acceso: definicin de una red local completa
#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redlocal src "/etc/squid/listas/redlocal"

A continuacin procedemos a aplicar la regla de control de acceso:


http_access allow redlocal

Habiendo hecho lo anterior, la zona de reglas de control de acceso debera quedar ms o


menos de este modo:
Reglas de control de acceso: Acceso a una Lista de Control de Acceso.
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR
CLIENTS
#
http_access allow localhost
http_access allow redlocal
http_access deny all

La regla http_access allow redlocal permite el acceso a Squid a la Lista de Control de


Acceso denominada redlocal, la cual est conformada por las direcciones IP
especificadas en el fichero /etc/squid/listas/redlocal. Esto significa que cualquier
mquina no incluida en /etc/squid/listas/redlocal no tendr acceso a Squid.

Parmetro chache_mgr.
De modo predefinido, si algo ocurre con el cach, como por ejemplo que muera el
procesos, se enviar un mensaje de aviso a la cuenta webmaster del servidor. Puede
especificarse una distinta si acaso se considera conveniente.
cache_mgr joseperez@midominio.net

Parmetro cache_peer: caches padres y hermanos.

El parmetro cache_peer se utiliza para especificar otros Servidores Intermediarios


(Proxies) con cach en una jerarqua como padres o como hermanos. Es decir, definir
si hay un Servidor Intermediario (Proxy) adelante o en paralelo. La sintaxis bsica es
la siguiente:
cache_peer servidor tipo http_port icp_port opciones

Ejemplo: Si su cach va a estar trabajando detrs de otro servidor cache, es decir un


cach padre, y considerando que el cach padre tiene una IP 192.168.1.1, escuchando
peticiones HTTP en el puerto 8080 y peticiones ICP en puerto 3130 (puerto utilizado
de modo predefinido por Squid) ,especificando que no se almacenen en cach los
objetos que ya estn presentes en el cach del Servidor Intermediario (Proxy) padre,
utilice la siguiente lnea:
cache_peer 192.168.1.1 parent 8080 3130 proxy-only

Cuando se trabaja en redes muy grandes donde existen varios Servidores Intermediarios
(Proxy) haciendo cach de contenido de Internet, es una buena idea hacer trabajar todos
los cach entre si. Configurar caches vecinos como sibling (hermanos) tiene como
beneficio el que se consultarn estos caches localizados en la red local antes de acceder
hacia Internet y consumir ancho de banda para acceder hacia un objeto que ya podra
estar presente en otro cach vecino.
Ejemplo: Si su cach va a estar trabajando en paralelo junto con otros caches, es decir
caches hermanos, y considerando los caches tienen IP 10.1.0.1, 10.2.0.1 y 10.3.0.1,
todos escuchando peticiones HTTP en el puerto 8080 y peticiones ICP en puerto 3130,
especificando que no se almacenen en cach los objetos que ya estn presentes en los
caches hermanos, utilice las siguientes lneas:
cache_peer 10.1.0.1 sibling 8080 3130 proxy-only
cache_peer 10.2.0.1 sibling 8080 3130 proxy-only
cache_peer 10.3.0.1 sibling 8080 3130 proxy-only

Pueden hacerse combinaciones que de manera tal que se podran tener caches padres y
hermanos trabajando en conjunto en una red local. Ejemplo:
cache_peer
cache_peer
cache_peer
cache_peer

10.0.0.1
10.1.0.1
10.2.0.1
10.3.0.1

parent 8080 3130 proxy-only


sibling 8080 3130 proxy-only
sibling 8080 3130 proxy-only
sibling 8080 3130 proxy-only

Cach con aceleracin.


Cuando un usuario hace peticin hacia un objeto en Internet, este es almacenado en el
cach de Squid. Si otro usuario hace peticin hacia el mismo objeto, y este no ha
sufrido modificacin alguna desde que lo accedi el usuario anterior, Squid mostrar el
que ya se encuentra en el cach en lugar de volver a descargarlo desde Internet.
Esta funcin permite navegar rpidamente cuando los objetos ya estn en el cach de
Squid y adems optimiza enormemente la utilizacin del ancho de banda.

La configuracin de Squid como Servidor Intermediario (Proxy) Transparente solo


requiere complementarse utilizando una regla de iptables que se encargar de redireccionar peticiones hacindolas pasar por el puerto 8080. La regla de iptables
necesaria se describe ms adelante en este documento.

Proxy Acelerado: Opciones para Servidor Intermediario (Proxy) en modo


convencional.
En la seccin HTTPD-ACCELERATOR OPTIONS deben habilitarse los siguientes
parmetros:
httpd_accel_host virtual
httpd_accel_port 0
httpd_accel_with_proxy on

Proxy Acelerado: Opciones para Servidor Intermediario (Proxy)


Transparente.
Si se trata de un Servidor Intermediario (Proxy) transparente, deben utilizarse las
siguientes opciones, considerando que se har uso del cach de un servidor HTTP
(Apache) como auxiliar:
# Debe especificarse la IP de cualquier servidor HTTP en la
# red local o bien el valor virtual
httpd_accel_host 192.168.1.254
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Proxy Acelerado: Opciones para Servidor Intermediario (Proxy)


Transparente para redes con Internet Exlorer 5.5 y versiones
anteriores.
Si va a utilizar Internet Explorer 5.5 y versiones anteriores con un Servidor
Intermediario (Proxy) transparente, es importante recuerde que dichas versiones tiene
un psimo soporte con los Servidores Intermediarios (Proxies) transparentes
imposibilitando por completo la capacidad de refrescar contenido. Si se utiliza el
parmetro ie_refresh con valor on puede hacer que se verifique en los servidores de
origen para nuevo contenido para todas las peticiones IMS-REFRESH provenientes de
Internet Explorer 5.5 y versiones anteriores.
# Debe especificarse la IP de cualquier servidor HTTP en la
# red local
httpd_accel_host 192.168.1.254
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
ie_refresh on

Lo ms conveniente es actualizar hacia Internet Explorer 6.x o definitivamente optar por


otras alternativas. Mozilla es en un conjunto de aplicaciones para Internet, o bien

Firefox, que es probablemente el mejor navegador que existe en el mercado. Firefox es


un navegador muy ligero y que cumple con los estndares, y est disponible para
Windows, Linux, Mac OS X y otros sistemas operativos.

Estableciendo el idioma de los mensajes mostrados por


de Squid hacia el usuario.
Squid incluye traduccin a distintos idiomas de las distintas pginas de error e
informativas que son desplegadas en un momento dado durante su operacin. Dichas
traducciones se pueden encontrar en /usr/share/squid/errors/. Para poder hacer uso de
las pginas de error traducidas al espaol, es necesario cambiar un enlace simblico
localizado en /etc/squid/errors para que apunte hacia /usr/share/squid/errors/Spanish
en lugar de hacerlo hacia /usr/share/squid/errors/English.
Elimine primero el enlace simblico actual:
rm -f /etc/squid/errors

Coloque un nuevo enlace simblico apuntando hacia el directorio con los ficheros
correspondientes a los errores traducidos al espaol.
ln -s /usr/share/squid/errors/Spanish /etc/squid/errors

Nota: Este enlace simblico debe verificarse, y regenerarse de ser necesario, cada
vez que se actualizado Squid ya sea a travs de yum, up2date o manualmente con
el mandato rpm.

Iniciando, reiniciando y aadiendo el servicio al


arranque del sistema.
Una vez terminada la configuracin, ejecute el siguiente mandato para iniciar por
primera vez Squid:
service squid start

Si necesita reiniciar para probar cambios hechos en la configuracin, utilice lo


siguiente:
service squid restart

Si desea que Squid inicie de manera automtica la prxima vez que inicie el sistema,
utilice lo siguiente:
chkconfig squid on

Lo anterior habilitar a Squid en todos los niveles de corrida.

Depuracin de errores
Cualquier error al inicio de Squid solo significa que hubo errores de sintaxis, errores de
dedo o bien se estn citando incorrectamente las rutas hacia los ficheros de las Listas de
Control de Acceso.
Puede realizar diagnstico de problemas indicndole a Squid que vuelva a leer
configuracin, lo cual devolver los errores que existan en el fichero
/etc/squid/squid.conf.
service squid reload

Cuando se trata de errores graves que no permiten iniciar el servicio, puede examinarse
el contenido del fichero /var/log/squid/squid.out con el mandato less, more o cualquier
otro visor de texto:
less /var/log/squid/squid.out

Ajustes para el muro corta-fuegos.


Si se tiene poca experiencia con guiones de cortafuegos a travs de iptables, sugerimos
utilizar Firestarter. ste permite configurar fcilmente tanto el enmascaramiento de IP
como el muro corta-fuegos. Si se tiene un poco ms de experiencia, recomendamos
utilizar Shorewall para el mismo fin puesto que se trata de una herramienta ms robusta
y completa.
Firestarter: http://www.fs-security.com/
Shorewall: http://www.shorewall.net/

Re-direccionamiento de peticiones a travs de iptables y Firestarter.


En un momento dado se requerir tener salida transparente hacia Internet para ciertos
servicios, pero al mismo tiempo se necesitar re-direccionar peticiones hacia servicio
HTTP para pasar a travs del el puerto donde escucha peticiones Squid (8080), de
modo que no haya salida alguna hacia alguna hacia servidores HTTP en el exterior sin
que sta pase antes por Squid. No se puede hacer Servidor Intermediario (Proxy)
Transparente para los protocolos HTTPS, FTP, GOPHER ni WAIS, por lo que dichos
protocolos tendrn que ser filtrados a travs del NAT.
El re-direccionamiento lo hacemos a travs de iptables. Considerando para este ejemplo
que la red local se accede a travs de una interfaz eth0, el siguiente esquema ejemplifica
un re-direccionamiento:
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport
80 -j REDIRECT --to-port 8080

Lo anterior, que requiere un guin de cortafuegos funcional en un sistema con dos


interfaces de red, hace que cualquier peticin hacia el puerto 80 (servicio HTTP) hecha
desde la red local hacia el exterior, se re-direccionar hacia el puerto 8080 del servidor.
Utilizando Firestarter, la regla anteriormente descrita se aade en el fichero
/etc/firestarter/user-post.

Re-direccionamiento de peticiones a travs de la opcin REDIRECT en


Shorewall.
La accin REDIRECT en Shorewall permite redirigir peticiones hacia protocolo
HTTP para hacerlas pasar a travs de Squid. En el siguiente ejemplo las peticiones
hechas desde la zona que corresponde a la red local sern redirigidas hacia el puerto
8080 del cortafuegos, en donde est configurado Squid configurado como Servidores
Intermediario (Proxy) transparente.
#ACTION
REDIRECT

SOURCE
loc

DEST
8080

PROTO
tcp

DEST
80

CONFIG DE PROXY
Trucos
Cmo configurar un servidor proxy.
Ledo 243833 veces

Hasta la llegada de Windows 98 SE, si utilizaba Windows 95, la nica manera que
haba de usar una mquina como proxy consista en instalar precisamente un software
de proxy , como el popular Wingate. Las ltimas versiones de Windows, incluida
Windows ME, ya pueden funcionar como proxy sin necesidad de software adicional.
Este truco se aplica, por tanto, a versiones de Windows 98 SE (Second Edition) o
posteriores.
1. En la mquina que actuar como proxy, deber asegurarse primero de que se han
instalado los componentes para compartir la conexin a Internet. Abra el Panel de
control.
2. Haga doble clic a continuacin sobre el icono Agregar o quitar programas.
3. Seleccione la pestaa Instalacin de Windows y luego espere mientras Windows
busca componentes instalados.
4. Haga doble clic sobre el elemento Comunicaciones.
5. Se abrir una nueva ventana en la que se listan todos los componentes de
comunicaciones que se instalaron cuando se instal Windows. Verifique, si no lo
estaba, la casilla Conexin compartida a Internet. En caso de que estuviera verificada,

deber ejecutar el asistente para Conexin compartida a Internet: si su sistema


operativo es Windows ME, entonces deber seleccionar Inicio > Programas >
Accesorios > Comunicaciones > Asistente para redes domsticas. Si se trata de
Windows 98 SE, entonces en el Panel de control haga doble clic sobre el icono
Opciones de Internet y en la pestaa Conexiones pulse el botn Compartir. Salte al
paso 7.
6. Pulse el botn Aceptar. Dar comienzo la instalacin de ese componente. Es posible
que durante el proceso se le pida el CD de instalacin de Windows, as que tngalo a
mano.
7. Se ejecutar automticamente el Asistente para Conexin compartida a Internet.
Siga las instrucciones que se indican en cada paso, que son muy sencillas. Se le
preguntar el tipo de conexin que utilizar para acceder a Internet, as que
especifique la suya, por ejemplo, mdem. Tambin se le pedir que introduzca un
disquete para crear un disco de configuracin de cliente. Este disquete puede
resultarle de utilidad posteriormente cuando tenga que configurar cada cliente para
que acceda a Internet saliendo a travs del proxy, por lo que se le recomienda que
efectivamente lo cree.
8. Cuando termine el proceso anterior, reinicie su sistema. En adelante aparecer un
nuevo adaptador de red, denominado Conexin compartida a Internet. Tambin se
habr instalado un servidor DHCP (Dynamic Host Configuration Protocol), cuya
misin consiste en asignar dinmicamente una direccin IP al resto de ordenadores de
su red. Esta caracterstica, adems de permitir que existan en el mundo ordenadores
con la misma direccin IP, pero en redes LAN distintas, con el consiguiente ahorro en
direcciones, sirve para aumentar la seguridad de su red, ya que solamente ser visible
desde el exterior la direccin IP del proxy, pero no la del resto de equipos en la red
interna.

VPN CONFIG

Ventajas de una VPN


La configuracin de una red privada virtual (VPN) garantiza que los equipos remotos se
conecten a travs de una conexin confiable (Internet), como si estuvieran en la misma
red de rea local.
Este proceso es utilizado por una variedad de compaas para permitir que los usuarios
se conecten a la red cuando no se encuentran en el sitio de trabajo. Esta prestacin
brinda una gran cantidad de usos posibles:

Acceso remoto y seguro a la red local (de la compaa) para los empleados
mviles.
Archivos compartidos con seguridad.
Juegos en la red local con equipos remotos.

...

Configuracin de una VPN en Windows XP


Windows XP permite administrar desde en forma nativa las pequeas redes privadas
virtuales. Esta prestacin es muy adecuada para las redes comerciales pequeas o para
las familiares (tambin conocidas como Oficina pequea/Oficina domstica o SOHO
(Small Office/Home Office)). Para configurar una red de este tipo, slo debe instalar un
servidor de acceso remoto (servidor VPN) en su red de rea local al que pueda acceder
desde Internet y configurar cada cliente para pueda accecer a la conexin.

Instalacin de un servidor VPN en Windows XP


Por ejemplo, supongamos que el equipo que se utilizar como servidor VPN en la red de
rea local tiene dos interfaces: una para la red de rea local (una tarjeta de red, por
ejemplo) y una para Internet (una conexin ADSL o por cable). Los clientes VPN se
conectarn a la red de rea local mediante la interfaz conectada a la Web.
Para que este equipo pueda administrar redes privadas virtuales, slo debe abrir
Conexiones de red en el Panel de control. Cuando se abra la ventana, haga doble clic en
Asistente de conexin nueva:

Luego haga clic en Siguiente:

De las tres opciones de la ventana, seleccione "Establecer una conexin avanzada":

En la prxima pantalla, seleccione "Aceptar conexiones entrantes":

La pantalla siguiente muestra los dispositivos que puede seleccionar para una conexin
directa. Es posible que no se tenga ningn dispositivo. A menos que sea necesario, no
tiene que seleccionar uno en particular:

En la ventana siguiente, seleccione "Permitir conexiones privadas virtuales":

Aparece una lista de los usuarios del sistema; aqu slo debe seleccionar o agregar los
usuarios que estn autorizados a conectarse al servidor VPN:

Luego seleccione la lista de protocolos autorizados a travs de la VPN:

Haga clic en el botn Propiedades asociado con el protocolo TCP/IP para definir las
direcciones IP que el servidor asigna al cliente durante toda la sesin. Si la red de rea
local en la que se encuentra el servidor no tiene una direccin especfica, puede permitir
que el servidor determine automticamente una IP. Sin embargo, si la red tiene un plan
de direcciones especfico, puede definir la serie de direcciones que ser asignada:

Ha completado la configuracin del servidor VPN. Ahora haga clic en el botn


Finalizar:

Instalacin de un cliente VPN en Windows XP


Para permitir que un cliente se conecte al servidor VPN, debe definir todas las opciones
de configuracin de la conexin (direccin del servidor, protocolos que sern utilizados,
etc.). El asistente de conexin nueva disponible a travs del cono Conexiones de red en
el panel de control permite llevar a cabo este procedimiento.

Luego haga clic en Siguiente:

De las tres opciones que brinda la ventana, seleccione "Conectar a la red de mi sitio de
trabajo":

En la prxima pantalla, seleccione "Conexin de red privada virtual":

Luego ingrese un nombre que describa aqul de la red privada virtual a la que desea
conectarse:

La prxima pantalla permite determinar si es necesario establecer una conexin antes de


conectarse a la red privada virtual. En la mayora de los casos (si tiene una conexin

permanente o acceso por ADSL o cable), no ser necesario este paso ya que el equipo
estar conectado a Internet. De lo contrario, seleccione de la lista la conexin que desea
establecer:

Para tener acceso al servidor de acceso remoto (servidor VPN u ordenador), debe
especificar su direccin (IP o nombre del ordenador). Si no tiene una direccin IP, debe
equiparlo con un sistema dinmico de asignacin de nombre (DynDNS) capaz de
generar un nombre de dominio y especificarlo en el siguiente campo:

Una vez definida la conexin VPN, se abrir una ventana de conexin que solicita un
nombre de inicio de sesin y una contrasea.

Antes de conectarse, debe definir algunas opciones de configuracin haciendo clic en el


botn Propiedades en la parte inferior de la ventana. Un ventana con una cierta cantidad
de fichas permite configurar la conexin en forma ms especfica. En la ficha
Administracin de redes, seleccione el protocolo PPTP de la lista desplegable,
seleccione el protocolo de Internet (TCP/IP) y haga clic en Propiedades:

La ventana emergente le permite definir la direccin IP que tendr el equipo del cliente
cuando se conecte al servidor de acceso remoto. As podr asignar direcciones en forma
coherente con las direcciones remotas. En consecuencia, el servidor VPN puede operar
como servidor de DHCP, es decir, puede proporcionar al cliente VPN una direccin
vlida en forma automtica. Para ello, seleccione la opcin "Obtener una direccin
automticamente":

En el caso de que un cliente use el DHCP, siempre que el servidor asigne una direccin
IP interna, el cliente se conectar a la red del sitio de trabajo y podr acceder a sus
servicios, pero ya no tendr acceso a Internet a travs de la interfaz utilizada ya que la
direccin IP no es enrutable. Para que el cliente pueda conectarse a la red VPN y
tambin pueda acceder a la Web a travs de esta conexin, el servidor VPN debe
configurarse de modo que comparta su conexin. El botn Opciones avanzadas le
permite al cliente utilizar la puerta de enlace del servidor VPN en caso de que ste
comparta su conexin:

Para configurar la conexin de la red VPN, los firewalls intermediarios y, en


especial, el firewall nativo de XP, deben configurarse de modo que sea posible
establecer la conexin. Por lo tanto, debe desactivar el firewall de Windows XP de
la siguiente manera:
1. En el panel de control, haga clic en Conexiones de red,
2. Haga clic con el botn derecho en la conexin que usa,
3. Seleccione la ficha Opciones avanzadas,

4. Asegrese de que la opcin Firewall de conexin a Internet est


desactivada.