En este manual os voy a explicar cómo crear un túnel SSH y poder navegar por la web de una forma segura como si estuviéramos en nuestro hogar.

El tutorial que os presento vale tanto para Windows como para Linux, aunque en Linux hay un comando que te ahorra muchos pasos innecesarios.

Introducción

Este túnel SSH que vamos a crear únicamente cifra las comunicaciones si configuramos un Proxy en nuestro navegador, las pruebas las hemos realizado con Firefox. Este método no cifra los servicios de MSN, Skype, o similares si no hemos configurado previamente en estos programas el uso de un servidor Proxy. Si queremos cifrar absolutamente TODO, incluyendo estos servicios, deberemos seguir el Manual de OpenVPN para crear una red privada virtual

Por supuesto, antes de ponernos con este manual, deberíamos tener instalado un SERVIDOR SSH, ya sea en Windows, en Linux o en nuestro router con firmwares alternativos como Tomato RAF.

Una vez que tengamos el servidor SSH funcionando, procedemos a configurar el cliente.

Configuración del Cliente SSH en Windows y en Linux

El programa que vamos a utilizar es Putty, es un programa Windows, pero en Linux funciona perfectamente utilizando la utilidad WINE (comprobado).

Descargamos Putty de su página web oficial

No hace falta instalarlo ya que es un programa Portable, abrimos Putty y tenemos la siguiente pantalla:

Nos vamos a SSH/Tunneling tal y como vemos en la captura. En Source Port ponemos el puerto que vamos a utilizar para el túnel (por ejemplo el 8081), destination lo dejamos en blanco y en las opciones de abajo lo ponemos en Dynamic y en AUTO. Y luego seleccionamos ADD (para añadir la configuración).

A continuación nos conectamos al servidor SSH normalmente con Putty, en el apartado Session.

Y hacemos la conexión SSH, en la imagen podéis ver el servidor SSH de mi router con Tomato RAF.

No debemos tocar nada más…únicamente dejar la conexión abierta y no cerrar el programa, repito que todo este proceso os sirve en Windows y en Linux con WINE. Ahora procedemos a configurar Firefox.

Configuración del navegador Mozilla Firefox

Vamos a OPCIONES, AVANZADO, RED y pinchamos en CONFIGURACIÓN.

En la siguiente imagen configuramos el uso del Proxy.

Configuración Manual del Proxy, Servidor SOCKS: 127.0.0.1 y el puerto 8081 (el que pusimos anteriormente), elegimos SOCKS v5 (comprobado que funciona).

Pinchamos en aceptar y salimos a la pantalla principal del navegador, abrimos cualquier web y ya estaremos navegando a través de nuestro servidor SSH.

Muestra del acceso a mi router remotamente a través del túnel SSH:

Podéis usar cualquier servicio para mirar vuestra IP pública y veréis que tenéis la misma del servidor SSH.

Configuración del Cliente SSH en Linux (por consola)

Si los usuarios de Linux se quieren ahorrar la configuración de Putty basta con que tecleeis este comando en consola y no la cerréis:

ssh -D 8081 -p 22 usuario@ip_publica

8081 = puerto a usar en el túnel
22 = puerto del servidor ssh, si usamos el puerto 22 no hace falta poner -p 22 ya que el puerto 22 es del de por defecto.
usuario = usuario del servidor para el login
ip_publica = dirección IP, dominio o host dinámico.

Preguntas y respuestas

Pregunta: Si el servidor SSH se cae o cerramos el cliente ssh sin querer, ¿quedaremos desprotegidos sin darnos cuenta?
Respuesta: No, porque Firefox dará un error de que el servidor Proxy no está respondiendo y no podrá cargar ninguna web.

Pregunta: ¿Qué es más seguro, esto o crear una VPN como la del manual?
Respuesta: La VPN porque te cifra absolutamente todo al cambiar el enrutado del equipo, al principio puede parecer más pesado, pero cuando la VPN la tienes configurada es muy cómodo hacer doble click y listo.

Publicado por Sergio De Luz el 23 Junio 2011 , actualizado el 10 Marzo 2014

  • Pingback: SSH Tunneling : Manual para crear un túnel SSH y navegar con seguridad. Publicado : Redes Zone : Portal sobre telecomunicaciones y redes()

  • Manuel

    Muy buen manual. Sólo una puntualización para dejarlo perfecto. Al configurar el Source port en el putty debes añadir que hay que pulsar el botón ADD para que lo añada a la lista. La primera vez seguí paso a paso el manual y no funcionó.

    Un saludo.

  • Tokyu

    Es increíble. Ahora ya estaba buscando hacer esto mismo desde el teléfono. En android con SSH Tunnel se hace en 30 segundos. Si, android tambien es linux.

    • Da la casualidad de que mañana publico aquí el mismo programa….

      • papo

        me gustaria que usted montara un servidor ssh como dice aki para yo poder acceder desde aqui,que estoy en cuba a la navegacion plena, gracias,

  • joel

    una pregunta ese putty no funciona como https osea como el ultra surf

  • Ivampire

    Hola que tal, esta muy bien elaborado tu manual, felicitaciones.

    Tengo una duda, en la configuración del servidor SSH en windows en la configuracion la dirección IP de escucha donde pondremos la opción ya seleccionada (0.0.0.0) y puerto 22, ¿es esta la que se escribe en Putty, en el apartado Session?

    y si elijo en el servidor SSH en windows la 192.168.3.1 y puerto 2222 entonces esta ip y puerto es la que tendria entonces que anotar en el Putty, en el apartado Session?

    Gracias y saludos!!!

  • Pingback: Renfe y Wifi gratuito en los trenes : Redes Zone : Portal sobre telecomunicaciones y redes()

  • esbrinartot

    buenas. el tutorial esta muy bien pero tengo una duda grande.

    en el apartado:
    Specify the destination you want to connect
    Host name (or IP address)

    – Tengo que poner la IP de una segunda computadora (por ejemplo de mi red doméstica) que actúe como servidor? (caso poco práctico ya que no acostumbro a tener 2 ordenadores conectados)

    – O poniendo la ip de mi propia computadora es suficiente? (ojalá que sea así pero me temo que no)

    En caso de necesitar una segunda computadora no existe la opción usar Algún servicio vía web para poder simular la segunda computadora/servidor?
    Lo digo porque en algún tutorías he visto usuarios que escriben host ñame del tipo Intranet.demo.co.uk

    • Es el primer caso…o tener un router con un servidor SSH integrado (firmware Tomato RAF o DD-WRT). Puedes contratar servicios de VPN con varias empresas…pero ya tienes que estar pagando porque el tráfico pasa a através de la VPN o del SSH Tunneling…esto es gratis 🙂

      • esbrinartot

        gracias por contestar teniendo en cuenta que el post no es reciente. Si pruebo el segundo caso y sigo los pasos del tuto puedo navegar tranquilamente pero imagino que entonces el contenido no esta cifrado.

        Así el router o pagar son la unica solucion para no tener que usar un ordenador como server?

        una vez seguidos los pasos del tutorial cual seria el flujo de la información cifrada?

        cliente por ejemplo solicta una acción. El servidor cifra el contenido, lo envia al cliente y el cliente a internet?

        no existen servicios gratuitos por internet aunque sean con limitaciones? “límite de tráifco, etc.”

        perdona tantas preguntas pero mejor entender que no hacer por hacer.

        • Es que no puedes hacerte de servidor SSH a ti mismo… no tiene sentido 🙂 Debe salir por una red segura y si tú estás en una red insegura…

          Cliente–>TRAFICO CIFRADO–> SERVIDOR SSH (lugar seguro)–> TRAFICO DESCIFRADO

          Por eso, si tú eres tu propio servidor SSH estarás desprotegido.

          SSH creo que no hay, pero servicios de VPN sí:

          http://entermedia.mx/2011/07/tunneibear-vpn-gratuito-con-1-5-gb-de-transferencia-mensual/

          Otra opción es contratar un servidor dedicado y ahí poner el servidor VPN y SSH o lo que quieras…pero son de pago…

  • Noobi

    Hola, ya configure todo e hice una prueba local pero al acceder en el navegador y abrir cualquier pagina aparece esto:

    SSH-2.0-WeOnlyDo 2.1.3

    que estoy haciendo mal??

    • Dime qué sistema operativo es y qué has configurado 🙂

  • Charly

    Hola,
    Necesito actualizar un servidor con yum pero no tengo salida a internet, habia pensado realizar un tunel con putty de mi pc que tengo salida por proxy y configurar el fichero yum.repo, como lo tendria que realizar.

    • Si no tiene salida a internet no podrás hacer túnel a través de él ni nada, no entiendo bien tu problema.

  • mario gzz

    hola men

    oye crees que pueda configurar una conexion ssh en una pc con windows y poder usarla en un celular android.
    tengo una aplicacion ssh en mi cel solo me falta configurarla para que el internet de la pc lo arrastre al cel por medio del 3g. se podrá

    • Sí se puede, FreeSSHd para el servidor SSH en Windows.

  • jose

    Buen tutorial
    disculpa tengo una pregunta supongamos que en la escuela no puedo abrir facebook por un fireware que no lo permite si hago esto puedo entra a facebbok??

  • KIKIN

    Crear un puerto puede servirme para evadir la seguridad de un grupo de trabajo que esta protegido con el fortiguard? Gracias por la respuesta..

  • Spacesoul

    Recomiendo la versión mejorada de putty, basada en su última versión, se llama kitty.

  • Pingback: KiTTy: El cliente telnet y SSH basado en el conocido PuTTy()

  • pepito

    Hola, no entiendo muy bien alguna cosa, me explico:

    -Por lo que entiendo lo mejor es usar VPN de pago asi el tunel va hacia otra direccion que no tiene nada que ver contigo, porque si pongo dos ordenadores uno con servidor ssh y otro cliente ,con un sniffer ya se podria ver contraseñas etc no? explico esto ultimo si hago tunel de cliente a servidor, el servidor al conectar a internet segun la trama que has puesto antes todo iria ya descifrado y el sniffer lo veria
    En el lado del servidor la info no va a estar cifrada
    -Y para esto no es mejor usar un proxy de esos que hay para navegar de forma privada en internet¿?

    • El SSH Tunneling es para desde una red fuera a la tuya, navegar seguro a través de ella…si la red del servidor (que es tu red), se ve comprometida…eso ya es cuestión de cada uno.

      Sin embargo, todo el tráfico va cifrado desde el cliente hasta el servidor… túnel 🙂

      • pepito

        Si…pero al servidor al que te conectas le confias tus datos y todo, la que puede estar compremetida es la red de ese servidor xd. Un ejemplo yo me logueo en una pagina con mi nombre de usuario y contraseña a través del tunel desde mi ordenador(cliente) al servidor, hasta ahi mis datos van cifrados(solo por el tunel) luego cuando el servidor los envie a internet no van a ir cifrados y un sniffer en el lado del servidor te coge los datos.
        Yo pienso que lo para lo que es util esto, es tener un servidor en el CONGO donde nadie pueda esniffar tus datos que envias a internet. Lo que se evita es tener alguien cercano a tu red que te pueda espiar.

        • Con un servidor VPN más de lo mismo. Se supone que el servidor está en tu red y tú lo proteges… en cualquier cadena, si hay un eslabón débil, ésta se rompe, por muy fuerte que sea una parte.

    • Jimmy

      Tienes toda la razon, y las preguntas que expones son muy buenas. Si me permites, dejame hacer un parentesis:

      -El tunneling es entre solo y exclusivamente entre servidor y cliente. Osea, todo lo que mando (cliente) al servidor va en via segura (via encriptada).

      -Lo que yo mando (cliente) al servidor es una cosa, pero lo que yo le pido es otra.

      El ejemplo que has puesto es muy bueno, la conexion entre server y cliente va en tunel, pero la conexion entre server y una pagina web, va de forma normal (insegura), y, si se puede ver la contraseña.

      Pero este tipo de protocolo se puede usar en otro ejemplo y es aqui donde si podemos ver el poder de una VPN. Imaginate que en tu empresa hay un servidor de copias de seguridad de archivos. la UNICA manera de conectarse a el es a traves de un cliente VPN. La conexion va encriptada a 2mb. Tu cuando vas a copiar una copia de seguridad va a ser “casi” imposible de ver. Porque lo unico que haces es “hablar” son el vervido, no con el exterior (una pagina web).

      Y te veo bastante bien puesto en informatica, y creo que ya sabes que NADA es impenetrable, todo es vulnerable de una manera u otra. Y ya sabes que la mejor seguridad del mundo es: 1. no tener ordenador o 2. no tenerlo conectado a internet.

      Estuve mirando hace tiempo sobre seguridad informatica y me acuerdo que en una pagina web hablaba sobre los examenes de la selectividad. Sabias que las preguntas estan escritas con antelacion!!!, y estan escritas en un ordenador!!! y ese ordenador esta en una habitacion que no tiene nisiquiera telefono fijo!!! ademas esa habitacion esta a, no se cuantos metros debajo del suelo (creo que eran uno 10-12 metros,!!! ademas ya sabes que hay ordenadores que no operan a mas de 5 metros debajo del suelo (en el caso de mi servidor, el no opera a mas de 15 metros bajo el suelo, y a mas de 2600. por encima),!!! en esa habitacion estan totalmente prohibidos todo tipo de aparatos electronicos, TODOS.
      Eso si que es una seguridad de cojones, y lo que hacemos aqui es simplemente, exponer una forma de que la informacion sea mas dificil de “oler” pero no imposible.

  • pepito

    Que servidor usas si es que de verdad usas este metodo para conectarte a Internet, si es de pago y que limite de conexiones tiene. Y como es que te fias de ese servidor, aunque sea de pago no por ello es seguro

    • Uso mi propio servidor, en mi casa. Lo uso cuando me voy fuera claro.

  • Jaime Andrés Orozco

    Cordial Saludo, estoy buscando una solución para poder conectar un servidor web a traves de una conexión 3G, los operadores celular con los que he intentado tienen bloqueados todos los puertos para conexiones entrantes. ¿Existe alguna manera de evitar ese bloqueo? Ya sea con conexiones VPN o túneles SSH? Gracias

    • ¿El operador 3G no te da una IP pública? Si pretender hacer SSH Tunneling o VPN…¿por qué el servidor no lo pones directamente en el ese servidor VPN o SSH?

  • Pingback: WhatsAppSniffer : ¿Funciona en todas las redes Wi-Fi?()

  • Pingback: KIT de supervivencia básico para el verano: Internet everywhere!()

  • Pingback: SSH Tunneling en Android : Instala y configura SSH Tunneling en Android()

  • torvic

    bune dia
    tengo la conexion a travez de un proxy pero al configurar el proxy en un iphone no me funciona el whatsapp, con este metodo como puedo habilitar este servicio. o habria otra forma

    • Si sigues a través del Proxy seguirás sin poder…

  • DumasLinux

    ¡Muy bueno!

    Lo mismo con WinSCP para túneles SSH:

    http://www.sysadmit.com/2014/05/linux-tuneles-ssh-con-winscp.html

  • Kako

    Que tal! Yo tengo la idea de hacer lo siguiente en mi PC, pero aun no tengo muy claro el panorama. Quiero hacer un tipo de servidor proxy en mi PC, para que cuando ande fuera de mi casa, obvio ya teniendo el servidor montado en mi PC y dejando la PC encendida, pueda tener internet en mi celular con andoid (conectandome con un proxy como psiphon o droidvpn) a traves de mi PC, ¿Si me explico? Sólo que no encuentro la manera de hacerlo.

    • En lugar de Proxy HTTPS puedes hacer este SSH Tunneling, o usa OpenVPN porque si vas a tener el ordenador encendido será lo mismo. Tendrás que poner un servidor OpenVPN en el ordenador y el cliente OpenVPN en el móvil.

  • Pingback: COMO ME SALTE LA RED DE LA VILA |()

  • Mauricio

    buenas tardes, tengo el siguiente problema a ver si alguien me puede ayudar.
    tenia una base de datos colgada en una direccion erp.”””””””””, y resulta que desde ayer no puedo acceder me dice : Firefox no puede establecer una conexión con el servidor en erp.*************.es. la empresa que me la creo desaparecio, y estoy sin poder trabajar, tengo todos los datos de acceso, pero no se que hacer, cuando intento entrar con la misma direccion pero con :8585 al final me pone:
    It works!

    This is the default web page for this server.

    The web server software is running but no content has been added, yet.

    alguien puede darme algun consejo o algo, le estaria muy agradecido , desde ayer no puedo trabajar
    muchas gracias

    • Eso significa que el servidor no está caído porque el servidor web sí funciona, tal vez se haya caído la base de datos únicamente, pero si no tienes acceso remoto poco podrás hacer…¿dónde se aloja?

  • mandrago

    Hola buenas.He seguido todos los pasos y tengo un problema. Despues de configurar firefox y intentar navegar me sale lo siguiente: El servidor proxy está rechazando las conexiones. ¿Alguien sabe como solucionarlooo?
    buen dia.

    • Hola,

      Eso es porque no has realizado correctamente la conexión SSH, o el servidor remoto no permite forwarding.

  • internetcuba

    Hola!!!
    Soy cubano y llevo 1 mes informandome y buscando maneras de lograr una navegacion free. El tema es que cada paso q doy, cada cosa q intento no da resultado(TOR,Your Freedom, e incluso configuracion de VPN con los servidores de vpnBOOK) no se si es q estoy haciendo algo mal (muy posible pues no tengo experiencia en internet, apenas 1 mes)o es el tipo de bloqueo q sufro, que sea efectivo contra los medios q uso para burlarlo.He buscado en internet, segun muchas fuentes cuba usa un riguroso bloqueo a nivel d ISP. Mi conexion a Internet es mediante proxy, creo q en toda Cuba es asi, no se si sea eso lo q impide q TOR, yourfreedom e incluso la VPN configurada funcione.Escribo esto con la esperanza de q me contacten a mi correo y me brinden ayuda, informacion y consejos para lograr lo mi objetivo. Perdone por las molestias y GRACIAS!!!!

  • Magius

    Buenas tards a todos!

    He estado buscando por internet cómo solucionar mi problema pero no termino de dar con la clave. Partiendo de la base de que tengo credenciales en todas partes, y que el sistema Solaris sólo acepta el login desde la máquina virtual Windows, el escenario que tengo es el siguiente.
    Portátil (desde origino las peticiones SSH)
    Máquina virtual Windows (máquina que quiero utilizar de pasarela). También llamada en mi hosts como “VM”
    Máquina física Solaris (máquina a la que quiero acceder).

    Tengo putty local descargado y perfectamente funcionando en mi portátil. A cualquier otro destino que no tenga esta restricción de login en la dirección IP origen puedo entrar sin problemas.
    Así pues, lo que hago es lo siguiente:
    – Putty. Pestaña “Session”. Pongo los datos del sistema Solaris.
    – Putty. Pestaña “Connection” => “Proxy”. Completo los campos “Proxy hostname”, username y Password con los valores adecuados para hacer login en la máquina Virtual (incluyendo en el username el dominio local de la máquina windows donde está creado ese usuario particular para hacer login ahí). En “Proxy type” dejo seleccionado “None”. (si pongo cualquier otra cosa, da error en la conexión y se cierra).
    – Putty. Pestaña “Connection” => “SSH” => “Tunnels” configuro “Local 8081 Máquina Virtual en el puerto 22” (L8081 VM:22). Dinámico y Auto en destino.

    Con esta configuración, consigo alcanzar la máquina Solaris pero rechaza mis credenciales (porque creo que no paso por la VM). Si configuro otra cosa en “Connection => Proxy” obtengo error en la conexión (como si la VM rechazase o no entendiese lo que quiero pedirle).

    ¿Tengo que configurar algo en la VM? ¿Es algo que estoy haciendo mal en la configuración del putty local?

    Mil gracias y si algo no queda claro, por favor, dímelo para poder explicártelo con todo lujo de detalles.

    De nuevo muchas gracias!!

    Saludos!!

  • Amtony Morales

    yo quieri tenes una cuenta ssh

  • Burnsides

    Hola a todos en mi trabajo solo tengo conexion a intranet por medio de una conexion a un servidor proxy, para acceder a sitios como este utilizo el Software Your Freedom pero la conexion es lenta como puedo conectarme por un tunel para una conexion mas rápido el sistema operativo que uso en mi maquina es windows server 2008 tengo un servidor de red virtual y tengo instalado VMware Workstation que puedo hacer agradeceria mucho una respuesta lo mas detallada posible ya que no soy esperto aun como ustedes

    • Puedes crear o un ssh tunneling como el manual o una VPN tipo OpenVPN…

  • kevin alexander llumigusin zap

    HOLA QUE TAL TENGO UNA INQUIETUD¡
    PARA EMPEZAR ESTOY INGRESANDO EN ESTO DE REDES PERO TENO UN PLANTEAMIENTO..
    ESTOY USANDO UN SERDOR SSH EN UBUNTU Y MI CLIENTE USO EN WINDOWS , AHORA HE ECHO KLA COMUNICACION BIEN ENTRE SERVIDOR Y CLIENTE CABE RECALCAR QUE ESTO ESTA ASI.

    SERVIDOR RED WAN
    CLIENTE RED LAN , Y TODO PERFECTO
    PERO QUIERO HACERLO AL CONTTRARIO
    QUE AHORA MI
    SERVIDOR ESTE EN LA RED LA
    Y MI CLIENTE EN LA RED WAN COMO LO HAGO?? E INTENTADO HASTA CON VIRTUAL SERVER PERO NO ME DEJA ..
    ME AYUDARIAN PORFAVOR ESTOY USANDO UN ROUTER TP-LINK 941ND
    SALUDOS !!

Últimos análisis

Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10