Tutoriales

Cómo abrir puerto Escritorio Remoto

El Escritorio Remoto de Windows es una de las utilidades más conocidas por todos para poder acceder a un equipo de forma remota. Su ventaja es que se realiza mediante interfaz gráfica en lugar de hacer en modo comando como hace SSH o Telnet. Acceder a otro equipo es posible hacerlo desde nuestra propia LAN con la IP local o desde la WAN, y para ello debemos saber abrir puerto Escritorio Remoto.

Esta es una opción muy atractiva no tanto para administradores informáticos por ser menos seguro que ssd, pero sí para usuarios a nivel individual. Pero para ello se debe tener algunas nociones de red básicas y conocer el puerto y protocolo de comunicación, además de tener en cuenta detalles como el firewall de Windows o el Port Forwarding en el router. Así que vamos a explicar todo esto, ¡comencemos!

Cómo funciona el Escritorio Remoto

El Escritorio Remoto de Microsoft fue una de las primeras formas de conectarse a otro equipo mediante interfaz gráfica y de forma relativamente segura. Hasta la fecha, se venía utilizando el inseguro protocolo Telnet en donde la información viajaba en texto plano a través del terminal de comandos. Otros métodos como SSH propio de Unix/Linux mucho más seguros sustituirían a este también en sistemas Microsoft.

Pero el Escritorio Remoto ha llegado hasta nuestros días, y de hecho su uso se ha simplificado aún más para estar al alcance de cualquier usuario de los sistemas Windows con interfaz gráfica e incluso servidores. Gracias a él podremos manejar el sistema con teclado y ratón y su entorno de ventanas como su estuviéramos físicamente en el equipo. Es posible ejecutar programas, reproducir contenido, movernos por el explorador, utilizar el terminal de comandos e incluso copiar archivos desde un equipo a otro.

Te recomendamos la lectura de nuestra guía sobre los mejores programas de escritorio remoto.

El sistema de conexión se basa en la estructura cliente-servidor como se puede suponer. En ella un host cliente establece una conexión TCP o UDP hacia el servidor a través del puerto por defecto 3389. En este instante el servidor le solicitará un usuario y contraseña al cliente para la autenticación. Dichas credenciales deben formar parte de los usuarios del equipo, o bien pertenecer a un árbol de Active Directory o LDAP contra el que autenticarse.

La comunicación va en todo momento cifrada mediante TLS desde el cliente al servidor y viceversa, pudiendo configurarse la calidad de imagen y colores para ajustarlo al ancho de banda disponible en la conexión. Al ser un sistema muy susceptible de ser atacado, se recomienda el uso de redes privadas virtuales (VPN) para añadir una capa más de cifrado a la conexión. Las VPN permiten crear una red LAN virtual sobre la red de Internet para proporcionar un acceso seguro y cifrado a equipos dentro de ella.

Cuando debemos abrir puerto Escritorio Remoto en el router y en el firewall

Al tratarse de una conexión a través de red, en ocasiones se requiere abrir puerto Escritorio Remoto para poder conectarnos al host de destino, en este punto debemos distinguir entre abrir el puerto en el router y abrirlo en el firewall. Expliquemos estos de forma clara:

  • Puerto del router: solamente necesitaremos abrir el puerto del router para Escritorio Remoto si el equipo contra el que queremos conectarnos está fuera de nuestra red interna o LAN. Para esto se realiza el procedimiento de Port Forwarding que permite realizar un NAT entre la IP del servidor de Escritorio Remoto y la IP pública que tengamos.
  • Firewall: este caso es distinto, ya que consiste en añadir una regla en el firewall que trae Windows para permitir conexiones entrantes hacia el servidor de Escritorio Remoto. Esta regla se asocia siempre a un puerto, que por defecto será el 3389 para que otros equipos puedan conectarse al servidor. Esto debe realizarse tanto si accedemos desde LAN como desde LAN.

Claro que Windows por defecto ya añade la regla de excepción para el acceso a clientes cuando habilitamos el acceso por Escritorio Remoto en el equipo. Situación diferente será si cambiamos el puerto por defecto.

Abrir puerto Escritorio Remoto en firewall de Windows

En el caso de que la conexión no se esté llevando a cabo, hayamos cambiado el puerto de conexión del Escritorio Remoto en el servidor, o necesitemos añadir la regla de excepción para permitir las conexiones, vamos a ver cómo abrir el puerto en el firewall de Windows.

Este proceso se puede llevar a cabo de forma idéntica al menos en Windows Vista/7/8/10 y en Windows server a partir de 2008 en adelante. Tendremos dos formas de realizar el procedimiento, aunque a nosotros nos gusta más en modo comando por ser la forma más rápida.

Modo comando

Necesitaremos un terminal de comandos con permisos de administrador, pudiendo elegir entre la Power Shell o Símbolo del Sistema. Nosotros elegiremos la segunda opción por estar disponible en todos los sistemas Windows.

Necesitaremos escribir un total de cuatro comandos en el terminal, uno por uno y pulsando Enter para ejecutarlos.

netsh advfirewall firewall delete rule name="Escritorio Remoto - Modo usuario (TCP de entrada)"
netsh advfirewall firewall delete rule name="Escritorio Remoto - Modo usuario (UDP de entrada)"

Con esto borraremos las entradas actuales por defecto si es que has hubiera.

netsh advfirewall firewall add rule name="Escritorio Remoto - Modo usuario (TCP de entrada)" dir=in action=allow program=%SystemRoot%\System32\svchost.exe profile=any localport=3389 protocol=tcp
netsh advfirewall firewall add rule name="Escritorio Remoto - Modo usuario (UDP de entrada)" dir=in action=allow program=%SystemRoot%\System32\svchost.exe profile=any localport=3389 protocol=udp

Con estos otros dos añadiremos las entradas con el puerto en cuestión para permitir el acceso exterior, tanto en LAN como en WAN

En donde viene puesto el número de puerto, cada cual colocará el que haya configurado por su cuenta si es que lo ha modificado en el registro de Windows.

Con estas dos reglas hemos conseguido abrir el puerto de Escritorio Remoto en el Firewall.

Moro gráfico

Si preferimos el método gráfico tendremos que seguir algunos pasaos extra más. El primero a llevar a cabo es acceder al Panel de control de Windows, que podremos hacerlo desde el Inicio.

Con la vista por iconos seleccionamos Firewall de Windows y a continuación Configuración avanzada.

En las versiones actuales podremos encontrar esta opción directamente en la sección de Herramientas Administrativas en Inicio.

En ambos casos obtendremos una herramienta en donde se listan todas las reglas de entrada y salida del sistema. Nosotros debemos añadir dos en la entrada, así que vamos hacia al sección Reglas de Entrada. Seguidamente elegimos Nueva regla…

  • En el asistente que aparece vamos a elegir el tipo Puerto
  • En el siguiente paso elegiremos TCP (más tarde repetiremos seleccionando UDP)
  • Colocamos el puerto de Escritorio Remoto, que por defecto será 3389, o el que nosotros hayamos fijado en el registro.
  • En el siguiente paso mantenemos la opción de Permitir conexión
  • Después permitir la conexión en Dominio Privado y Público
  • Finalmente colocamos un nombre (a ser posible el que mostramos en el apartado de comandos)
  • Repetimos estos pasos para abrir también el puerto UDP

Abrir puerto Escritorio Remoto en router para acceso por WAN

Ya hemos visto la parte que concierne al sistema operativo del host que hará de servidor de Escritorio Remoto. Pero si queremos utilizar esta función desde una red externa, necesitaremos abrir el puerto también en nuestro router, realizando un Port Forwarding.

Esta acción va a depender del firmware y marca de cada router, pero la idea siempre es la misma, abrir el puerto 3389 TCP y UDP para permitir el acceso externo de clientes hasta el servidor. Asociaremos por tanto la IP del servidor al puerto. Necesitaremos saber la IP del router además del usuario y contraseña de acceso.

Nosotros hemos llevado a cabo el proceso en un router Asus, en muchos casos será muy similar a lo que veis aquí.

Accedemos al router, y dentro de él al apartado de WAN. En otros casos es posible que se deban dirigir a Firewall o abrir puertos.

Debemos localizar el apartado de Port Forwarding (no Port Trigger). Para añadir un puerto pulsamos sobre Add Profile

La configuración que deberíamos efectuar sería similar a la que aparece en las imágenes de arriba.

Recomendamos que la dirección del servidor sea fija, de esta forma el DHCP nunca cambiará esta dirección en el caso de que se reinicie.

Créate un DynDNS para no utilizar IP y usas VPN

Un paso muy recomendable sería el de configurar un DDNS en caso o no de que tengamos una dirección IP fija real, es decir, la que nos saca a Internet y que ha sido entregada por nuestro suministrador de conexión. De esta forma en lugar de utilizar la IP real para acceder a l Escritorio Remoto utilizaríamos un nombre de dominio.

Pero otra ventaja fundamental de un DDNS es que el nombre de dominio va a asociado a la IP externa del router, y si esta cambia tras un reinicio por ejemplo, todavía podríamos acceder remotamente si necesitar conocer otra vez la nueva IP.

El mejor lugar para asociar un dominio a nuestra IP será dyndns.com, un servicio gratuito muy sencillo de utilizar y compatible con la mayoría de routers.

Otra segunda recomendación es la de crearnos un servicio VPN para añadir una capa extra de encriptación a la conexión de Escritorio Remoto. Aunque si decidimos crearla nosotros mismos, será un proceso que se complicará algo más, pero merece la pena experimentar. Si no, existen compañías que brindan servicios VPN casi siempre de pago.

Conectarse a Escritorio Remoto fuera de la LAN

Para conectarnos a un Escritorio Remoto desde fuera de nuestra red local necesitaremos conocer la IP pública del router. Si habéis hecho caso a la recomendación anterior, ya tendríais un DDNS para que, en lugar de utilizar esta IP utilizáramos un dominio.

En el caso de que usemos un determinado puerto, acompañaríamos la dirección IP o dominio de “:” seguido del puerto a usar.

Conclusiones

De esta formas hemos podido abrir puerto Escritorio Remoto tanto en el firewall como en nuestro router para acceder de forma remota a nuestro equipo.

El tema se puede complicar un poco si nuestro proveedor nos tiene restringido el acceso remoto al router. Así que deberíamos ponernos en contacto con él y plantearle la problemática para que de esta forma nos asesoren en el caso concreto. A veces incluso se requiere contratar una IP fija para obtener dicho acceso.

Ahora os dejamos con algunos tutoriales extras para seguir acumulando saber.

Si tenéis alguna cuestión, planteadla en los comentarios para ver si podemos ayudaros. Esperamos que os haya sido de ayuda el tutorial.

Recent Posts

  • Procesadores

Intel Granite Rapids es identificado en CPU-Z con 80 núcleos y 672 MB de caché L3

Una muestra de ingeniería de Intel Granite Rapids aparece en escena con unos 80 núcleos…

9 mins atrás
  • Tarjetas gráficas

Intel Arc Battlemage: Revelan dos GPUs BMG-10 y BMG-21 en un estado temprano

Revelan que existen dos muestras de calificación (QS) de las GPUs Intel Arc Battlemage BMG-10…

1 hora atrás
  • Procesadores

AMD Fire Range y Strix Point: Filtran APUs «Zen 5» de hasta 16 núcleos

Nuevos procesadores AMD Ryzen Zen 5 para portátiles fueron descubiertas, hablamos de una pieza “Strix…

3 horas atrás