Windows Server 2012: Compartir Conexión a Internet

En esta demostración vamos a ver la configuración que necesitamos hacer en un servidor Windows Server 2012, con dos placas de red, para compartir la conexión a Internet

El procedimiento es sencillo, y muy parecido a como se hace con las versiones anteriores del sistema operativo, pero tiene algunas diferencias con las que realmente no esperaba encontrarme

Algo importante a aclarar antes que comiencen: en muchas redes “chicas” o por falta de presupuesto, la máquina que comparte Internet en la red ¡es un Controlador de Dominio! Eso no se debe hacer

Un Controlador de Dominio contiene “lo más valioso” de una red, como son los nombres de usuarios y sus correspondientes contraseñas, además de la administración de nuestro Active Directory ¿¿¿la vamos a exponer a Internet??? Es un gravísimo problema de seguridad esa configuración

Para esta demostración necesitaremos tres máquinas: una que es un equipo de nuestra red interna, otro que será el servidor VPN, y un tercero que simulará un servidor web de Internet

Un dibujo aclara más que muchas palabras

DC1 será la máquina dentro de mi red interna. Estoy usando un Controlador de Dominio simplemente porque ya lo tengo armado. Podría ser cualquier máquina, con o sin Dominio; alcanza con que esté en la misma red interna que VPN1 (192.168.1.0/24) y que tenga configurado como Default Gateway (Puerta de Enlace) a la dirección interna de VPN1

VPN1 se llama así porque estoy pensando utilizar esta misma máquina para la nota siguiente, podría llamarse como deseen. Lo que necesita son dos interfaces de red, una interna y otra externa que simula una conexión a Internet
Como medida básica y precautoria de seguridad, la interfaz externa tiene conectado solamente TCP/IPv4, en las propiedades de la conexión externa de red he deshabilitado todo lo demás, e inclusive deshabilitado NetBIOS sobre TCP/IP (Opciones Avanzadas)
No tiene configurado ningún Default Gateway ni servidor DNS
Algo que es muy importante para no confundirse que yo he hecho, es ponerlo nombres a cada interfaz (Interna y Externa las llamé). Más abajo está la captura de pantalla con la configuración

ISP es simplemente un equipo que tiene instalado IIS como Web Server sin ninguna configuración particular, sólo para probar que desde adentro podamos acceder a una página web. Resumiendo: instalación de Web Server aceptando todos los valores por omisión

Los tres equipos son Windows Server 2012 por comodidad, pero en realidad el único que lo necesita es VPN1

 

Comencemos agregando el rol de la forma habitual

Seleccionamos Remote Access

Y por supuesto también los “features” necesarios

Observen algo “raro” en la pantalla anterior, aparece “Web Server (IIS)” seleccionado. En realidad es porque “estará pensando” que utilizaré Direct Access que como no lo voy a hacer luego lo sacaré (Ya veremos que no se puede :-()

Es importante que seleccionemos la opción “Routing”. Si no lo hacemos luego no podremos compartir Internet
Además observen que no se puede quitar “Direct Access and VPN (RAS)” porque se desmarca también “Routing”

Todo por omisión para IIS

Confirmamos

Instalando …

Y cuando finaliza entramos por “Open the Getting Started Wizard”

El cuadro siguiente demora bastante en aparecer, y a veces queda oculto por otra ventana :-(

Vemos que no hay opción “compartir Internet” pero como estamos seguros que ahora no haremos Direct Access, elegimos “la menos mala”

Luego de unos momentos abrirá la consola “Routing and Remote Access” y con botón derecho comenzamos con el asistente de configuración

Seleccionamos NAT

Le indicamos cuál es la conexión externa

Como esta instalación la utilizaré en un ambiente de Active Directory, le diré que no haga nada más, de otra forma se configuraría como proxy de DNS y un “mini-DHCP”

Podemos observar que ha instalado y ya configurado NAT (Network Addres Translation)

Si desean pueden ver las propiedades de las conexiones de red, pero está “todo bien”

Nos queda solamente probar el funcionamiento, así que desde la máquina en la red interna abro el explorador y pongo la dirección IP del “simulado servidor web de Internet” (131.107.0.100)
No pongo nombre porque no he implementado resolución de nombres de Internet aún

Bueno, con lo anterior podríamos decir que ya hemos logrado lo que queríamos, pero me quedé con la duda de por qué puso el IIS, quiero desinstalarlo ya que entiendo que no es necesario en este caso (¡Sorpresa!)

La forma habitual de quitar un rol

Vamos a desmarcar “Web Server (IIS)”

Y ¡sorpresa! si quito IIS también me saca “Routing” que lo necesitamos para poder compartir la conexión a Internet

Realmente creo que con esto la gente de Microsoft debería hacer un mejor esfuerzo, porque tener expuesto a Internet un IIS que no usaremos ni necesitaremos no me parece nada bueno

About these ads
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Liliana Sagrero  On 05/08/2014 at 16:37

    Una duda, ¿por que decidiste deshabilitar la NetBios de la tarjeta de red Externa?

    • Guillermo Delprato  On 05/08/2014 at 16:52

      Hola Liliana, la interfaz “más insegura” hay que protegerla lo más que se pueda, y por supuesto que en un ambiente real debemos tener un cortafuegos apropiado
      El motivo de deshabilitar NetBIOS sobre TCP/IP sobre la interfaz exterior, es porque no tiene ningún uso, ya que en Internet no se utiliza nada relacionado con NetBIOS, y cada puerto que “escuche” conexiones es un problema de seguridad
      Por eso además he deshabilitado la posibilidad de compartir archivos e impresoras, el cliente para redes Microsoft, IPv6, y todo lo que no necesite. Sólo dejo TCP/IPv4

Trackbacks

Deje una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 484 seguidores

%d personas les gusta esto: