Windows Server 2012: Compartir Conexión a Internet

En esta demostración vamos a ver la configuración que necesitamos hacer en un servidor Windows Server 2012, con dos placas de red, para compartir la conexión a Internet

El procedimiento es sencillo, y muy parecido a como se hace con las versiones anteriores del sistema operativo, pero tiene algunas diferencias con las que realmente no esperaba encontrarme

Algo importante a aclarar antes que comiencen: en muchas redes “chicas” o por falta de presupuesto, la máquina que comparte Internet en la red ¡es un Controlador de Dominio! Eso no se debe hacer

Un Controlador de Dominio contiene “lo más valioso” de una red, como son los nombres de usuarios y sus correspondientes contraseñas, además de la administración de nuestro Active Directory ¿¿¿la vamos a exponer a Internet??? Es un gravísimo problema de seguridad esa configuración

Para esta demostración necesitaremos tres máquinas: una que es un equipo de nuestra red interna, otro que será el servidor VPN, y un tercero que simulará un servidor web de Internet

Un dibujo aclara más que muchas palabras

DC1 será la máquina dentro de mi red interna. Estoy usando un Controlador de Dominio simplemente porque ya lo tengo armado. Podría ser cualquier máquina, con o sin Dominio; alcanza con que esté en la misma red interna que VPN1 (192.168.1.0/24) y que tenga configurado como Default Gateway (Puerta de Enlace) a la dirección interna de VPN1

VPN1 se llama así porque estoy pensando utilizar esta misma máquina para la nota siguiente, podría llamarse como deseen. Lo que necesita son dos interfaces de red, una interna y otra externa que simula una conexión a Internet
Como medida básica y precautoria de seguridad, la interfaz externa tiene conectado solamente TCP/IPv4, en las propiedades de la conexión externa de red he deshabilitado todo lo demás, e inclusive deshabilitado NetBIOS sobre TCP/IP (Opciones Avanzadas)
No tiene configurado ningún Default Gateway ni servidor DNS
Algo que es muy importante para no confundirse que yo he hecho, es ponerlo nombres a cada interfaz (Interna y Externa las llamé). Más abajo está la captura de pantalla con la configuración

ISP es simplemente un equipo que tiene instalado IIS como Web Server sin ninguna configuración particular, sólo para probar que desde adentro podamos acceder a una página web. Resumiendo: instalación de Web Server aceptando todos los valores por omisión

Los tres equipos son Windows Server 2012 por comodidad, pero en realidad el único que lo necesita es VPN1

 

Comencemos agregando el rol de la forma habitual

Seleccionamos Remote Access

Y por supuesto también los “features” necesarios

Observen algo “raro” en la pantalla anterior, aparece “Web Server (IIS)” seleccionado. En realidad es porque “estará pensando” que utilizaré Direct Access que como no lo voy a hacer luego lo sacaré (Ya veremos que no se puede :-()

Es importante que seleccionemos la opción “Routing”. Si no lo hacemos luego no podremos compartir Internet
Además observen que no se puede quitar “Direct Access and VPN (RAS)” porque se desmarca también “Routing”

Todo por omisión para IIS

Confirmamos

Instalando …

Y cuando finaliza entramos por “Open the Getting Started Wizard”

El cuadro siguiente demora bastante en aparecer, y a veces queda oculto por otra ventana :-(

Vemos que no hay opción “compartir Internet” pero como estamos seguros que ahora no haremos Direct Access, elegimos “la menos mala”

Luego de unos momentos abrirá la consola “Routing and Remote Access” y con botón derecho comenzamos con el asistente de configuración

Seleccionamos NAT

Le indicamos cuál es la conexión externa

Como esta instalación la utilizaré en un ambiente de Active Directory, le diré que no haga nada más, de otra forma se configuraría como proxy de DNS y un “mini-DHCP”

Podemos observar que ha instalado y ya configurado NAT (Network Addres Translation)

Si desean pueden ver las propiedades de las conexiones de red, pero está “todo bien”

Nos queda solamente probar el funcionamiento, así que desde la máquina en la red interna abro el explorador y pongo la dirección IP del “simulado servidor web de Internet” (131.107.0.100)
No pongo nombre porque no he implementado resolución de nombres de Internet aún

Bueno, con lo anterior podríamos decir que ya hemos logrado lo que queríamos, pero me quedé con la duda de por qué puso el IIS, quiero desinstalarlo ya que entiendo que no es necesario en este caso (¡Sorpresa!)

La forma habitual de quitar un rol

Vamos a desmarcar “Web Server (IIS)”

Y ¡sorpresa! si quito IIS también me saca “Routing” que lo necesitamos para poder compartir la conexión a Internet

Realmente creo que con esto la gente de Microsoft debería hacer un mejor esfuerzo, porque tener expuesto a Internet un IIS que no usaremos ni necesitaremos no me parece nada bueno

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Liliana Sagrero  On 05/08/2014 at 16:37

    Una duda, ¿por que decidiste deshabilitar la NetBios de la tarjeta de red Externa?

    • Guillermo Delprato  On 05/08/2014 at 16:52

      Hola Liliana, la interfaz “más insegura” hay que protegerla lo más que se pueda, y por supuesto que en un ambiente real debemos tener un cortafuegos apropiado
      El motivo de deshabilitar NetBIOS sobre TCP/IP sobre la interfaz exterior, es porque no tiene ningún uso, ya que en Internet no se utiliza nada relacionado con NetBIOS, y cada puerto que “escuche” conexiones es un problema de seguridad
      Por eso además he deshabilitado la posibilidad de compartir archivos e impresoras, el cliente para redes Microsoft, IPv6, y todo lo que no necesite. Sólo dejo TCP/IPv4

  • Jaume  On 05/08/2015 at 05:37

    Hola,

    He seguido el tutorial y funciona todo bien pero la velocidad de acceso a internet es MUY MUY lenta. No puedo abrir ninguna página con normalidad. Tengo que abrir algun puerto en el firewall?

    Gracias

    • Guillermo Delprato  On 05/08/2015 at 06:38

      Hola Jaume, es raro lo que comentas. No es problema de firewall, ya que éste deja pasar o no, pero si deja pasar no es algo que demore tanto
      Primero revisaría si el “cuello de botella” no es el propio servidor, monitoreando sus recursos
      Si todo estuviera normal en el servidor, entonces ya investigar es más complejo porque habría que poner un “sniffer” y ver qué pasa con el tráfico de red
      Esta configuración yo la uso en algunas de las notas del blog, y realmente no he tenido problemas. Todas las notas que veas que tienen diferentes subredes en realidad pasan por una máquina virtual que hace justamente “routing” entre las redes y “nat” para salir a Internet
      Es una máquina virtual con 4 interfaces de red, con W2012R2 y sólo 2GB RAM

  • Cesar Chacon  On 16/11/2015 at 16:48

    Buenas Tardes, Yo tengo un servidor con Windows Server 2012, Instalé el enrutamiento NAT para compartir el acceso a internet con una pequeña red interna. La conexión a internet funciona bien, el problema está con el correo. Los correos no se envian. Tengo configurado en Outllok un correo externo, pero los correos no se envian.

    • Guillermo Delprato  On 16/11/2015 at 17:30

      Hola César, si la conexión a Internet funciona correctamente, pero no el correo entonces el problema está en la configuración del correo, y no en mal funcionamiento de NAT
      Consulta con el proveedor de correo para saber qué configuración debes poner en Outlook

      • Cesar Chacon  On 17/11/2015 at 08:59

        Buenos dias, disculpa que no especifique. Los correos si se reciben, lo que no funciona es la salida. Si conecto el equipo directo al modem el correo funciona perfectamente, cuando lo hago a través de la conexión NAT, deja de funcionar la salida de correos.

      • Guillermo Delprato  On 17/11/2015 at 09:23

        Hola César, consulta con el proveedor de Internet, es habitual que bloqueen la salida a TCP-25 para evitar el spam, y en tu caso más porque proviene de una dirección que no es la pública

  • Sergio A. Bustos  On 08/01/2016 at 16:58

    Desde que encontre tu blog no dejo de revisar los post. Sencillamente Excelente!
    Una duda. Podrias orientarme, o quizás… quisieras hacer un post… sobre, cómo permitir/bloquear el acceso a internet ya sea por GPO o por el proxy d windows server 2012.
    Desde ya muchas gracias. :)

    PD: Tienes un nuevo admirador

    • Guillermo Delprato  On 08/01/2016 at 18:48

      Hola Sergio ¡gracias por el comentario! :)
      Primero la verdad de cómo se hace: a través de un cortafuegos, que dependiendo del costo tendrá muchas o pocas opciones, pero es “la forma en que se debe hacer”
      Si lo necesario es sólo permitir o denegar, hay algunas posibles soluciones pero eso depende del tamaño del ambiente y de los conocimientos de los usuarios, y la forma ya no es por usuario sino por máquina
      Hay “trampas” desde que no tengan Puerta de Enlace hasta una modificación del archivo HOSTS de cada máquina, y otras, pero realmente no son una buena solución ya que alcanzaría con que el usuario se cambie de máquina
      Algunos Routers de bajo costo se puede hacer por dirección IP, pero también es por máquina, no por usuario

  • Nicolás  On 23/02/2016 at 09:27

    Hola, tengo un problema. Hago lo que decís pero desde la red no puedo acceder a internet, sólo puedo desde el servidor. Tengo correctamente configurado AD DS, DNS y DHCP y la computadora cliente puede conectarse a carpetas en el servidor. ¿Alguna idea de que estoy haciendo mal? Saludos

    • Guillermo Delprato  On 23/02/2016 at 14:04

      Hola Nicolás, habría que saber más datos, y quizás como importante tal como dice la nota, esto no se debería hacer en un Controlador de Dominio si lo haz hecho así
      Estos son comentarios sobre la nota, y oriento cuando puedo, pero no es para soporte. Te aconsejo pongas la pregunta en un foro de soporte, como por ejemplo los de Technet en español (https://social.technet.microsoft.com/Forums/es-ES/home) y des datos, porque “tengo correctamente configurado” no ayuda a poder averiguar dónde está el problema

  • tenuxV  On 09/08/2016 at 14:23

    Saludos tengo un windows server2012 R2, funciona con Controlador de dominio y AC, tiene ip LAN y ese se conecta mediante switch a un firewall físico LAN y WAN hacia Internet.
    El problema es que los equipos se salen del dominio y aparecen conectado como REd1 y pierdo los servicios de red. he probado quitando la ip del gateway vuelvo a tener la red del dominio pero ya no tengo Internet y he vuelto a poner el gateway para que coja Internet, pero posteriormente vuelve el problema o pasa lo mismo en otras maquinas.

    Cual seria el problema gracias por sus aportes

    • Guillermo Delprato  On 09/08/2016 at 15:11

      ¿El Controlador de Dominio tiene dos interfaces de red o dos direcciones IP? Si es así eso es un problema; un Controlador de Dominio no debe tener nunca más de una dirección IP porque eso trae problemas. Si lo que conecta a Internet es el firewall físico, entonce todas las máquinas al mismo Switch interno, y el firewall con una interfaz al Switch interno, y otra al Router o directamente a Internet si lo recibe así. Los clientes no deben pasar tráfico por el Controlador de Dominio para salir a Internet
      Para que los clientes puedan salir a Internet:
      – Todas las máquinas con Puerta de Enlace al firewall
      – Todas las máquinas incluyendo al Controlador de Dominio que tengan configurado para usar como DNS únicamente al Controlador de Dominio, y en la consola DNS configuras Reenviadores a los DNSs externos que quieras

      • tenuxV  On 09/08/2016 at 18:21

        Gracias por responder: el servidor de dominio tiene una interfaz de red LAN 172.16.10.250 y el firewall tiene la IP 172.16.10.254 en las estaciones tiene configurado de la siguentte manera: IP: 172.16.10.10 SUBMASK: 255.255.252.0 GATEWAY: 172.16.10.254 DNS: 172.16.10.250 es es el esquema que tiene cada estación de trabajo.

        pero el problema de la salida de las estaciones del dominio de red es aleatoria es decir unos días salen unos otros días salen otros y en diferentes intervalos de tiempo: pensabamos que el problema era el servidor que se tenia con windows server 2003 por eso migramos a windows server 2012 r2 standar pero comenzo otra vez el problema. aclaración el otro servidor windows 2003 esta apagado.

      • Guillermo Delprato  On 09/08/2016 at 19:25

        El problema de pérdida de relación de las máquinas con el Dominio puede ser producido por muchas causas, aunque se puede solucionar relativamente fácil, pero lo importante es solucionar el problema que lo causa
        Esto te puede servir: Solución: Las Máquinas que se Salen del Dominio | WindowServer:
        https://windowserver.wordpress.com/2014/07/24/solucin-las-mquinas-que-se-salen-del-dominio/
        Espero que hayan hecho lo que llamas “migración” correctamente :) quiero suponer que el nuevo lo han instalado como un Controlador de Dominio adicional en un Dominio existente, y no “uno igual con los mismos nombres y direcciones”

      • tenuxV  On 09/08/2016 at 19:35

        Gracias por la respuesta, tus respuesta nos ayudan mucho respecto a la esquema de puesta en estaciones de trabajo no me confirmo si esta puesto correctamente, otra cosa el nuevo servidor de dominio tiene otro nombre y otra ip diferente al servidor anterior, al momento el nuevo servidor tiene virtualizado Hyper-V donde tenemos instalado otro windows server 2012 por cuestion de incompatiblidad de bases de datos esa virtualizacion no tiene nada que ver con el problema? gracias por su gran aporte

      • Guillermo Delprato  On 10/08/2016 at 06:16

        Si al nuevo servidor lo han instalado como dices, entonces es otro Dominio diferente, aunque se llame igual. El sistema utiliza SIDs internamente, similares a un número de documento, así que es como comenzar todo desde el principio. Además de la configuración del servidor hay que sacar los clientes del “viejo Dominio” y unirlos al “nuevo Dominio” y toda la configuración que sea necesaria
        Los errores más comunes son los que se detallan en el enlace que puse abajo sobre las máquinas que se salen del Dominio
        Ya sé que puedes tener limitaciones de presupuesto, pero tener en un Controlador de Dominio Hyper-V no es una buena combinación

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 1.250 seguidores

A %d blogueros les gusta esto: