Simular Internet Virtual – Instalar y Configurar una Máquina que Comparta Internet en Red Interna

En las notas anteriores hemos hecho la configuración de una máquina que simula ser un servidor en Internet, donde hemos configurado DNS, Autoridad Certificadora, y DHCP

• Simular Internet en Virtual – Servicio DNS y Servidor Web
• Simular Internet Virtual – Autoridad Certificadora
• Simular Internet Virtual – Publicar Sitio Web Seguro de la Autoridad Certificadora

Para esta nota debemos crear dos nuevas máquinas virtuales, una que emulará un “Router/NAT” compartiendo la conexión a Internet, y otra máquina que estará en un red interna, pero que podrá acceder a nuestra “Internet simulada” creada anteriormente

Como cuando se comienzan a usar diferentes redes virtuales internas es fácil confundirse, por lo que siempre es conveniente verificar la conectividad entre las máquinas que necesitemos

Una forma sencilla de probar la conectividad de la máquina que compartirá Internet, con el “servidor de Internet” ya creado, es permitir en este último la conectividad por ICMP (PING entre otros)

Para esto, y siguiendo con la máquina ya creada en las notas anteriores, en el cortafuegos crearé una nueva “Inbound rule” que permita ICMPv4 “Echo Request”

Entiendo que el que esté siguiendo estas notas sabe cómo hacerlo, pero muestro la captura de pantalla de lo hecho. Si tienen alguna dificultad en la configuración del cortafuegos, y estando en ambiente de pruebas, tranquilamente se puede directamente deshabilitar el cortafuegos

Ahora sí, a la nueva máquina virtual, que compartirá “nuestra Internet” le he asignado el nombre “NAT”, y por ahora tiene una única interfaz de red, conectada a la misma red que la primera máquina

Como en la máquina originalmente creada configuramos DHCP, y permitimos el PING podemos ver que esta nueva máquina ha obtenido un dirección IP correcta y además tiene conectividad

Como indica la mala experiencia renombro la correspondiente interfaz de red, antes de agregar otra

Y agrego una nueva placa de red virtual, conectada a una red virtual diferente y que renombro adecuadamente. No hace falta detener la máquina virtual para agregar una interfaz de red

En la interfaz externa, y como una medida de seguridad básica que siempre se debería tomar, desmarco todos los protocolos excepto TCP/IPv4, deshabilito la registración dinámica en DNS, y deshabilito NetBIOS sobre TCP/IP

En la interfaz interna sólo configuro dirección IPv4 y máscara de subred, recuerden que debe ser una red diferente a la externa

Quedará así

 

Ahora que ya está la configuración “hardware” comenzamos a instalar la funcionalidad “Routing and Remote Access”. Se hace en la forma habitual, muestro sólo desde la selección del rol en adelante

Deberíamos poder instalar sólo el componente “Routing” y lo estrictamente necesario para esta función

Pero vemos que se agrega automáticamente “DirectAccess and VPN (RAS)” en forma obligatoria. Esto se mantiene desde Windows Server 2012R2, y personalmente creo que no es una decisión acertada ya que no utilizaremos, por ahora al menos, ninguna de esas funciones

Y abrimos el asistente de configuración inicial

Tengan paciencia que demora unos segundos en abrir la siguiente pantalla donde como opción “menos mala” elegiré “Deploy VPN only”. Digo esto porque en realidad lo que necesitamos es la funcionalidad de compratir la conexión a Internet

Se abrirá automáticamente la consola RRAS y podemos comenzar con el asistente de configuración

Podría seleccionar sólo la opción NAT ya que es el objetivo actual de la nota, pero seleccionaré VPN y NAT ya que en futuras notas también utilizaré VPN, e instalar este último requiere que se vuelva a ejecutar el asistente de configuración

NOTA1: Si al dar siguiente, da un error que se necesitan dos interfaces que dice no tener, sólo hay que cerrar la consola y volverla a abrir, y comenzar el asistente muevamente

NOTA2: no sé si me equivoqué, o es un bug del sistema, aunque creo que es lo primero. Cuando luego voy a hacer la configuración de NAT me encuentro que no está instalada esta funcionalidad. Bueno, servirá como un ejemplo de cómo se puede instalar luego, y por lo tanto las capturas que siguen pertenecen sólo a la configuración de servidor VPN, NAT está agregado al final

Es importante que en el siguiente cuadro se seleccione la interfaz externa

Como estamos configurando servidor VPN, es mi preferencia que la VPN utilice una red diferente a la interna, y por lo tanto le asigno un rango de red diferente

A diferencia de versiones anteriores de Windows Server que cuando se configuraba VPN se agregaban filtros que permitían sólo el tráfico de los protocolos se VPN, ahora no pone ningún filtrado estático

Bueno, ahora sí instalaré NAT. No me pregunten el motivo, ya que aunque NAT es un protocolo para “rutear”, no es en realidad un “Routing Protocol” como son RIP, OSPF, etc. pero se instala así. Si vieran una carpeta “NAT” entonces es que ya está instalado y no deben seguir estos pasos de instalación, aunque sí los de configuración de NAT

Y debemos ahora agregar ambas interfaces, indicando cuál es la externa y cuál la interna, no equivocarse ;)

NOTA3: Cuidado que me equivoqué en la siguiente captura, hay que seleccionar la interfaz “Interna” y no “Internal

Cuidado que aunque en la siguiente captura sigue saliendo “Internal” luego lo corregí ya que debe ser la “Interna”

Para evitar problemas y complicar sin sentido la demostración, en la máquina SRV-Internet.isp.com he deshabilitado el cortafuegos

 

Resumiendo: hasta ahora ya tenemos la máquina que simula ser un servidor de Internet (SRV-Internet.isp.com), y una máquina que comparte su conexión a Internet (NAT)

Para poder ver el funcionamiento de NAT y acceder desde la red interna a un servidor de Internet, necesitamos otra máquina virtual más, que en mi caso he llamado SRV1, está también en Grupo de Trabajo

A esta máquina que está en la red interna le asignaré la siguiente configuración IP:

• Dirección IP y Máscara de Subred compatible con la red interna
• Puerta de Enlace (“Default Gateway”) a la dirección IP interna de NAT
• Servidor DNS al correspondiente servidor DNS de nuestra “Internet”

Aprovechamos que pregunta y configuramos que tome esta red como privada

Y como podemos observar en la siguiente captura, ya tiene conectividad con “Internet” y además resuelve los nombres de “Internet”. Estoy poniendo “Internet” para que se interprete que en realidad es nuestra Internet simulada :)

También podemos constatar que puede acceder al servidor web de “Internet”

E inclusive al sitio seguro, sólo que por ahora muestra una pantalla de advertencia ya que el certificado presentado por el servidor no es confiable porque fue otorgado por una Autoridad Certificadora en la que aún no se confía. Ya lo solucionaremos más adelante

 

Resumiendo lo hecho hasta acá: tenemos una “Internet” simulada con un servidor web (HTTP) y que también tiene una página segura (HTTPS), con Autoridad Certificadora de tipo Raíz similar a una comercial, resolución de nombres mediante DNS externo, y servicio DHCP para configuración automática de direcciones IP públicas de nuestra “Internet”

En las siguientes notas continuaremos agregando más opciones