En esta demostración vamos a ver la configuración que necesitamos hacer en un servidor Windows Server 2012, con dos placas de red, para compartir la conexión a Internet
El procedimiento es sencillo, y muy parecido a como se hace con las versiones anteriores del sistema operativo, pero tiene algunas diferencias con las que realmente no esperaba encontrarme
Algo importante a aclarar antes que comiencen: en muchas redes “chicas” o por falta de presupuesto, la máquina que comparte Internet en la red ¡es un Controlador de Dominio! Eso no se debe hacer
Un Controlador de Dominio contiene “lo más valioso” de una red, como son los nombres de usuarios y sus correspondientes contraseñas, además de la administración de nuestro Active Directory ¿¿¿la vamos a exponer a Internet??? Es un gravísimo problema de seguridad esa configuración
Para esta demostración necesitaremos tres máquinas: una que es un equipo de nuestra red interna, otro que será el servidor VPN, y un tercero que simulará un servidor web de Internet
Un dibujo aclara más que muchas palabras
DC1 será la máquina dentro de mi red interna. Estoy usando un Controlador de Dominio simplemente porque ya lo tengo armado. Podría ser cualquier máquina, con o sin Dominio; alcanza con que esté en la misma red interna que VPN1 (192.168.1.0/24) y que tenga configurado como Default Gateway (Puerta de Enlace) a la dirección interna de VPN1
VPN1 se llama así porque estoy pensando utilizar esta misma máquina para la nota siguiente, podría llamarse como deseen. Lo que necesita son dos interfaces de red, una interna y otra externa que simula una conexión a Internet
Como medida básica y precautoria de seguridad, la interfaz externa tiene conectado solamente TCP/IPv4, en las propiedades de la conexión externa de red he deshabilitado todo lo demás, e inclusive deshabilitado NetBIOS sobre TCP/IP (Opciones Avanzadas)
No tiene configurado ningún Default Gateway ni servidor DNS
Algo que es muy importante para no confundirse que yo he hecho, es ponerlo nombres a cada interfaz (Interna y Externa las llamé). Más abajo está la captura de pantalla con la configuración
ISP es simplemente un equipo que tiene instalado IIS como Web Server sin ninguna configuración particular, sólo para probar que desde adentro podamos acceder a una página web. Resumiendo: instalación de Web Server aceptando todos los valores por omisión
Los tres equipos son Windows Server 2012 por comodidad, pero en realidad el único que lo necesita es VPN1
Comencemos agregando el rol de la forma habitual
Seleccionamos Remote Access
Y por supuesto también los “features” necesarios
Observen algo “raro” en la pantalla anterior, aparece “Web Server (IIS)” seleccionado. En realidad es porque “estará pensando” que utilizaré Direct Access que como no lo voy a hacer luego lo sacaré (Ya veremos que no se puede :-()
Es importante que seleccionemos la opción “Routing”. Si no lo hacemos luego no podremos compartir Internet
Además observen que no se puede quitar “Direct Access and VPN (RAS)” porque se desmarca también “Routing”
Todo por omisión para IIS
Confirmamos
Instalando …
Y cuando finaliza entramos por “Open the Getting Started Wizard”
El cuadro siguiente demora bastante en aparecer, y a veces queda oculto por otra ventana 🙁
Vemos que no hay opción “compartir Internet” pero como estamos seguros que ahora no haremos Direct Access, elegimos “la menos mala”
Luego de unos momentos abrirá la consola “Routing and Remote Access” y con botón derecho comenzamos con el asistente de configuración
Seleccionamos NAT
Le indicamos cuál es la conexión externa
Como esta instalación la utilizaré en un ambiente de Active Directory, le diré que no haga nada más, de otra forma se configuraría como proxy de DNS y un “mini-DHCP”
Podemos observar que ha instalado y ya configurado NAT (Network Addres Translation)
Si desean pueden ver las propiedades de las conexiones de red, pero está “todo bien”
Nos queda solamente probar el funcionamiento, así que desde la máquina en la red interna abro el explorador y pongo la dirección IP del “simulado servidor web de Internet” (131.107.0.100)
No pongo nombre porque no he implementado resolución de nombres de Internet aún
Bueno, con lo anterior podríamos decir que ya hemos logrado lo que queríamos, pero me quedé con la duda de por qué puso el IIS, quiero desinstalarlo ya que entiendo que no es necesario en este caso (¡Sorpresa!)
La forma habitual de quitar un rol
Vamos a desmarcar “Web Server (IIS)”
Y ¡sorpresa! si quito IIS también me saca “Routing” que lo necesitamos para poder compartir la conexión a Internet
Realmente creo que con esto la gente de Microsoft debería hacer un mejor esfuerzo, porque tener expuesto a Internet un IIS que no usaremos ni necesitaremos no me parece nada bueno
Comments
Fatal error: Uncaught Error: Call to undefined function ereg() in F:\blogs.itpro.es\wp-content\themes\notesil\functions.php:333 Stack trace: #0 F:\blogs.itpro.es\wp-content\themes\notesil\functions.php(35): notesil_commenter_link() #1 F:\blogs.itpro.es\wp-includes\class-walker-comment.php(179): notes_comments(Object(WP_Comment), Array, 1) #2 F:\blogs.itpro.es\wp-includes\class-wp-walker.php(145): Walker_Comment->start_el('', Object(WP_Comment), 1, Array) #3 F:\blogs.itpro.es\wp-includes\class-walker-comment.php(139): Walker->display_element(Object(WP_Comment), Array, '5', 0, Array, '') #4 F:\blogs.itpro.es\wp-includes\class-wp-walker.php(387): Walker_Comment->display_element(Object(WP_Comment), Array, '5', 0, Array, '') #5 F:\blogs.itpro.es\wp-includes\comment-template.php(2174): Walker->paged_walk(Array, '5', 0, 0, Array) #6 F:\blogs.itpro.es\wp-content\themes\notesil\comments.php(25): wp_list_comments('type=comment&ca...') #7 F:\blogs.itpro.es\wp-includes\comment-template.php(1512): require('F:\\blogs.itpro....') #8 F:\ in F:\blogs.itpro.es\wp-content\themes\notesil\functions.php on line 333