Está en la página 1de 21

Windows Server 2012: Compartir Conexin a Internet

En esta demostracin vamos a ver la configuracin que necesitamos hacer en un servidor


Windows Server 2012, con dos placas de red, para compartir la conexin a Internet
El procedimiento es sencillo, y muy parecido a como se hace con las versiones anteriores
del sistema operativo, pero tiene algunas diferencias con las que realmente no esperaba
encontrarme
Algo importante a aclarar antes que comiencen: en muchas redes chicas o por falta de
presupuesto, la mquina que comparte Internet en la red es un Controlador de Dominio!
Eso no se debe hacer
Un Controlador de Dominio contiene lo ms valioso de una red, como son los nombres
de usuarios y sus correspondientes contraseas, adems de la administracin de nuestro
Active Directory la vamos a exponer a Internet??? Es un gravsimo problema de
seguridad esa configuracin
Para esta demostracin necesitaremos tres mquinas: una que es un equipo de nuestra red
interna, otro que ser el servidor VPN, y un tercero que simular un servidor web de
Internet
Un dibujo aclara ms que muchas palabras

DC1 ser la mquina dentro de mi red interna. Estoy usando un Controlador de Dominio
simplemente porque ya lo tengo armado. Podra ser cualquier mquina, con o sin Dominio;
alcanza con que est en la misma red interna que VPN1 (192.168.1.0/24) y que tenga
configurado como Default Gateway (Puerta de Enlace) a la direccin interna de VPN1
VPN1 se llama as porque estoy pensando utilizar esta misma mquina para la nota
siguiente, podra llamarse como deseen. Lo que necesita son dos interfaces de red, una
interna y otra externa que simula una conexin a Internet
Como medida bsica y precautoria de seguridad, la interfaz externa tiene conectado
solamente TCP/IPv4, en las propiedades de la conexin externa de red he deshabilitado
todo lo dems, e inclusive deshabilitado NetBIOS sobre TCP/IP (Opciones Avanzadas)
No tiene configurado ningn Default Gateway ni servidor DNS
Algo que es muy importante para no confundirse que yo he hecho, es ponerlo nombres a

cada interfaz (Interna y Externa las llam). Ms abajo est la captura de pantalla con la
configuracin

ISP es simplemente un equipo que tiene instalado IIS como Web Server sin ninguna
configuracin particular, slo para probar que desde adentro podamos acceder a una pgina
web. Resumiendo: instalacin de Web Server aceptando todos los valores por omisin
Los tres equipos son Windows Server 2012 por comodidad, pero en realidad el nico que lo
necesita es VPN1

Comencemos agregando el rol de la forma habitual

Seleccionamos Remote Access

Y por supuesto tambin los features necesarios

Observen algo raro en la pantalla anterior, aparece Web Server (IIS) seleccionado. En
realidad es porque estar pensando que utilizar Direct Access que como no lo voy a
hacer luego lo sacar (Ya veremos que no se puede :-()

Es importante que seleccionemos la opcin Routing. Si no lo hacemos luego no


podremos compartir Internet
Adems observen que no se puede quitar Direct Access and VPN (RAS) porque se
desmarca tambin Routing

Todo por omisin para IIS

Confirmamos

Instalando

Y cuando finaliza entramos por Open the Getting Started Wizard

El cuadro siguiente demora bastante en aparecer, y a veces queda oculto por otra ventana :-(
Vemos que no hay opcin compartir Internet pero como estamos seguros que ahora no
haremos Direct Access, elegimos la menos mala

Luego de unos momentos abrir la consola Routing and Remote Access y con botn
derecho comenzamos con el asistente de configuracin

Seleccionamos NAT

Le indicamos cul es la conexin externa

Como esta instalacin la utilizar en un ambiente de Active Directory, le dir que no haga
nada ms, de otra forma se configurara como proxy de DNS y un mini-DHCP

Podemos observar que ha instalado y ya configurado NAT (Network Addres Translation)


Si desean pueden ver las propiedades de las conexiones de red, pero est todo bien

Nos queda solamente probar el funcionamiento, as que desde la mquina en la red interna
abro el explorador y pongo la direccin IP del simulado servidor web de Internet
(131.107.0.100)
No pongo nombre porque no he implementado resolucin de nombres de Internet an

Bueno, con lo anterior podramos decir que ya hemos logrado lo que queramos, pero me
qued con la duda de por qu puso el IIS, quiero desinstalarlo ya que entiendo que no es
necesario en este caso (Sorpresa!)
La forma habitual de quitar un rol

Vamos a desmarcar Web Server (IIS)

Y sorpresa! si quito IIS tambin me saca Routing que lo necesitamos para poder
compartir la conexin a Internet

Realmente creo que con esto la gente de Microsoft debera hacer un mejor esfuerzo, porque
tener expuesto a Internet un IIS que no usaremos ni necesitaremos no me parece nada
bueno