none
Configuracion de 2 tarjetas de red con LAN con salida a internet RRS feed

  • Pregunta

  • Hola a todos de nuevo, quizá el titulo no este muy claro, me explico.

    1 servidor Windows Server 2012 R2

    2 tarjetas de red WAN y LAN, LAN con ip de rango 172.16.xxx.xxx y WAN en otro rango 192.168.xxx.xxx

    Pregunta: un cliente de la LAN necesita salir a internet, como lo consigo?

    Esquema de conexiones actual:

    El cliente LAN esta conectado a un switch el cual esta conectado a la tarjeta LAN del servidor.

    EL servidor esta conectado al router a través de la tarjeta WAN

    Configuración del cliente LAN:

    Ip en rango 172.16.xxx.xxx

    PE: Ip LAN servidor

    DNS: ?

    Perdonad si no me he explicado bien , he intentado hacerlo lo mas esquemático posible para entender los conceptos mejor.

    Quiza estoy cometiendo algún fallo o me falta algo por configurar, el DNS del cliente supongo que sea el de mi ISP o cualquier otro valido como los de Google

    Podríais echarme una mano por favor?

    Gracias de antemano!

    martes, 28 de julio de 2015 16:22

Respuestas

  • En esquemas recientes es el router/firewall UTM o appliance el que da salida a internet, no el servidor, debido a que en capa3 (router) es más seguro manejar la seguridad allí que hacerlo cuando ya está dentro el riesgo.

    Para tu caso el cliente que se conecte al switch debería tener salida automática por DHCP o por IP fija si no hubiera DHCP. Hoy en dia hasta el router más básico sirve DHCP. Entonces el servidor sale al internet por el switch como cualquier otra pc, si deseas accesar al servidor desde sitios remotos, pones una regla en el router/firewall, es más seguro así. Bajo ese esquema la conexión WAN del servidor es innecesaria.

    • Marcado como respuesta Dr. Magritte miércoles, 15 de marzo de 2017 22:05
    martes, 28 de julio de 2015 17:17
  • Si usas servidor Windows muy poco podrás hacer para "controlar" el tráfico, hace más de 10 años había algo llamado ISA Server -para Windows- que permitía algunos controles, pero ya no se supo de eso. Es de opinión general que bajo tus condiciones estás muy expuesto.

    Controlar tanto riesgo de la web no es posible hacerlo a nivel de software (ya tienes el riesgo dentro), por eso se deja esa tarea a los firewall UTM porque el riesgo se detiene en la puerta, no esperar a hacerlo dentro.

    Por otra parte, para ambientes caseros que quieras compartir el internet, por ejemplo con otro equipo, conectas una tarjeta de red al internet (IP fija o dinámica) y la otra tarjeta al switch (dejas IP dinámica). Luego en Propiedades de ésta última tarjeta al switch, click derecho, Uso Compartido: Permitir que otros usuarios se conecten a este equipo, el equipo asigna una IP fija privada y comienza a servir DHCP a quien se conecte, pero no hay mayor control.. Esto se hace en conexiones improvisadas de corta duración o de uso eventual, no en esquemas serios de producción.

    • Propuesto como respuesta Moderador M miércoles, 29 de julio de 2015 20:34
    • Marcado como respuesta Moderador M viernes, 31 de julio de 2015 16:46
    miércoles, 29 de julio de 2015 14:32
  • Creo entender  y leo que muchos comentarios se realizaron ya lo que tu quieres lograr es que un windows server 2012 te realice las funciones de un TMG 

    https://technet.microsoft.com/es-es/library/ff355324.aspx?f=255&MSPPError=-2147217396

    primero creo me incluyo tenemos desconocimiento de en estas nuevas plataformas que usar para realizar el filtrado de contenido para una usuarios de nuestra red LAN en algunos comentan que el server 2012 sirve como Proxy y de aqui se deriva la idea erronea de creer que proxy significa filtrado de contenido para usuarios (LAN), y esto lamentablemente no es posible teniendo unicamente el server 2012 aunque en algunos lados dice proxy mas bien se refiere a realizar conexiones como decirlo de equipo a un portal interno y no asi de un portal externo como filtro WEB

    https://technet.microsoft.com/es-mx/library/dn383662.aspx

    te lo comento por que yo creí lo mismo por mucho tiempo quería realizar el Filtrado de contenido con windows server 2012 únicamente, sin ocupar como muchos otros compañeros mencionan una unidad UTM o bien un server configurado como un TMG en soluciones antiguas o aun mas atras un ISA server lo que seria bueno saber es si microsoft ofrece alguna otra solucion como TMG para versiones 2012 

    espero te sirva el comentario 

    saludos 

    martes, 15 de marzo de 2016 21:19
  • Hola IPV6ML, como bien dices, hay mucha confusión con la palabra "proxy"

    Las funcionalidades de un proxy son:

    1.- Compartir la conexión a Internet, mediante NAT (Network Address Translation)

    2.- "Cacheo" de información web (HTTP y FTP fundamentalmene)

    3.- Filtrado básico de tráfico. No se compara a un cortafuegos, aún al más básico

    TMG fue discontinuado y Microsoft decidió no hacer ningún reemplazo del mismo, hay que ir por aplicaciones de terceros

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 16 de marzo de 2016 22:14
    • Marcado como respuesta Dr. Magritte miércoles, 15 de marzo de 2017 22:12
    martes, 15 de marzo de 2016 21:36
    Moderador
  • Muy muy resumido. Un Controlador de Dominio tiene lo más valioso de tu red como son todos los usuarios y sus contraseñas, por lo tanto nunca hay que permitirle accesos externos, y menos todavía exponerlo como tienes pensado hacerlo

    Por otro lado también trae problemas de funcionamiento, pues al ser además DNS registrará en DNS ambas interfaces de red aunque le desmarques la opción en la interfaz externa

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 29 de julio de 2015 20:33
    • Marcado como respuesta Moderador M viernes, 31 de julio de 2015 16:46
    miércoles, 29 de julio de 2015 10:47
    Moderador
  • 1.- Para esto debes leer la documentación de tu Router :)

    2.- y 3.- Si tienes sólo dos máquinas no hay prácticamente diferencia entre hacer pasar la conexión entre ellas usando un Switch propio o usar el del propio Router (si tiene más de una conexión local). Si ya lo tienes el Switch yo lo usaría, porque aislaría un poco más, pero viendo lo que vas a hacer ese riesgo es lo de menos :)

    Estás poniendo una estructura con problemas serios de seguridad, pero bueno, tú sabrás

    Por lo menos cambia el puerto de escucha (TCP-3389) tanto en el servidor como en el cliente. El puerto por omisión sufre muchos ataques desde Internet

    Te dejo un enlace de cómo hacerlo en el servidor: How to change the listening port for Remote Desktop
    https://support.microsoft.com/en-us/kb/306759

    Luego en el cliente cuando te conectas, al final del comando debes ponerlo ":" y el número del puerto al que te conectas

    Por ejemplo: MSTSC /v:ElServidor:NumPuerto

      


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Dr. Magritte miércoles, 15 de marzo de 2017 22:10
    sábado, 8 de agosto de 2015 11:17
    Moderador

Todas las respuestas

  • En esquemas recientes es el router/firewall UTM o appliance el que da salida a internet, no el servidor, debido a que en capa3 (router) es más seguro manejar la seguridad allí que hacerlo cuando ya está dentro el riesgo.

    Para tu caso el cliente que se conecte al switch debería tener salida automática por DHCP o por IP fija si no hubiera DHCP. Hoy en dia hasta el router más básico sirve DHCP. Entonces el servidor sale al internet por el switch como cualquier otra pc, si deseas accesar al servidor desde sitios remotos, pones una regla en el router/firewall, es más seguro así. Bajo ese esquema la conexión WAN del servidor es innecesaria.

    • Marcado como respuesta Dr. Magritte miércoles, 15 de marzo de 2017 22:05
    martes, 28 de julio de 2015 17:17
  • Gracias por la rápida respuesta JoseMiel, he entendido o eso creo, lo que me quieres decir, de todas formas, no me he debido explicar bien.

    Lo que quiero hacer es que el cliente salga a internet pasando por el servidor, es decir que sea el servidor el que controle la salida de este cliente, el servidor a su vez esta conectado al router por la WAN.

    Quiero que el cliente este "aislado" en su propia red y que cuando salga lo haga bajo supervisión del servidor, ya que según me comentas, en lo que me propones el cliente sale directo a internet y siempre si o si tiene conexión física con el router, lo que busco es la forma de que desde la red LAN el cliente pueda salir a la WAN, quizá es innecesaria la WAN como bien dices.

    Para entendernos mejor es como si necesitase hacer un puente entre la tarjeta LAN y la WAN del servidor, la cuestión es como.

    Adjunto un esquema básico aunque creo que ya se ha entendido por la explicación que me has dado.

    Que el servidor pase o no por el switch no me preocupa, incluso al tener la tarjeta de red, si evito el switch, reduzco algo de lag, aunque esto tampoco seria necesario, ya que no hay juegos ni nada que necesite respuestas ultrarrápidas.


    martes, 28 de julio de 2015 17:48
  • Hola RGMagritte, hay dos posibilidades, que el servidor haga NAT, o Routing

    Pero de todas formas antes te paso dos consideraciones:

    1- Es poco y nada lo que un servidor puede controlar el acceso de los clientes a Internet, para eso se usa un cortafuegos "de verdad"

    2- Si ese servidor va a ser Controlador de Dominio, es una muy mala idea, hay riesgos importantes de seguridad, problemas por tener dos interfaces de red, y más

    Si puedes poner una ruta en el Router de verdad, entonces conviene que el servidor haga "routing"

    Si no puedes, o por mayor seguridad y simplicidad pero con mucha más carga puedes usar NAT

    Para NAT tengo un paso a paso hecho en: Windows Server 2012: Compartir Conexión a Internet | WindowServer:
    https://windowserver.wordpress.com/2013/01/25/windows-server-2012-compartir-conexin-a-internet/


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 29 de julio de 2015 20:34
    martes, 28 de julio de 2015 18:27
    Moderador
  • Muchas gracias, me sirve la solución aportada, solo me queda una duda fruto del desconocimiento.

    Asi por encima, podrias decirme que riesgos de seguridad y/o problemas hay al tener 2 tarjetas de red y ser controlador de dominio?

    Gracias a todos por echarme una mano!

    Nos vemos!!

    miércoles, 29 de julio de 2015 8:57
  • Muy muy resumido. Un Controlador de Dominio tiene lo más valioso de tu red como son todos los usuarios y sus contraseñas, por lo tanto nunca hay que permitirle accesos externos, y menos todavía exponerlo como tienes pensado hacerlo

    Por otro lado también trae problemas de funcionamiento, pues al ser además DNS registrará en DNS ambas interfaces de red aunque le desmarques la opción en la interfaz externa

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 29 de julio de 2015 20:33
    • Marcado como respuesta Moderador M viernes, 31 de julio de 2015 16:46
    miércoles, 29 de julio de 2015 10:47
    Moderador
  • Si usas servidor Windows muy poco podrás hacer para "controlar" el tráfico, hace más de 10 años había algo llamado ISA Server -para Windows- que permitía algunos controles, pero ya no se supo de eso. Es de opinión general que bajo tus condiciones estás muy expuesto.

    Controlar tanto riesgo de la web no es posible hacerlo a nivel de software (ya tienes el riesgo dentro), por eso se deja esa tarea a los firewall UTM porque el riesgo se detiene en la puerta, no esperar a hacerlo dentro.

    Por otra parte, para ambientes caseros que quieras compartir el internet, por ejemplo con otro equipo, conectas una tarjeta de red al internet (IP fija o dinámica) y la otra tarjeta al switch (dejas IP dinámica). Luego en Propiedades de ésta última tarjeta al switch, click derecho, Uso Compartido: Permitir que otros usuarios se conecten a este equipo, el equipo asigna una IP fija privada y comienza a servir DHCP a quien se conecte, pero no hay mayor control.. Esto se hace en conexiones improvisadas de corta duración o de uso eventual, no en esquemas serios de producción.

    • Propuesto como respuesta Moderador M miércoles, 29 de julio de 2015 20:34
    • Marcado como respuesta Moderador M viernes, 31 de julio de 2015 16:46
    miércoles, 29 de julio de 2015 14:32
  • Gracias, Guillermo y JoseMiel por la ayuda prestada, estoy de nuevo con el tema y quiero hacerlo como me proponéis, teniendo en cuenta que solo dispongo de un servidor.

    Por tanto mi pregunta es: en el router, me voy al firewall y una vez ahí establezco una regla para poder acceder al servidor desde fuera por escritorio remoto no? pero como establezco esta regla?

    En el router ya tengo mapeado el puerto 3389TCP de escritorio remoto a la ip estática del servidor.

    Por otro lado, si no he entendido mal, perdonad por mi ignorancia (trato de aprender), el esquema "mas seguro" en relación al que yo proponía, seria conectar el cliente y el servidor al switch y el switch al router y luego establecer las reglas en el router no? pero para eso entonces no me haría falta switch ya que si solo conecto un cliente y el servidor, los puedo conectar directos al router o hay alguna ventaja por tenerlos conectados al switch?

    Perdonad por el tostón, resumiendo:

    1.-Como establezco la regla en el firewall del router para acceder al servidor desde fuera?

    2.-Es mas seguro conectar cliente y servidor al switch y establecer la regla en firewall del router que mi esquema inicial de conexión?

    3.-Hay alguna ventaja por tener conectados cliente y servidor al switch y este al router? (yo creo que no, no?)

    Gracias de antemano por vuestro tiempo y sabiduría ;)

    Saludos!.


    sábado, 8 de agosto de 2015 9:05
  • 1.- Para esto debes leer la documentación de tu Router :)

    2.- y 3.- Si tienes sólo dos máquinas no hay prácticamente diferencia entre hacer pasar la conexión entre ellas usando un Switch propio o usar el del propio Router (si tiene más de una conexión local). Si ya lo tienes el Switch yo lo usaría, porque aislaría un poco más, pero viendo lo que vas a hacer ese riesgo es lo de menos :)

    Estás poniendo una estructura con problemas serios de seguridad, pero bueno, tú sabrás

    Por lo menos cambia el puerto de escucha (TCP-3389) tanto en el servidor como en el cliente. El puerto por omisión sufre muchos ataques desde Internet

    Te dejo un enlace de cómo hacerlo en el servidor: How to change the listening port for Remote Desktop
    https://support.microsoft.com/en-us/kb/306759

    Luego en el cliente cuando te conectas, al final del comando debes ponerlo ":" y el número del puerto al que te conectas

    Por ejemplo: MSTSC /v:ElServidor:NumPuerto

      


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Dr. Magritte miércoles, 15 de marzo de 2017 22:10
    sábado, 8 de agosto de 2015 11:17
    Moderador
  • Gracias de nuevo Guillermo, quizá lo que debería haber preguntado es como implementar un servidor que es controlador de dominio (aunque ahora mismo tiene pocos usuarios, pero tendrá mas) que va a servir también para dar acceso por escritorio remoto a varios usuarios.

    Todo ello en un esquema mas bien "domestico" donde habrá un router de conexión a internet, y un equipo en concreto que se debe proteger del exterior pero debe poder salir a internet.

    Los clientes se conectaran desde la LAN y desde la WAN.

    Por tanto antes este escenario y con los recursos mencionados, un solo servidor, que crees o creeis que puede ser mejor? teniendo en cuenta ese esquema.

    Estoy dispuesto a seguir los pasos que me indiquéis para que quede lo mejor implementado posible.

    Muchas gracias!

    viernes, 14 de agosto de 2015 14:22
  • Es difícil aconsejarte, cuando uno quiere tener una infraestructura como la que comentas, primero hay que conseguir presupuesto

    Como datos para que tengas en cuenta:

    - El Controlador de Dominio debería ser sólo eso, por supuesto además de DNS. No necesita mucho hardware en general, y a lo sumo DHCP, pero nunca ni para compartir Internet, ni para Escritorio Remoto.
    Más te digo, es altamente conveniente tener por lo menos 2 Controladores de Dominio por Dominio para tener tolerancia a fallas. Si no puedes, ten uno, pero con las copias de seguridad (Backup) no sólo hechas, sino que las puedas recuperar en un hardware diferente
    Ten en cuenta que si a esa máquina le pasa "algo" todo dejará de funcionar. Y si no pudieras recuperarlo desde una copia de seguridad deberás reconstruir toda la red casi desde cero

    - El servidor para Escritorio Remoto, ese sí que seguramente requiere adecuado hardware, porque consumirá recursos por cada sesión de cada usuario que se conecte simultáneamente con otros

    - El servidor para VPN, normalmente no requiere demasiado hardware, salvo "buenas" placas de red
    O directamente, creo que sería lo mejor, implementarlo en el Router, depende del Router

    Si me preguntas los pasos a seguir te nombro el principal: conseguir más recursos :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 14 de agosto de 2015 14:57
    Moderador
  • Tal como te mencionan los compañeros, no debería tenerse un servidor de dominio que haga a la vez de host para escritorio remoto. El domain controller pienso que es innecesario en tu caso, deja la red como Grupo de trabajo y la seguridad déjala al router UTM, usa el servidor para servidor de Terminal Services-
    • Editado JoséMiel viernes, 14 de agosto de 2015 15:16
    viernes, 14 de agosto de 2015 15:15
  • Creo entender  y leo que muchos comentarios se realizaron ya lo que tu quieres lograr es que un windows server 2012 te realice las funciones de un TMG 

    https://technet.microsoft.com/es-es/library/ff355324.aspx?f=255&MSPPError=-2147217396

    primero creo me incluyo tenemos desconocimiento de en estas nuevas plataformas que usar para realizar el filtrado de contenido para una usuarios de nuestra red LAN en algunos comentan que el server 2012 sirve como Proxy y de aqui se deriva la idea erronea de creer que proxy significa filtrado de contenido para usuarios (LAN), y esto lamentablemente no es posible teniendo unicamente el server 2012 aunque en algunos lados dice proxy mas bien se refiere a realizar conexiones como decirlo de equipo a un portal interno y no asi de un portal externo como filtro WEB

    https://technet.microsoft.com/es-mx/library/dn383662.aspx

    te lo comento por que yo creí lo mismo por mucho tiempo quería realizar el Filtrado de contenido con windows server 2012 únicamente, sin ocupar como muchos otros compañeros mencionan una unidad UTM o bien un server configurado como un TMG en soluciones antiguas o aun mas atras un ISA server lo que seria bueno saber es si microsoft ofrece alguna otra solucion como TMG para versiones 2012 

    espero te sirva el comentario 

    saludos 

    martes, 15 de marzo de 2016 21:19
  • Hola IPV6ML, como bien dices, hay mucha confusión con la palabra "proxy"

    Las funcionalidades de un proxy son:

    1.- Compartir la conexión a Internet, mediante NAT (Network Address Translation)

    2.- "Cacheo" de información web (HTTP y FTP fundamentalmene)

    3.- Filtrado básico de tráfico. No se compara a un cortafuegos, aún al más básico

    TMG fue discontinuado y Microsoft decidió no hacer ningún reemplazo del mismo, hay que ir por aplicaciones de terceros

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 16 de marzo de 2016 22:14
    • Marcado como respuesta Dr. Magritte miércoles, 15 de marzo de 2017 22:12
    martes, 15 de marzo de 2016 21:36
    Moderador