none
Clientes com navegación a internet y escritorio remoto (terminal server) RRS feed

  • Pregunta

  • Tengo un servidor de pruebas, un DC, en la que tengo dos NIC una con conexion LAN (192.168.10.X) y otra WAN (192.168.1.100) con salida a Internet.

    Tengo que activar el enrutamiento y acceso remoto para que los clientes puedan acceder a Internet por DCHP o no es necesario?

    A mi loq ue me gustaría es que los clientes no puedan acceder al router, es decir, que no puedan acceder a 192.168.1.1 por eso he creado otra red en lan con el rango mencionado 192.168.10.x.

    He hecho pruebas y si activo el rol de enrutamiento y acceso remoto, ya no puedo acceder por remoto (terminal server) de forma externa al servidor a pesar de que los clientes si tienen acceso a internet.

    he cambiado el puerto de escicha en el regedit al 4389 y nada. Lo abro en el router para la ip 192.168.1.100 que es mi servidor y nada. No se que hago mal. Sin el enrutamiento funcionaba perfectamente el acceso desde fuera por escritorio remoto (terminal server).

    A mi me gustaría que el router gestionara la NAT, en vez del servidor para que no tenga muchos recursos el servidor consumiendo y para que sea más fácil de configurar todo, pero no se si se puede usando las 2 tarjetas de red.

    El tema es que necesito que el servidor tenga salida a internet, pues el profesor nos ha dicho que así sea, de hecho nos comenta que puidera ser que el día de mañana se instalara un programa que necesita ser actualizado vía internet....

    Gracias de antemano

    miércoles, 15 de noviembre de 2017 12:07

Respuestas

  • Hola, Instituto sesa:

    Partimos de la base que por causas de seguridad, NO es recomendable que un servidor tenga acceso directo al WWW, precisamente para que no se modifique remotamente por instalación de aplicaciones y/o Actualizaciones Automáticas sin control. En segundo lugar, aunque un router puede perfectamente realizar funciones de NAT, siempre es recomendable que lo establezcas desde el servidor *precisamente* desde la consola de Enrutamiento y Acceso remoto. No consume tantos recursos como temes.. y la única alerta que debieras tener es para el caso en que el servidor ejerciera algún rol crítico en tu LAN.

    Por lo demás, ten en cuenta que en realidad es el enmascaramiento de red que emplees en las estaciones de trabajo lo que determina los accesos a determinados recursos de red, que unido al rango de red, el cambio de IP's predeterminadas (todo el mundo sabe que los router suelen tener IP LAN 192.168.1.1 ó 192.168.0.1 de ahí que algunas entidades la cambian por .1.254 ó .0.254, por ejemplo) y las restricciones ICMP, DNS.. que establecieras por proxy, podría "ocultar" determinados recursos de tu LAN.

    No especificas un problema concreto en la configuración del servicio RRAS, por lo que interpreto que la raíz del problema es cómo configurarlo correctamente. Por ello mismo, te recomiendo sigas los pasos oficiales de configuración indicados por Microsoft.. y a partir de ahí podremos centrarnos en dificultades concretas, compañero.

    Más info:
    · Habilitación y configuración de NAT:
    https://technet.microsoft.com/es-es/library/dd469812(v=ws.11).aspx

    Desiderio Ondo || Engineer

    • Marcado como respuesta Instituto sesa miércoles, 15 de noviembre de 2017 15:20
    miércoles, 15 de noviembre de 2017 15:12
  • Hola, Instituto sesa:

    Cuanto menos, llama la atención que en un tiempo tan reducido (menos de 1h!!) te haya dado tiempo a desinstalar, reiniciar, instalar y reconfigurar los roles DNS, DHCP y Enrutamiento. Más que nada, porque 2 de dichos roles son críticos en el sistema, y si el server del que  tratamos es un DC/GC, DNS no puede ser desinstalado (por ponerte un ejemplo). Te ruego no vayas tan deprisa, ya que no son buenas consejeras..

    Por partes: el puerto por defecto para Escritorio remoto es el TCP/UDP-3389, por lo que si lo has modificado al TCP/UDP-4390 por Registro (no recomendable, por cierto) es importante que tras reiniciar el host, los accesos desde EJECUTAR > MSTSC que hagas desde cualquier estación remota sea desde [IP o FQDN de servidor]:4390.

    Para la configuración de los servicios/puertos que señalas para la traducción WAN-LAN, te recomiendo sigas las indicaciones señaladas en el enlace "Habilitación y configuración de NAT", apartado IPv4-NAT-Interfaz-Página de propiedades.. y otro adicional en el enlace "Configuración de RRAS", apartado "Habilitación y configuración de NAT"

    Más info:
    · Ejemplo de configuración NAT:
    https://technet.microsoft.com/es-es/library/dd469842(v=ws.10).aspx

    Desiderio Ondo || Engineer

    • Marcado como respuesta Instituto sesa jueves, 16 de noviembre de 2017 10:53
    miércoles, 15 de noviembre de 2017 16:17

Todas las respuestas

  • Hola, Instituto sesa:

    Partimos de la base que por causas de seguridad, NO es recomendable que un servidor tenga acceso directo al WWW, precisamente para que no se modifique remotamente por instalación de aplicaciones y/o Actualizaciones Automáticas sin control. En segundo lugar, aunque un router puede perfectamente realizar funciones de NAT, siempre es recomendable que lo establezcas desde el servidor *precisamente* desde la consola de Enrutamiento y Acceso remoto. No consume tantos recursos como temes.. y la única alerta que debieras tener es para el caso en que el servidor ejerciera algún rol crítico en tu LAN.

    Por lo demás, ten en cuenta que en realidad es el enmascaramiento de red que emplees en las estaciones de trabajo lo que determina los accesos a determinados recursos de red, que unido al rango de red, el cambio de IP's predeterminadas (todo el mundo sabe que los router suelen tener IP LAN 192.168.1.1 ó 192.168.0.1 de ahí que algunas entidades la cambian por .1.254 ó .0.254, por ejemplo) y las restricciones ICMP, DNS.. que establecieras por proxy, podría "ocultar" determinados recursos de tu LAN.

    No especificas un problema concreto en la configuración del servicio RRAS, por lo que interpreto que la raíz del problema es cómo configurarlo correctamente. Por ello mismo, te recomiendo sigas los pasos oficiales de configuración indicados por Microsoft.. y a partir de ahí podremos centrarnos en dificultades concretas, compañero.

    Más info:
    · Habilitación y configuración de NAT:
    https://technet.microsoft.com/es-es/library/dd469812(v=ws.11).aspx

    Desiderio Ondo || Engineer

    • Marcado como respuesta Instituto sesa miércoles, 15 de noviembre de 2017 15:20
    miércoles, 15 de noviembre de 2017 15:12
  • Gracias Desiderio, estoy liado con ello. He revisado todo, he vuelto a instalar todos los roles dns, dchp y el de enrutamiento por si a caso. Los clientes navegan perfectamente por DCHP mediante el rango de ips 192.168.10.x. Conseguido.

    Sigo teniendo el problema de que no consigo entrar por escritorio remoto al servidor. Le he cambiado en el regedit al puerto 4390. y no entro. 

    En Enrutamiento y acceso remoto, en ipv4, NAT, WAN(propiedades) servicios y puertos ¿debería hacer algo?

    Por si a caso he probado poner a la ip 192.168.10.100 (la del servidor) tanto en puerto de entrada como salida el 6001 ero no me ha funcionado. tampoco el 192.168.1.100.

    me estoy volviendo loco, ya no se ni que estoy tocando y que no y empieza a ser un problema jaja.

    Me recomiendas que quiete el enrutamiento y pruebe ahora si tengo acceso por remoto por terminal server? porque antes sin él me iba. el problema es cuando lo instalo y lo configuro. he seguido todos los pasos....

    miércoles, 15 de noviembre de 2017 15:57
  • Hola, Instituto sesa:

    Cuanto menos, llama la atención que en un tiempo tan reducido (menos de 1h!!) te haya dado tiempo a desinstalar, reiniciar, instalar y reconfigurar los roles DNS, DHCP y Enrutamiento. Más que nada, porque 2 de dichos roles son críticos en el sistema, y si el server del que  tratamos es un DC/GC, DNS no puede ser desinstalado (por ponerte un ejemplo). Te ruego no vayas tan deprisa, ya que no son buenas consejeras..

    Por partes: el puerto por defecto para Escritorio remoto es el TCP/UDP-3389, por lo que si lo has modificado al TCP/UDP-4390 por Registro (no recomendable, por cierto) es importante que tras reiniciar el host, los accesos desde EJECUTAR > MSTSC que hagas desde cualquier estación remota sea desde [IP o FQDN de servidor]:4390.

    Para la configuración de los servicios/puertos que señalas para la traducción WAN-LAN, te recomiendo sigas las indicaciones señaladas en el enlace "Habilitación y configuración de NAT", apartado IPv4-NAT-Interfaz-Página de propiedades.. y otro adicional en el enlace "Configuración de RRAS", apartado "Habilitación y configuración de NAT"

    Más info:
    · Ejemplo de configuración NAT:
    https://technet.microsoft.com/es-es/library/dd469842(v=ws.10).aspx

    Desiderio Ondo || Engineer

    • Marcado como respuesta Instituto sesa jueves, 16 de noviembre de 2017 10:53
    miércoles, 15 de noviembre de 2017 16:17
  • Creo que tiene que haber algún fallo de tanto probar yo, borrar, instalar, borrar, probar etc., porque por más que sigo los pasos parece que está todo bien. Voy a hacer una cosa, voy a formatear y empiezo de cero porque algo tengo que estár dejándome.

    Una pregunta Desiderio, por qué no es bueno modificar el puerto por registro? Cual es la mejor opción?

    por cierto que significa w1.x1.y1.z1

    jueves, 16 de noviembre de 2017 10:56
  • Hola, Instituto sesa:

    Veamos.. no es que sea malo "per se" modificar el puerto RDS por registro. Lo malo es NO documentarlo en la CMDB que incluya la esquemática de la arquitectura de vuestra red corporativa.

    En otras palabras: si no tenéis un esquema de la topología de red donde documentéis  Y actualicéis la metodología de funcionamiento de los servicios principales.. digamos que es malo cambiar los puertos por defecto de los servicios: nadie se acuerda de cómo estaba configurado.

    Respecto a tu pregunta sobre w1.x1.y1.z1.. bueno, tan sólo indicar que es la representación más extendida de un direccionamiento IP, que en arquitectura de redes se simplifica a señalar w1.x1.y1 para señalizar segmentos de red (sublanes o subredes).. y .z1 para representar la IP fija de algún nodo común explícito (impresora, scanner, servidor.. etc). Mejor te recomiendo eches un vistazo a la definición y uso que se le da a los direccionamientos de redes, compañero. Hay mucho que me he dejado en el tintero..

    Más info:
    · Descripción de los conceptos básicos del direccionamiento y las subredes TCP/IP:
    https://support.microsoft.com/es-es/help/164015/understanding-tcp-ip-addressing-and-subnetting-basics

    Desiderio Ondo || Engineer

    jueves, 16 de noviembre de 2017 14:50
  • Gracias por todo Desiderio he aprendido más contigo que con el profesor. eres todo un maestro. Muchas gracias de veras. Me toca hacer pruebas y llevar a cabo todos los consejos. 
    jueves, 16 de noviembre de 2017 23:18