none
Como hacer que usuarios externos mi servidor dns les de internet? RRS feed

  • Pregunta

  • saludos, la pregunta es la siguiente:

    1. tengo un router adsl con ip :10.21.59.1y pegados a ese router tengo usuarios con ips fijas en ese mismo rango
    2. Tengo un servidor win server 2003 standar con DNS, DHCP y esta sirviendo de NAT a la red local 10.21.58.x, este servidor tiene dos tarjetas una para la red interna que es la 10.21.58.3 y la otra tarjeta tiene una ip publica que me suministra mi isp. los usuarios locales tienen internet

    mi pregunta es, como hago para que la red 10.21.59.X se loguen al domino en winserver 2003 y tengan internes desde ese punto??

    domingo, 27 de junio de 2010 23:06

Respuestas

  • Partiendo de que hay conectividad entre ambas redes, para poderse unir al dominio es imprescindible que los clientes de la red 10.21.59.0 tengan como servidor DNS la ip interna del servidor 2003 (la 10.21.58.3). Con esto ya pueden acceder al dominio.

    Para acceder esos clientes a internet necesitan dos cosas: una, la puerta de enlace que les conecte a internet, que por rendimiento, lo suyo es que les pongas la del adsl propio (10.21.59.1).

    Lo segundo que necesitan es resolver direcciones de internet; pero como su único DNS debe ser la ip del servidor 2003, lo que hay que hacer es que éste les devuelva la resolución de nombres de internet. Para ello, en el servidor 2003 tienes que configurar en primer lugar que tenga salida a internet, poniéndole como puerta de enlace predeterminada la correspondiente a su propia conexión a internet (la del router que tenga en esa segunda conexión de red). Y en el servidor tienes que abrir la consola de administración DNS y establecer como reenviadores las ip de los servidores DNS del proveedor de internet (o unos DNS públicos).

    Sin embargo, todavía no funcionaría el invento. Como para los equipos de la primera red su puerta de enlace predeterminada es la ip del router de su red, y para el servidor de la segunda red lo es la ip de su propio router, ni los equipos de la red 10.21.59.0 ven al servidor ni el servidor a los de la red 10.21.59.0. Para solventarlo tienes que añadir entradas a la tabla de rutas de los equipos. Esto dependerá de lo que uses para conectar ambas redes, pero básicamente lo que tienes que hacer es, en el servidor, añadir a la tabla de enrutamiento una entrada a la red 10.21.59.0 que apunte a la ip del dispositivo que le conecta con aquella red, y en la red 10.21.59.0 tienes que hacer lo mismo. Sin embargo, en esta red tienes múltiples equipos, por lo que tienes dos opciones:

    - Si el router con el que salen a internet en la red 10.21.59.0 tiene posibilidades de configuración de enrutamiento avanzado (los CISCO/Linksys caseros lo tienen, por ejemplo), entonces en el propio router defines una entrada para que el tráfico dirigido a la red 10.21.58.0 lo envíe a la dirección ip del dispositivo que conecta la red 10.21.58.0 a la 10.21.59.0. Esta es la opción más cómoda, ya que sólo lo tendrías que hacer en el router.

    - Si éste no permite este tipo de configuración, entonces tendrías que editar uno a uno la tabla de rutas de cada equipo de esa red 10.21.59.0, añadiendo esa misma entrada con el comando:

    ROUTE ADD 10.21.58.0 MASK 255.255.255.0  10.21.59.99

    que básicamente quiere decir que cuando el equipo envíe paquetes a un host de la red 10.21.50.0 con esa máscara, en lugar de hacerlo a la puerta de enlace predeterminada se lo envía a la ip 10.21.59.99, suponiendo que esa es la ip del dispositivo que le conecta a la red 10.21.58.0.

    Por último, como las modificaciones a la tabla de rutas local se pierden al cerrar la sesión, en lugar de teclearlo a mano ponles un fichero .bat que se ejecute al inicio de sesión de esos clientes con esa linea como contenido.

    Evidentemente, la opción más cómoda de las dos es la primera, pero el router tiene que soportarlo. En el caso del servidor, con que añadas esa línea a la tabla de rutas del servidor es suficiente, ya que su router no tiene acceso a la red 10.21.59.0. Si además quieres que en la red 10.21.58.0 los clientes tuvieran acceso a su internet (a través del servidor) y a los equipos de la otra red, tendrías que modificar la tabla de rutas de cada cliente de forma similar.

    Un saludo 


    Saludos José Antonio Quílez http://msmvps.com/blogs/quilez/
    lunes, 28 de junio de 2010 16:16
    Moderador
  • Hola, la verdad es que entendí tu planteamiento de otra manera.

    Para lo que me expones, la mejor solución, a mi parecer, es instalar en el servidor un software proxy, de tal forma que a los clientes de la red 10.21.59.0 (y de paso se lo haces también a los otros) les pones en la configuración de internet explorer como proxy la ip interna del servidor (10.21.58.3). De esta forma, además de permitir salir a internet tanto a una como a otra red, vas a poder controlar quien sale, si así lo quieres, y que servicios de internet permites, aparte de ahorrar ancho de banda, ya que podrás tener en el servidor una caché de lo descargado, evitando que distintos usuarios lo descarguen más de una vez.

    Tienes distintos softwares de proxy/cortafuegos, pero como estamos aquí, te puedo recomendar el de Microsoft, antiguamente ISA Server, y ahora llamado Forefront Threat Management Gateway 2010, y que puedes evaluar de forma gratuita descargándolo desde el siguiente enlace:

    http://technet.microsoft.com/es-es/evalcenter/ee423778.aspx

    Saludos


    Saludos José Antonio Quílez http://msmvps.com/blogs/quilez/
    jueves, 1 de julio de 2010 16:29
    Moderador

Todas las respuestas

  • Hola George,

    Para poder conectar ambas redes hay que ver como esta todo fisicamente. Por lo que creo entender la red 10.21.59.0 esta situada en un lugar diferente de la 10.21.58.0. Si es asi lo ideal seria montar una VPN entre ambos sitios, definido esto, podrías hacer que los equipos del tramo 10.21.59.x trabajaran en el dominio. Respecto a la conexión a internet, seria igual una vez tienes acceso a la red 10.21.58.0 podrías hacer que navegaran a internet a traves de tu server, pero quizas esta no seria la solución óptima, ya que creo que seria mejor a nivel de rendimiento salir utilizando el adsl local (10.21.59.1).

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio
    lunes, 28 de junio de 2010 10:54
  • Partiendo de que hay conectividad entre ambas redes, para poderse unir al dominio es imprescindible que los clientes de la red 10.21.59.0 tengan como servidor DNS la ip interna del servidor 2003 (la 10.21.58.3). Con esto ya pueden acceder al dominio.

    Para acceder esos clientes a internet necesitan dos cosas: una, la puerta de enlace que les conecte a internet, que por rendimiento, lo suyo es que les pongas la del adsl propio (10.21.59.1).

    Lo segundo que necesitan es resolver direcciones de internet; pero como su único DNS debe ser la ip del servidor 2003, lo que hay que hacer es que éste les devuelva la resolución de nombres de internet. Para ello, en el servidor 2003 tienes que configurar en primer lugar que tenga salida a internet, poniéndole como puerta de enlace predeterminada la correspondiente a su propia conexión a internet (la del router que tenga en esa segunda conexión de red). Y en el servidor tienes que abrir la consola de administración DNS y establecer como reenviadores las ip de los servidores DNS del proveedor de internet (o unos DNS públicos).

    Sin embargo, todavía no funcionaría el invento. Como para los equipos de la primera red su puerta de enlace predeterminada es la ip del router de su red, y para el servidor de la segunda red lo es la ip de su propio router, ni los equipos de la red 10.21.59.0 ven al servidor ni el servidor a los de la red 10.21.59.0. Para solventarlo tienes que añadir entradas a la tabla de rutas de los equipos. Esto dependerá de lo que uses para conectar ambas redes, pero básicamente lo que tienes que hacer es, en el servidor, añadir a la tabla de enrutamiento una entrada a la red 10.21.59.0 que apunte a la ip del dispositivo que le conecta con aquella red, y en la red 10.21.59.0 tienes que hacer lo mismo. Sin embargo, en esta red tienes múltiples equipos, por lo que tienes dos opciones:

    - Si el router con el que salen a internet en la red 10.21.59.0 tiene posibilidades de configuración de enrutamiento avanzado (los CISCO/Linksys caseros lo tienen, por ejemplo), entonces en el propio router defines una entrada para que el tráfico dirigido a la red 10.21.58.0 lo envíe a la dirección ip del dispositivo que conecta la red 10.21.58.0 a la 10.21.59.0. Esta es la opción más cómoda, ya que sólo lo tendrías que hacer en el router.

    - Si éste no permite este tipo de configuración, entonces tendrías que editar uno a uno la tabla de rutas de cada equipo de esa red 10.21.59.0, añadiendo esa misma entrada con el comando:

    ROUTE ADD 10.21.58.0 MASK 255.255.255.0  10.21.59.99

    que básicamente quiere decir que cuando el equipo envíe paquetes a un host de la red 10.21.50.0 con esa máscara, en lugar de hacerlo a la puerta de enlace predeterminada se lo envía a la ip 10.21.59.99, suponiendo que esa es la ip del dispositivo que le conecta a la red 10.21.58.0.

    Por último, como las modificaciones a la tabla de rutas local se pierden al cerrar la sesión, en lugar de teclearlo a mano ponles un fichero .bat que se ejecute al inicio de sesión de esos clientes con esa linea como contenido.

    Evidentemente, la opción más cómoda de las dos es la primera, pero el router tiene que soportarlo. En el caso del servidor, con que añadas esa línea a la tabla de rutas del servidor es suficiente, ya que su router no tiene acceso a la red 10.21.59.0. Si además quieres que en la red 10.21.58.0 los clientes tuvieran acceso a su internet (a través del servidor) y a los equipos de la otra red, tendrías que modificar la tabla de rutas de cada cliente de forma similar.

    Un saludo 


    Saludos José Antonio Quílez http://msmvps.com/blogs/quilez/
    lunes, 28 de junio de 2010 16:16
    Moderador
  • Partiendo de que hay conectividad entre ambas redes, para poderse unir al dominio es imprescindible que los clientes de la red 10.21.59.0 tengan como servidor DNS la ip interna del servidor 2003 (la 10.21.58.3). Con esto ya pueden acceder al dominio.

    Para acceder esos clientes a internet necesitan dos cosas: una, la puerta de enlace que les conecte a internet, que por rendimiento, lo suyo es que les pongas la del adsl propio (10.21.59.1).

    Lo segundo que necesitan es resolver direcciones de internet; pero como su único DNS debe ser la ip del servidor 2003, lo que hay que hacer es que éste les devuelva la resolución de nombres de internet. Para ello, en el servidor 2003 tienes que configurar en primer lugar que tenga salida a internet, poniéndole como puerta de enlace predeterminada la correspondiente a su propia conexión a internet (la del router que tenga en esa segunda conexión de red). Y en el servidor tienes que abrir la consola de administración DNS y establecer como reenviadores las ip de los servidores DNS del proveedor de internet (o unos DNS públicos).

    Sin embargo, todavía no funcionaría el invento. Como para los equipos de la primera red su puerta de enlace predeterminada es la ip del router de su red, y para el servidor de la segunda red lo es la ip de su propio router, ni los equipos de la red 10.21.59.0 ven al servidor ni el servidor a los de la red 10.21.59.0. Para solventarlo tienes que añadir entradas a la tabla de rutas de los equipos. Esto dependerá de lo que uses para conectar ambas redes, pero básicamente lo que tienes que hacer es, en el servidor, añadir a la tabla de enrutamiento una entrada a la red 10.21.59.0 que apunte a la ip del dispositivo que le conecta con aquella red, y en la red 10.21.59.0 tienes que hacer lo mismo. Sin embargo, en esta red tienes múltiples equipos, por lo que tienes dos opciones:

    - Si el router con el que salen a internet en la red 10.21.59.0 tiene posibilidades de configuración de enrutamiento avanzado (los CISCO/Linksys caseros lo tienen, por ejemplo), entonces en el propio router defines una entrada para que el tráfico dirigido a la red 10.21.58.0 lo envíe a la dirección ip del dispositivo que conecta la red 10.21.58.0 a la 10.21.59.0. Esta es la opción más cómoda, ya que sólo lo tendrías que hacer en el router.

    - Si éste no permite este tipo de configuración, entonces tendrías que editar uno a uno la tabla de rutas de cada equipo de esa red 10.21.59.0, añadiendo esa misma entrada con el comando:

    ROUTE ADD 10.21.58.0 MASK 255.255.255.0  10.21.59.99

    que básicamente quiere decir que cuando el equipo envíe paquetes a un host de la red 10.21.50.0 con esa máscara, en lugar de hacerlo a la puerta de enlace predeterminada se lo envía a la ip 10.21.59.99, suponiendo que esa es la ip del dispositivo que le conecta a la red 10.21.58.0.

    Por último, como las modificaciones a la tabla de rutas local se pierden al cerrar la sesión, en lugar de teclearlo a mano ponles un fichero .bat que se ejecute al inicio de sesión de esos clientes con esa linea como contenido.

    Evidentemente, la opción más cómoda de las dos es la primera, pero el router tiene que soportarlo. En el caso del servidor, con que añadas esa línea a la tabla de rutas del servidor es suficiente, ya que su router no tiene acceso a la red 10.21.59.0. Si además quieres que en la red 10.21.58.0 los clientes tuvieran acceso a su internet (a través del servidor) y a los equipos de la otra red, tendrías que modificar la tabla de rutas de cada cliente de forma similar.

    Un saludo 


    Saludos José Antonio Quílez http://msmvps.com/blogs/quilez/

    jose antonio muchas gracias, pero te comento que el router adsl no tiene internet solo hace las veces de conectar con la red 10.21.58.x, los usuarios conectados a la red 10.21.59.x hacen ping a la 10.21.58.3 e incluso ven carpetas en esa red, lo unikco es que mi servidor 10.21.58.3 debe enviarles servicio httppara que puedan navegar, esa configuracion en mi server no se como hacerla
    lunes, 28 de junio de 2010 16:53
  • Hola, la verdad es que entendí tu planteamiento de otra manera.

    Para lo que me expones, la mejor solución, a mi parecer, es instalar en el servidor un software proxy, de tal forma que a los clientes de la red 10.21.59.0 (y de paso se lo haces también a los otros) les pones en la configuración de internet explorer como proxy la ip interna del servidor (10.21.58.3). De esta forma, además de permitir salir a internet tanto a una como a otra red, vas a poder controlar quien sale, si así lo quieres, y que servicios de internet permites, aparte de ahorrar ancho de banda, ya que podrás tener en el servidor una caché de lo descargado, evitando que distintos usuarios lo descarguen más de una vez.

    Tienes distintos softwares de proxy/cortafuegos, pero como estamos aquí, te puedo recomendar el de Microsoft, antiguamente ISA Server, y ahora llamado Forefront Threat Management Gateway 2010, y que puedes evaluar de forma gratuita descargándolo desde el siguiente enlace:

    http://technet.microsoft.com/es-es/evalcenter/ee423778.aspx

    Saludos


    Saludos José Antonio Quílez http://msmvps.com/blogs/quilez/
    jueves, 1 de julio de 2010 16:29
    Moderador