Conexión traducida

En este apartado vamos a estudiar el caso planteándonos una solución de “dificultad media”. Como vimos en el apartado anterior, podríamos simplemente activar la casilla de "Conexión compartida a Internet" en la conexión de red que nos da acceso al exterior, pero optando por esa opción, no explotaríamos todas las opciones del enrutamiento.

Otra opción consiste en seleccionar la opción de instalación personalizada del enrutamiento, pero la dificultad de hacerlo así es muy complejo.

Nosotros vamos a optar por realizar el enrutamiento como una "Conexión traducida a Internet", lo que nos proporciona una idea de las posibilidades que nos ofrece el enrutamiento, para posteriormente poder entender mejor las opciones de enrutamiento más complejas, y poder enfrentarnos a ellas si lo creemos conveniente. Para ver la utilidad de este apartado del curso, vamos a plantearnos algunas situaciones que pueden ser bastante frecuentes tanto en nuestro centro de trabajo como en nuestro domicilio.

1.- Un caso posible es tener una conexión mediante nuestro proveedor de Internet que nos suministra una sola dirección IP, lo cual suele ser habitual tanto en las conexiones de cable como en las de ADSL. En el caso de que sea una conexión mediante MODEM el proceso es similar pero con alguna diferencia.

2.- Una segunda posibilidad es tener asignada una dirección IP única, limitada por un cortafuegos o por un router al que no tenemos acceso para modificar los parámetros deseados.

NOTA: En cualquiera de estos dos casos la dirección que nos asigna el proveedor puede ser estática o dinámica, veremos las diferencias que se nos presentan en cada caso.

Para solucionar estas situaciones en principio podemos considerar 2 posibilidades, aunque puede haber más:

1.- Comprar un router que sirva para el tipo de conexión (ADSL, cable, etc.) de nuestro proveedor. Esta solución es buena pero costosa.

2.- Configurar nuestro Windows 2003 Server para que actúe como router.

NOTA: Obviamente optaremos por esta segunda opción, máxime siendo este un curso sobre Windows 2003 Server.

Así pues debemos hacer que todas las conexiones de los equipos de nuestra red pasen por nuestro servidor, el cual las enrutará dándoles salida a Intenet, esto nos permitirá, por ejemplo, controlar el tráfico de la red, entre otras muchas posibilidades.

Para poder realizar esta operación es necesario disponer en nuestro servidor Windows 2003 de dos tarjetas de red, una de ellas estará conectada a la conexión WAN externa (cable módem, router o clavija de conexión ADSL) y la otra a la electrónica (hub, switch o similar) que nos conecta a la red local LAN.

NOTA: En caso de tener instalado Windows 2003 Server en una máquina virtual, podemos ver el proceso necesario para instalar una segunda tarjeta de red pinchando en aquí.

En este instante procederemos a apagar nuestro servidor Windows 2003 Server, y a continuación realizamos la instalación física de la segunda tarjeta de red en nuestro equipo. Una vez instalada físicamente, procederemos a arrancar nuestro servidor Windows 2003 Server, que reconocerá la existencia de un nuevo hardware en el sistema; si el propio sistema operativo no dispusiera de los drivers de dicha tarjeta, nos los solicitará, procediendo pues a introducir el soporte (CD o disquete) con los drivers de la tarjeta de red recientemente instalada en el equipo, de modo que finalmente quede perfectamente reconocida por el sistema operativo.

Tras ello hemos de proceder a configurar esa segunda tarjeta, así como a reconfigurar la primera de ellas para lograr el fin deseado. A continuación vamos a ver como llevar a cabo la configuración de dichas tarjetas.

En primer lugar hacemos clic con el botón derecho del ratón sobre el icono "Mis Sitios de Red" del "Escritorio" de nuestro Windows 2003 Server y elegimos la opción "Propiedades"; en la ventana mostrada hacemos de nuevo clic con el botón derecho del ratón sobre el icono "Conexión de Área Local" y seleccionamos la opción "Cambiar Nombre", indicando como nuevo nombre "conexion local" y posteriormente nos ubicamos sobre el icono "Conexión de Área Local 2" y seleccionamos la opción "Cambiar Nombre", indicando como nuevo nombre "conexion router".

El primer elemento que hemos de reconfigurar es la tarjeta de red "conexión local", pulsando con el botón derecho del ratón sobre dicho icono y seleccionando la opción "Propiedades", yendo posteriormente a las propiedades del "Protocolo Internet (TCP/IP)" de la tarjeta “conexión local”, y pulsando sobre el botón "Propiedades"; lo que vamos a hacer ahora es indicar el direccionamiento IP que tendrá la red "interna", que no coincidirá con el direccionamiento de la red que conecta al servidor Windows 2003 con el router; deberíamos especificar un nuevo rango de direccionamiento distinto del utilizado por el router; por ejemplo podemos utilizar la red 192.168.1.x/24, pero es MUY IMPORTANTE que dejemos el valor de la "Puerta de enlace predeterminada" en blanco.

NOTA: No confundir la red 192.168.1.x/24, que es la que acabamos de definir para la tarjeta interna del servidor Windows 2003 para formar nuestra red de área local con los equipos del dominio, con la red 192.168.0.x/24, que es la que hemos ido utilizando a lo largo del curso y será la que unirá exclusivamente al servidor Windows 2003 con el router. En este caso el alumno SÍ puede utilizar literalmente los valores de direccionamiento IP indicados para la red interna (la red 192.168.1.x/24), salvo que esa sea su red de enlace con el router.

Aceptamos la configuración de la tarjeta "conexion local" y posteriormente accedemos a las propiedades TCP/IP de la tarjeta de red "conexión router", para proceder a su configuración. En este caso se nos plantean 2 posibilidades.

1.- El proveedor de Internet nos asigna una IP dinámica y también nos proporciona de forma dinámica el servidor DNS. La configuración debería ser la que aparece en la pantalla siguiente, es decir, dejamos activada la opción "Obtener una dirección IP automáticamente", que será proporcionada directamente por nuestro ISP.

En el caso de que el proveedor no nos proporcione de forma remota la dirección DNS, indicaremos de forma estática la que nos indique nuestro ISP activando la casilla "Usar las siguientes direcciones de servidor DNS".

NOTA: Para forzar a que la tarjeta de red "conexion router" reciba una dirección IP, podemos teclear "ipconfig /release" desde una consola MS-DOS, para liberar las posibles asignaciones efectuadas a la tarjeta de la conexión externa y posteriormente "ipconfig / renew" desde dicha consola MS-DOS para que nos asigne una nueva dirección. Si tecleamos "ipconfig /?" desde la consola MS-DOS se muestran todas las opciones de este comando; conviene analizarlas ya que hay opciones muy útiles para renovar las direcciones DHCP y DNS.

2.- Nuestra dirección IP externa es fija (ADSL fija o router, por ejemplo); en este ejemplo utilizaremos la dirección 192.168.0.220/24, es decir 192.168.0.220 y máscara 255.255.255.0, y como puerta de enlace la dirección IP de nuestro router (192.168.0.254), así como los DNS propios de nuestro ISP, tal y como vemos en la siguiente pantalla:

NOTA: Estamos suponiendo, como hemos hecho a lo largo del curso, que la dirección IP interna de nuestro router es 192.168.0.254, de ahí que la IP asociada a la tarjeta de red "conexion router" tenga una dirección IP 192.168.0.220 en dicho rango (la dirección IP de la tarjeta de red del servidor que conecta con el router). Debemos tener presente que estamos realizando NAT entre las tarjetas de red del servidor para garantizar que todo el tráfico de red de salida a Internet pase por nuestro servidor, y por ello la IP del router NO puede estar en el mismo rango que la red interna de los equipos clientes (que será 192.168.1.x, con máscara 255.255.255.0), pues podrían "saltarse" al servidor y "atacar" directamente al router; de ahí que ahora la dirección IP que tendrá el router nunca será alcanzable por los equipos clientes y sólo se llegará a él a través del interface "conexion router" del servidor. Obviamente los valores asociados al direccionamiento IP y la puerta de enlace del interface "conexion router" son un ejemplo, y deben de ser adaptados a los valores propios del entorno en cual se esté trabajando.

Aceptamos la configuración y comprobamos que desde el servidor (no desde el resto de equipos, en este instante) tenemos acceso a Internet de forma correcta.

Si ejecutamos posteriormente desde dicha consola MS-DOS "ipconfig /all" obtendríamos una pantalla con unos datos similares a los siguientes:

NOTA: Hemos de tener presente que además de todo lo indicado hasta este momento, ahora hemos de realizar una modificación física en nuestra red, pues el cable que iba del router a nuestro hub o switch, debe ser desconectado de dicho hub o switch y conectado a la tarjeta de red "conexion router" de nuestro servidor Windows 2003, a fin de imposibilitar físicamente el acceso de cualquier equipo que no sea el servidor al router; de ese modo garantizamos que todo el tráfico de red que va hacia Internet, podrá ser tratado convenientemente en nuestro servidor Windows 2003 Server gracias al servicio de Enrutamiento, pues llegaría inicialmente a la tarjeta de red "conexion local" de nuestro servidor (192.168.1.220), y de ésta tarjeta se hará NAT a la tarjeta "conexion router" del servidor Windows 2003 (192.168.0.220), que será la que conecte con el router y dé salida a la petición de acceso a Internet.

El siguiente paso consiste en realizar la configuración del enrutador de nuestro Windows 2003 Server. Para ello haremos doble clic sobre la opción "Enrutamiento y acceso remoto" a través de las "Herramientas administrativas" del "Panel de Control", mostrándose la siguiente pantalla:

Debajo de "Estado del servidor" aparece nuestro servidor, y en la parte derecha de la pantalla un mensaje que nos indica que debemos configurar el servidor y el acceso remoto; ubicados sobre el servidor "SERVIDOR", pulsamos con el botón derecho del ratón y seleccionamos la opción "Configurar y habilitar el Enrutamiento y acceso remoto" en el menú contextual, iniciándose el asistente de instalación.

La primera ventana es la del asistente del enrutador; pulsamos directamente sobre el botón "Siguiente".

En la nueva ventana seleccionamos la segunda opción, ya que queremos que nuestro servidor realice NAT (es decir, que todos los ordenadores salgan a Internet con la misma dirección IP, pero que el sistema sepa después a que ordenador debe devolver cada consulta realizada).

En la siguiente ventana indicaremos cuales de los interfaces de red de nuestro servidor, es el que nos dará acceso a Internet (la tarjeta externa), en nuestro caso seleccionaremos "conexion router"; posteriormente pulsaremos sobre el botón "Siguiente".

En la última pantalla pulsamos sobre el botón "Finalizar" para completar el proceso de configuración del enrutador.

El sistema reconfigura y reinicia el servicio de enrutamiento durante unos breves instantes.

A partir de este momento el servicio de enrutamiento estará operativo.

A continuación hemos de reconfigurar el servicio DHCP, pues antes daba servicio a la red 192.168.0.x/24, y ahora debe darlo a la red 192.168.1.x/24 (la nueva red interna), indicando además que la puerta de enlace que servirá el DHCP a los clientes, ya no será la IP del router (192.168.0.254) sino la IP del servidor, en su tarjeta "conexion local" (192.168.1.220); para ello abrimos el servidor "DHCP" mediante las "Herramientas Administrativas" del "Panel de Control", y nos ubicamos sobre la entrada "Ámbito [192.168.0.220]", pulsamos sobre él con el botón derecho del ratón y a continuación seleccionamos la opción "Eliminar".

NOTA: Antes de eliminar el ámbito se muestra una pantalla pidiendo confirmación; pulsaremos sobre el botón "Sí" para confirmar que deseamos borrar el ámbito especificado.

Posteriormente debemos crear un nuevo ámbito, tal y como se indicó en su momento en el apartado correspondiente a la configuración del DHCP, pero ahora indicaremos como rango a servir el comprendido entre 192.168.1.1 a 192.168.1.200, con máscara de 24 bits (255.255.255.0), como puerta de enlace especificamos la dirección IP de la tarjeta de red "conexion local" del servidor Windows 2003 (192.168.1.220) y como servidor DNS de nuevo la dirección IP de la tarjeta de red "conexion local" del servidor Windows 2003 (192.168.1.220), el resto de opciones seguirán siendo las mismas.

A partir de este momento y podríamos comprobar desde uno de nuestros ordenadores clientes que se conectan a Internet perfectamente, a través de nuestro servidor; si sobre nuestro equipo cliente lanzamos el comando "ipconfig /all" desde una ventana de MS-DOS, observaremos que el direccionamiento IP de dicho equipo cliente está en la red 192.168.1.x/24, que no alcanza la red del router (192.168.0.x/24), y sin embargo es capaz de navegar gracias al NAT del servicio de enrutamiento de nuestro servidor Windows 2003.

Por ejemplo esta es la pantalla correspondiente a un equipo cliente con S.O. Windows XP Professional que ha accedido a la página web del CNICE haciendo NAT al servidor Windows 2003, y al que le ha sido proporcionado de forma automática la dirección IP, la puerta de enlace y el servidor DNS mediante el servicio DHCP.

Vamos a volver a la configuración de nuestro enrutador del servidor Windows 2003, de modo que vamos a detenerlo, pulsando sobre el mismo con el botón derecho del ratón y seleccionando la opción "Todas las tareas" y luego la subopción "Detener".

Podemos comprobar desde el equipo cliente que antes navegaba adecuadamente, que ahora no podemos salir a Internet.

Sin embargo si que se llega con un "ping" desde el equipo cliente Windows XP Professional a la tarjeta de red "conexion local", tal y como vemos en la siguiente imagen.

Tras hacer esta comprobación volveremos a iniciar el servicio de "Enrutamiento" que antes habíamos detenido para que los equipos clientes vuelvan a tener correcta salida a Internet pulsando sobre el mismo con el botón derecho del ratón y seleccionando la opción "Todas las tareas" y luego la subopción "Iniciar".

No debemos olvidarnos que teníamos instalados en nuestro servidor los servicios de DHCP y de DNS, hemos recreado el ámbito del servicio DHCP y comprobado que funciona, pero no hemos visto si han sido modificados de alguna forma por el servicio de enrutamiento, vamos a comprobarlo. Para ello accedemos al servicio "DHCP" a través de las "Herramientas Administrativas" del "Panel de Control", nos ubicamos sobre el "SERVIDOR" y pulsamos sobre él con el botón derecho del ratón, seleccionando la opción "Propiedades", y en la nueva ventana que se muestra nos ubicamos sobre la pestaña "Opciones avanzadas".

Pinchamos sobre el botón "Enlaces" y vemos que nuestras dos conexiones de red "conexion local" y "conexion router" están activadas; esto implica que nuestro DHCP dará servicio a ambos interfaces de red; parece claro que este servicio sólo debe estar disponible para la "conexion local", luego desactivamos la casilla correspondiente a "conexion router", tal y como vemos en la siguiente imagen. Finalmente pulsamos sobre el botón "Aceptar" para completar el proceso.

Tras ello reiniciamos el servidor "DHCP", ubicándonos sobre el "SERVIDOR" y pulsando sobre él con el botón derecho del ratón, para seleccionar la opción "Todas las tareas" y luego "Reiniciar".

Este planteamiento podríamos extenderlo al servidor DNS, luego vamos a analizar que ha ocurrido con él después de habilitar el enrutamiento. Así pues accedemos a las "Herramientas Administrativas" del "Panel de Control" y hacemos doble clic sobre el icono "DNS". Una vez en la nueva ventana nos ubicamos sobre el servidor "SERVIDOR", y pulsando con el botón derecho del ratón sobre el mismo, seleccionamos la opción "Propiedades".

En la nueva ventana mostrada nos ubicamos sobre la pestaña "Interfaces" y vemos que aparecen 2 direcciones IP que serán atendidas por nuestro servidor DNS, la de la tarjeta "conexion local" (192.168.1.220) y la correspondiente a la tarjeta "conexion router" (192.168.0.220), tal y como vemos en la siguiente pantalla.

Para que el servidor DNS sólo preste servicio a la tarjeta de red "interna" activamos el radio botón "Sólo las siguientes direcciones IP", y a continuación seleccionamos la dirección IP "192.168.0.220", pulsando finalmente sobre el botón "Quitar", de modo que sólo quede especificada únicamente la dirección IP "192.168.1.220"; para completar el proceso pulsamos sobre el botón "Aceptar".

Finalmente reiniciamos el servidor DNS para que los cambios surtan efecto; para ello nos ubicamos sobre el servidor DNS y a continuación seleccionamos la opción "Todas las tareas", para posteriormente elegir la subopción "Reiniciar".

Por último vamos a ver como instalar y utilizar una herramienta que viene incorporada en Windows 2003 Server que se denomina "Monitor de red" y que nos permitirá estudiar el tráfico de red y la carga del mismo que va a soportar nuestro servidor. Para instalarlo accederemos a la opción "Agregar o quitar componentes de Windows" dentro del menú de "Agregar o quitar programas" del "Panel de Control".

En la pantalla mostrada nos situamos sobre "Herramientas de administración y supervisión", sin marcar dicha casilla, y pulsamos a continuación sobre el botón "Detalles".

En la pantalla que se muestra a continuación activamos al casilla correspondiente a "Herramientas del monitor de red", pulsamos a continuación sobre el botón "Aceptar", y de vuelta en la ventana anterior pulsamos sobre el botón "Siguiente", comenzando en ese instante la instalación de la aplicación "Monitor de red" en nuestro servidor Windows 2003.

NOTA: Durante el proceso de instalación deberemos introducir el CD de Windows 2003 Server.

Una vez completado el proceso pulsaremos sobre el botón "Finalizar" para dar por concluida la instalación del "Monitor de Red".

NOTA: Tras completarse la instalación procedemos a retirar el CD de Windows 2003 Server de la unidad correspondiente donde fue insertado anteriormente.

A partir de este momento ya tenemos un nuevo icono disponible, correspondiente al "Monitor de Red", en las "Herramientas Administrativas" del "Panel de Control". Si lanzamos dicha aplicación aparece una ventana de aviso de que debemos especificar una red para hacer uso de la aplicación, en la cual pulsaremos sobre el botón "Aceptar"; posteriormente se mostrará una nueva ventana en la que seleccionaremos el interface de red del que deseamos analizar el tráfico; en nuestro caso seleccionamos "conexion local" y luego pulsaremos sobre el botón "Aceptar".

NOTA: Cada adaptador es fácilmente identificable mediante su dirección MAC, valor este especificado en la zona derecha de dicha pantalla.

Se muestra a continuación la siguiente pantalla, en la que seleccionamos la opción "Capturar" y posteriormente "Iniciar", comenzaremos a ver el tráfico que pasa a través de la tarjeta seleccionada.

Cuando deseemos parar la captura del tráfico sobre la tarjeta, seleccionamos la opción "Capturar" y posteriormente "Detener" o bien "Detener y ver".

Seleccionando la opción "Detener y ver" se mostrará una ventana similar a la siguiente, con todo el tráfico de red capturado que ha pasado por el interface de red indicado en el periodo de tiempo monitorizado.

Esto es solo parte de la información que podemos visualizar, realmente podemos saber casi todo sobre las conexiones, pulsando en la pantalla anterior sobre cualquiera de las tramas que aparecen tendremos una descripción mucho mas completa de la misma, tal y como vemos en la siguiente imagen.

Cuando cerramos la pantalla de la captura que estamos realizando o queramos comenzar una nueva captura, se mostrará la siguiente pantalla que nos permite guardar la captura para poder analizarla posteriormente; en nuestro caso no la almacenaremos, sino que pulsaremos sobre el botón "No".

El monitor de red es una herramienta que nos servirá de gran utilidad para poder analizar posibles fallos en la red. Solo hemos intentado dar una visión sobre el enrutamiento y el monitor de red sin meternos en demasiadas profundidades ya que sobre cualquiera de ellos se podría escribir muchísimo más, y seguro que no llegaríamos a abarcar todas las posibilidades existentes.