www.it-connect.fr
¿Cómo configuro Windows Server 2025 como enrutador con NAT?
Table of Contents
I. Presentación
Este tutorial explica cómo configurar un servidor con Windows Server 2025 como enrutador. Pero antes de saber cómo, la pregunta que quizás quieras hacerte es: ¿por qué usar una máquina Windows Server como router?
Empecemos por responder a esta primera pregunta. Utilizar una máquina Windows Server como router puede ser útil en un laboratorio virtualizado: puede aislar las máquinas virtuales en una red interna mientras proporciona acceso a Internet a través del router. El router actúa entonces como puente entre la red interna y la red externa, gracias a la presencia de al menos 2 tarjetas de red y una configuración adecuada. A veces utilizo este método en algunos de mis laboratorios. Cuando no es el caso, utilizo un cortafuegos virtual con Pfsense u OPNsense.
A continuación se muestra un ejemplo de implementación de este router en un hipervisor Hyper-V. La plataforma de virtualización no importa, la configuración mostrada no es sólo para Hyper-V.
Windows Server soporta esta funcionalidad de forma nativa a través de su función Routing and Remote Access Service (RRAS). Esto significa que puede utilizarse como router o puerta de enlace VPN (que veremos en un artículo posterior). Sobre el papel, no hay nada que impida utilizar Windows Server como enrutador en producción, aunque personalmente nunca lo he visto (a diferencia de la función VPN que sí se utiliza).
Para seguir este tutorial, necesitas :
- Un equipo con Windows Server 2025 o anterior
- Dos tarjetas de red para interconectar redes (la red virtual interna y la red local física, por ejemplo)
- Acceso de administrador al servidor
- Un buen conocimiento de NAT (porque nuestra configuración se basa en NAT y vamos a configurar el reenvío de puertos)
II. Instalación del rol de acceso remoto en Windows Server
En primer lugar, necesitamos instalar el rol "Acceso Remoto" (RRAS) en Windows Server. Abra el Administrador de servidores y ejecute el asistente para agregar un rol o función desde el menú "Administrar". Sigue los primeros pasos...
En el paso "Roles de servidor", asegúrese de seleccionar el rol denominado "Acceso remoto".
Sáltate el paso de añadir funciones... Continuar...
Debe instalar el servicio de rol denominado "Routing" y aceptar la instalación de las herramientas de administración. En realidad, esto también marcará y por lo tanto instalar el servicio "DirectAccess y VPN (acceso remoto)", que aceptamos.
El servidor Web IIS también se instalará en el servidor (como consecuencia directa de las elecciones realizadas anteriormente). A continuación, puede detener el servidor Web IIS en su router, ya que no es de interés para nuestro propósito de hoy.
Continúe con las opciones predeterminadas.
Inicie la instalación y espere un momento.
Eso es todo, la primera etapa está completa.
III. Configuración de enrutamiento
Para continuar configurando nuestro router, necesitamos configurar el enrutamiento (y NAT). Tras instalar el rol, aparece una advertencia en el Administrador de servidores, invitándonos a iniciar un asistente de configuración. Esto no es útil en nuestro caso, así que puedes ignorarlo.
Sin embargo, desde el menú "Herramientas", debe abrir la consola "Enrutamiento y acceso remoto". Haga clic con el botón derecho del ratón en el nombre del servidor y, a continuación, en "Configurar y activar el enrutamiento y el acceso remoto".
Se inicia un nuevo asistente. Omita el primer paso. A continuación, elija la plantilla de configuración denominada "NAT (Network Address Translation)", a menos que no desee utilizar NAT. En ese caso, puede optar por la configuración personalizada.
A continuación, el asistente le pedirá que seleccione la interfaz de red que está conectada a Internet. Seleccione "WAN" y continúe.
El siguiente paso le avisa de que no se han detectado los servicios DNS y DHCP en la máquina local. Es posible instalar estos dos roles opcionales, pero siguen siendo opcionales. Si está configurando un entorno con Active Directory, es muy probable que el servidor DNS ya esté alojado en el servidor del controlador de dominio. Por lo tanto, es preferible seleccionar la opción "Configuraré los servicios de nombres y direcciones más tarde".
Por último, haga clic en "Finalizar" para validar la configuración. Probablemente aparecerá un error: "El Servicio de Acceso Remoto (RAS) no puede activar el enrutamiento y el acceso remoto por la siguiente razón probable: es imposible abrir puertos...". Simplemente haga clic en "Aceptar", esto no tendrá ningún impacto en el resto del proceso.
Los servicios deberían iniciarse y tu servidor debería mostrar un bonito icono verde, como se muestra en la imagen de abajo.
El router ya está operativo. La mejor manera de comprobarlo es haciendo pruebas.
Desde una máquina conectada directamente a la LAN interna, que tiene una dirección IP fija, un ping a una dirección IP externa funciona correctamente. Si lo deseas, puedes instalar un servidor DHCP en Windows Server, en la misma máquina que el router.
Desde la interfaz de acceso remoto, si haces clic en "IPv4" y luego en "General", podrás ver los contadores de tráfico entrante y saliente de las dos interfaces del router. Esto es una señal de actividad.
La configuración inicial del router en Windows Server ya está terminada. En el resto de este artículo, veremos algunas opciones de configuración adicionales.
IV. Ir más allá con el router Windows Server
A. Creación de una regla de reenvío de puertos
Tomemos el siguiente ejemplo:
- Tiene máquinas virtuales conectadas a su LAN interna, aisladas de la LAN física. Acceden a Internet a través del router (y el mecanismo NAT).
- Tienes una estación de trabajo conectada a la LAN física (en el mismo lado que la interfaz WAN del router): ¿cómo puede acceder directamente a las máquinas virtuales?
La respuesta: el reenvío de puertos para asignar un puerto externo a un puerto interno. En este caso, habilitaremos el acceso RDP a una máquina virtual ubicada en la LAN interna.
A continuación se indican los pasos a seguir.
1 - Para iniciar la configuración, haga clic en "NAT" en "IPv4", aún desde la consola de gestión de enrutamiento.
2 - Haga clic con el botón derecho del ratón en "WAN", ya que se trata de la interfaz externa del router.
3 - Haga clic en "Propiedades".
A continuación, realiza los siguientes pasos:
1 - Haga clic en la pestaña "Servicios y puertos".
2 - Haga clic en el botón "Añadir" para crear una nueva regla desde cero. Tenga en cuenta que si desea redirigir un puerto para una sola VM, del puerto 3389 (externo) al puerto 3389 (interno), correspondiente al RDP, edite directamente la regla "Escritorio remoto". No puede crear 2 reglas con el mismo puerto entrante (externo), por lo que devolverá un error si crea una nueva regla con el puerto 3389.
Aquí, el objetivo será conectarse al puerto "33891" en la dirección IP WAN del router para ser redirigido al puerto "3389" en la VM con la dirección IP "192.168.10.102".
3 - Nombra esta regla.
4 - Configure la regla. Tenga en cuenta que el puerto de entrada corresponde al puerto de la interfaz WAN del router, mientras que el puerto de salida debe corresponder al puerto en el que escucha el servicio en la máquina de destino.
5 - Confirme con el botón "OK".
He aquí un ejemplo:
Nota: si necesita conectarse a otra máquina virtual utilizando RDP, puede elegir otro puerto de entrada, por ejemplo "33892", manteniendo el puerto de salida "3389".
Finalmente, gracias a esta regla, puedo conectarme a la máquina virtual desde una máquina remota. Para ello, es necesario especificar la dirección IP de la interfaz WAN del router y el número de puerto. En mi caso, será 192.168.1.93:33891. El flujo se redirigirá a 192.168.10.102:3389.
B. Salida de filtrado
Por último, veremos otra opción de configuración: el filtrado de flujos salientes. Esto permite a tu router no autorizar ciertos flujos salientes. Por ejemplo, puedes crear una regla para bloquear las conexiones salientes al puerto 80 (HTTP).
En este caso, vamos a rechazar todo el tráfico saliente, excepto el que esté explícitamente autorizado por una regla. Sólo permitiremos los siguientes flujos:
- Tráfico saliente a todas las redes, en los puertos 443 (HTTPS) y 53 (DNS).
- Flujos salientes a la LAN física (192.168.1.0/24), en el puerto 3389 (RDP) para no bloquear las conexiones de Escritorio Remoto a las máquinas virtuales.
Haga clic en "IPv4", en "General" y, a continuación, haga clic con el botón derecho del ratón en "WAN" para acceder a las propiedades de la interfaz.
Se abrirá una nueva ventana. Haga clic en el botón "Filtros de salida" y añada una nueva regla con el botón "Nuevo". Configure su primera regla. Para autorizar los flujos DNS salientes, basta con elegir el protocolo "UDP" y especificar "53" como número de puerto de destino.
Repita la operación para las otras dos reglas. La regla para el puerto 443/TCP (HTTPS) se basa en el mismo principio. Para la tercera regla, es necesario restringir la dirección de destino especificando la dirección de red de la red local física. Esto limitará la autorización a lo estrictamente necesario.
Por último, elija la acción de filtrado denominada "Rechazar todos los paquetes excepto los que cumplan los siguientes criterios".
Confirme con el botón "OK", dos veces. Sus reglas de filtrado ya son efectivas. Ahora sólo tiene que hacer algunas pruebas.
V. Conclusión
Al final, aplicando rigurosamente este procedimiento, ¡deberías ser capaz de configurar un router en Windows Server! Si quieres ir más lejos, también sabrás cómo crear reglas de redirección de puertos o de filtrado de salida. Se trata de dos funciones esenciales para afinar la configuración del router.
