Como abrir (redirigir) puertos en Windows Server 2003 con Enrutamiento y Acceso Remoto RRAS – Aprendelo descargando este videotutorial gratis
Esta es una tarea necesario y sencilla, pero que resulta que pasa muy desapercibida en muchos casos no sé si por su falta de aplicación o porque resulta muy elemental pero no he encontrado información especifica sobre esto en internet que diga claramente como debemos proceder a la hora de redirigir puertos (abrirlos) hacia ciertos equipos de la red. Estoy comprobando ahora mismo que los equipos virtuales me requieren de activación y puesto que no quiero desperdiciar licencias en estas cosas tendreis que esperar un poco a que pueda reinstalar un sistema servidor para haceros el video.
Paso a explicar a continuación como debemos proceder para abrir un puerto hacia un equipo de la red interna en un Windows server standard sin ISA Server ni cosas así simplemente utilizando la herramienta de Enrutamiento y Acceso Remoto.
Para abrir un puerto o redirigirlo deberemos dirigirnos a la herramienta administrativa Enrutamiento y acceso remoto que podemos encontrar en:
Inicio -> Herramientas Administrativas -> Enrutamiento y acceso remoto
Una vez en en la herramienta observamos una división en la pantalla a la izquierda podemos fijarnos que aparece un árbol cuya primera opción es Enrutamiento y acceso remoto, tras esta desplegando el arbol encontramos Estado del servidor y nuestro servidor por su nombre. Expandamos nuestro servidor y aparecen cuatro opciones más, Interfaces de red, Enrutamiento IP, Directivas de acceso remoto y Registro de acceso remoto. Ahora expandimos Enrutamiento Ip y de nuevo cuatro opciones más, yo me voy a dedicar a explicar lo que interesa sin hablar del resto de opciones y que en ese caso podría escribir muchos articulos sobre Enrutamiento y acceso remoto. Las opciones que se nos presentan en esta ocasión son General, Rutas estáticas, IGMP y Servidor de seguridad.
Ya nos queda poco, bién, yo tengo la buena costumbre de nombrar a las redes del servidor (monto dos tarjetas de red para poder filtrar mejor el tráfico y proteger mejor la red interna) de una forma muy sencilla y que no deja lugar a dudas, la tarjeta de red que me conecta a la red interna la nombro LAN y la que conecta con Internet la llamo WAN, es una tontería pero a mi me funciona. En mi caso abriría las propiedades de WAN, pero en el vuestro debereis abrir las propiedades de la tarjeta de red que conecta con Internet se llame como se llame.
Abiertas las propiedades salen muchas cosas, digo esto porque ahora vamos a abrir puertos y no vamos a aplicar ni filtros ni a realizar otras configuraciones que no vienen a cuento… así que nos fijamos en las pestañas y seleccionamos la que se llama Servicios y puertos y vemos algo parecido al firewall de Windows Xp, bueno abajo unos botoncitos muy apañaos, Agregar, Modificar y Eliminar.
Pulsamos en agregar y se abre un cuadro muy básico que nos va a permitir redirigir/abrir los puertos a un equipo de la red interna. Tenemos estas opciones: (las relleno a modo de ejemplo)
Descripción del servicio: Emule TCP
Protocolo: TCP
Puerto de entrada: 4462
Dirección privada: 192.168.1.47 (por ejemplo cada uno que ponga la Ip del equipo para el que queremos abrir el puerto)
Puerto de salida: 4462
Y bien hecho esto le hemos dado al equipo 192.168.1.47 la posibilidad de realizar conexiones a través del puerto por defecto del emule que es el 4462 en TCP (vamos, si mal no recuerdo) asi que agregando un nuevo servicio Emule UDP en puerto 4472 a la misma maquina esta podrá descargar con el emule sin problemas obteniendo ID Alta.
Y hecho es muy probable QUE NO FUNCIONE ya que antes debermos redirigir los puertos de nuestro router hacia el servidor si no este… no puede salir por estos y da igual que abramos todo porque aún estará el firewall del router bloqueandolos, así que ya cada uno los abre en el router y comprueba que todo funciona perfectamente y ya hemos podido abrir los puertos.
Vídeo tutorial realizado y mejorado el 25 de Junio de 2009
IMAGENES DEL VIDEO
Descargar Videotutorial
Y si te ha gustado comparte la descarga en tu web/blog o foro habitual: http://www.megaupload.com/?d=RMQL53HJ
Un saludo, espero que os resulte útil la info, para cualquier duda ya sabeis, a preguntar que es gratis.
Dos primos luchan contra la tecnología » Blog Archive » Microsoft Internet Security and Acclaration Server (ISA Server) Planeamiento
[...] firewall para controlar un poco las conexiones como podemos ver en un articulo de este blog Redirigiendo (abriendo) puertos en Windows Server 2003 – Video + Narración. ARTICULO EN [...]
Javier
Hola que tal tengo una pregunta yo comparto el internet atravez de isa server 2003, en uno de mis equipos necesito conectar a un servidor de citrix metaframe con direccion de dominio publico ques la sig. http://201.140.158.72/Citrix/Metaframe/auth/login.aspx
me pide que instale un cliente de citrix, lo instalo, despues trato deconectarme pero me marca que no esta disponible el servidor esto es cuando ya pongo usuario y contraseña, estube investigando y al parecer citrix maneja un puerto que es el 1494 y parece que con eso se soluciona el problema,
la cosa es que no soy experto, es mas nunca habia utilzado el isa server y quisiera ver si me puedes ayudar desde el inicio, vi el video para abrir los puertos pero capte que ya se habia hecho un movimiento antes pues le diste propiedades a la casilla de ares windows vista que ya habias hecho con anteriodidad ojala me pudieras ayudar te lo agrdesco mucho por tu tiempo
Pablo Martinez
No esa casilla no es nada, es olamente una prueba que hice antes para mostrarlo en el video, crea una nueva regla y ya esta, de todas formas si lo haces a través de un ISA tendrás que abrir el puerto en ISA, tienes mas info aquí:
El artículo del mes – ISA Server 2006
Ahí tienes todo lo que he explicado sobre ISA Server, ahora me pillas muy muy apurado de tiempo, si no das con la tecla no podré contestarte ya hasta el Lunes, tengo que mudar los servidores y estoy cerrando todo, casualmente entre para revisar si alguién pedía algo para advertir que hasta el Lunes no puedo responder como es debido.
De todas formas a lo mejor algún lector se anima a contestar mas ampliamente.
Un saludo.
Javier
Hola pablo nuevamente molestandote con esto de isa pero antes te agradesco por la informacion para abrir puertos en isa ya logre entrar al servidor del citrix y ya no tengo ningun problema con eso gracias otra vez. ahora mi problema es con una pagina del Imss (Instituto Mexicano del seguro social) de un programa llamado idse que es una firma digital que trabaja con enconoligia ide.
pues bien el problema es el siguiente, pasa que detras del isa me puedo loguiar con el certificado digital usuario y contraseña entro sin ningun problema pero cuando quiero enviar cualquier informacion ya sea una alta una modificacion o lo que trate de enviar resulta un mensaje que dice “error al comunicarse con el servidor” esto es detras del isa si me conecto delante del isa no tengo ningun problema puedo enviar sin ningun error, crees que me puedas ayudar ,quiza hace falta una modificacion de configuracion del isa la pag del idse es la sig http://idse.imss.gob.mx/imss/
espero que me puedas ayudar con alguna idea o alguntutorial o manual del isa por que creo que lo voy a necesitar mucho jeje te agradesco mucho de antemano
Pablo Martinez
Puede ser que tengas alguna directiva sobre IExplorer que te impida trabajar con ese certificado?
Tendría que mirarlo lo que pasa es que ahora mismo tengo unos problemas bastante “molestos” intentando agregar un equipo a un dominio (si, tan simple y estoy todo el día peleandome a ver que hago) y necesito solucionar ese problema porque es mi propio equipo de trabajo que algo le paso con la red.
Un saludo y gracias y si puedes y no es molestía vuelve a escribirme en un par de dias yque ya lo habré solucionado todo y trato de simularlo en la oficina.
Gracias por tu confianza.
Javier
Hola pablo escribiendote nuevamente y esperando que te encuentres bien y hallas podido resolver tu bronca con tu dominio me paso algo similar a tu problema pero ya lo pude resolver.
entrando en materia me comentaste algo de una directiva con el certificado en iexplorer eso donde lo podria checar tiene q ver con el isa server??? ahora, he visto q en las herramientas administrativas viene algo de edentidad emisora de certificados no tendra algo q ver???
yo se lo atribuyo al isa por lo q comente anteriormente con la misma maquina con el mismo Provedor de internet pero con la diferencia del isa, es decir detras del isa no me puedo enviar la firma digital y sin las restricciones del isa lo puedo hacer sin ningun problema
Pablo Martinez
Pues lo del dominio solucionado, no sé porque extraño motivo he tenido que restaurar el sistema al punto de restauración mas antiguo que tenía porque no había forma de unirlo… vete tu a saber.
Ahora mismo me pillas fuera de juego, por decir algo pero no me hagas mucho caso ¿Tienes habilitada la navegación via SSL? es por decir algo, el tema de los certificados la verdad que no lo tengo muy claro que digamos.
Mira otra cosa, no recuerdo muy bien (tengo peleas con unas cosas estos dias y digamos que no termino de estar muy centrado)pero tal vez tengas directivas para añadir esa web o dominio a los sitios de confianza de Internet Explorer y tal vez así te resuelva el problema.
ira, buscando un poquito las directivas he encontrado esta:
Configuración de Usuario
-> Configuración de Windows
-> Mantenimiento de Internet Explorer
-> Seguridad
Y aquí dentro tienes:
1. Zonas de seguridad y clasificación de contenido
2. Configuración de Authenticcode
Me salta una advertencia al tratar de modificar la configuración de Zona de seguridad y clasificación de contenido pero no sé como afectará esto a Internet Explorer 7 ya que requiere seguridad mejorada.
A ver si en un ratito puedo hecharle un vistazo a ISA y te comento algo.
Un saludo y disculpame por estos dias que ando escaso de ocurrencias pero tengo una fiesta con eso de reimplantar la red de la empresa que no veas.
Pablo Martinez
Acabo de mirar en ISA que podemos crear una regla que habilite todo el tráfico desde la red interna a un dominio/Web/URL de Internet y tal vez esto te sirva aunque claro, siempre es mejor abrir lo unicamente necesario pero siendo esta la web de la seguridad Social…
De todas formas creo que puede ser una opción si no fija si temporal hasta que demos con una solución mas acertada, a ver si saco un ratito y hecho un vistazo por la red.
Añado, pienso que con los filtros de suplantación de identidad de IExplorer 7 no debes de tener ningún problema.
Saludos
bernardo
Buen dia, vi su problema con el idse y yo tengo uno muy parecido, creé un dominio y de las computadoras que estan dentro no puedo dar de alta ni baja a nadie en el idse, pero si me salgo del dominio si puedo, me sale el mismo error del servidor, lo que creo que es, es que el puerto por el cual accesamos al servidor esta cerrado, tendriamos que averiguar cual es, pero creanme que llevo ya mas de un mes sin averrguarlo.
seguimos en la lucha.
saludos
Pablo Martinez
Para esos casos mejor desconectar la red de Internet y hacer pruebas desactivando cualquier firewall o software de seguridad que pueda generar dichos problemas.
Pero ojo, muy importante, desconectar la red de Internet nunca sabemos cuando podemos sufrir un ataque desde el exterior.
Un saludo.
julio
Tengo el mismo problema al acceder al portal del idse, tengo isa server 2006 y al tiempo de enviar informacion al sitio aparece el mensaje “error al comunicarse con el servidor”, me he comunicado con personal de sistemas del imss para averiguar que puerto debo abrir en isa server para no tener problemas pero ni ellos lo saben, al parcer el sitio no contemplo la configuracion para redes detras de servidores de seguridad como isa.
y no es buena idea sacar a la red interna del perimetro del isa, el riesgo es alto.
por otro lado, se que el nivel de seguridad de ie debe estar personalizado para permitir toda a ctividad a controles activex y elementos de java.
Pablo Martinez
Dale acceso completo a ese único sitio o Ip, es mas arriesgado que tenerlo estrictamente cerrado, pero creo que el riesgo es bastante bajo, además ellos también tendrán sus medidas de seguridad para evitar que les hagan cositas…
Si quieres cerrarlo mas habilita esto únicamente a ciertos usuarios o equipos y por lo menos tienes mas localizado y cerrada la red.
Un saludo.
Marcelo
Hola, estoy tratando de redirigir todo el trafico del puerto 80 al puerto 3128, desde la pestaña ‘Servicios y Puertos’ pero no me lo permite desde ahi, el ‘Servidor Web (HTTP)’ me aparece grisado para modificar. Hay alguna otra forma? ya hace dias que vengo con esto y no le encuentro la vuelta…
Gracias y saludos!
Pablo Martinez
Si no me equivoco desde la configuración de IIS se configura esto para que reciba las peticiones por ese puerto, después en u router tendrás que redirigir a este puerto ó según tus configuraciones en los reregistros DNS de tu porveedor de nombres de dominio de internet.
Un saludo.
Marcelo
La cuestion es la siguiente, en la empresa tenemos un servidor 2003 server que nos hace de firewall, ahora quiero ponerle un proxy cache pero transaparente, o sea que todas las solicitudes al puerto 80 me las redirija al puerto 3128 para que pase por el proxy sin necesidad de tener que configurarlo en cada explorador de cada maquina. Llego hasta donde decis vos para redirigir puertos, pero el puerto 80 no me lo permite cambiar, por donde puedo cambiarlo?
Gracias y saludos…!
Pablo Martinez
A ver… ese proxy ¿que es? una máquina independiente, un software, una especie de router???….
Si es una máquina independiente de todo lo que debes hacer es interponer esta entre el modem/router y el server y redirigir las peticiones a Internet a este para que las pueda filtrar, si es un software tipo ISA Server que convive con el sistema server entonces no sé como será la cosa, ISA Server por ejemplo toma el control de la parte de enrutamiento que haya configurada y pasa a filtrar automáticamente todo el tráfico…. si es un software ¿se puede saber cual es?
Un saludo.
Marcelo
El proxy es un Squid para windows que esta instalado en el 2003 server, funciona bien, pero tenemos que cargarle a cada IE y Firefox la direccion del proxy. Lo que quiero hacer es que el 2003 server redirija todas las peticiones del puerto 80 al 3128, que es donde esta esscuchando el proxy. Si hago esto, ya no habria que configurar cada puesto, y el usuario no sabria que lo estamos filtrando. Me explico mejor? El isa server no lo tenemos…
Gracias por la ayuda!
Saludos
Pablo Martinez
Pues si no recuerdo mal tienes dos opciones (habrán más… pero no me acuerdo…) una es mediante el mismo servidor de DHCP en el que creo que podías especificar el proxy, de no ser así siempre puedes hacerlo mediante la aplicación de directivas, otra opción que no sé si será viable (nunca lo he probado) es mediante RRAS redirigiendo las peticiones al proxy…
Siento no ayudarte mucho más pero es que llevo cerca de 3 meses sin tocar practicamente nada de sistemas y ando con las neuronas pegadas… sorry…
Pedro Mena
Sres. buenas tardes, hace unos dias se me murio el servidor linux que cumplia las funciones de router, servidor de correos, sevidor web, y vpn. por el apuro coloque un router para que las personas pudiesen trabajar con el internet almenos para correos. pero una vez que se restauraron los serivios, se hizo una modificacion en la ip de router y desde ahi que no me sube la consola de antivirus symantec ni una aplicacion web desarrolada en php que corren en un windows 2003, me dan error de que los puestos estan ocupados. alguien podria decirme como prodria resolver este problema
Pablo Martinez
Hombre si es un tema de un cambio de una Ip deberás asegurarte que noes una Ip externa que ofrece servicios a Internet por si tienes que cambiar ruteos desde el modem/router, si es interno en la consola de RRAS puedes localizar el adaptador de red implicado y buscar los servicios y cambiar los puertos de destino.
Siento no darte nada más claro pero no sé que es lo que tienes metido en esa red y no te puedo indicar más.
Un saludo y gracias por utilizar este espacio para realizar tus consultas.
Pedro Mena
Pablo te cuento.
la ip que se cambio es de la LAN a ver antes teniamos el formato 192.168.0.1 y ahora tenemos el formato 192.168.1.1, los servicios que tenemos son sqlserver la consola de la administracion del antivirus y un software propio desarrollado en php que ocupa el puerto 81 y siempre que la cargo me indica que el puerto ya se encuentra ocupado. todo esto corre en el servidor secundario con windows 2003, es el unico con problemas
Pablo Martinez
Pero este servidor ¿Se encuentra conectado a que? es decir, imagino que conecta por una lado a la red local (con una ethernet) y por el otro lado????
A ver si no vamos aclarando.
Pedro Mena
Pablo. este servidor windows 2003 se conecta a una lan que es administrada por un lunux que funciona como router.
a ver el problema yo creo que esta en el 2003, ya que teniamos instalada una version beta en un pc con win XP y funciona sin problemas, solo en el windows 2003 me da los errores de puerto ocupado
saludos
Pablo Martinez
En la consola de RRAs debe de tener los “servicios/puertos” disponibles para recibir las peticiones.
De todas formas revisa todas las configuraciones de red ya que el problema puede venir del cambio de la dirección Ip (actualización de DNS y resto de servicios de red)
Puedes comprobar DNS, DHCP, RRAS y configuración de las tarjetas de red, tambien el router linux que todo apunte a la Ip correcta aunque por lo que comentas los servicios se atacan desde la red lan, ¿verdad? no acabo de ver claor que conecta a que…
INET < --> LINUX < --> W2K3 SERVER < --> LAN
Algo así??
Un saludo!!
Pedro Mena
Internet LinuxLanW2k3
saludos
Pablo Martinez
…. No entiendo esto, a ver, tienes un acceso a inet conectado al Linux, del linus a un switch al que conectamos los equipos de la LAN y entiendo que a este mismo switch conectas el server, ¿correcto?
Pedro Mena
a ver…
internet —– 1 tarjeta de red del linux ——-2ª tarjeta de red del linux ———— switch ———–server y demas equipos de la red pc, impresoras etc
Pablo Martinez
Ok, en este el RRAS esta de más porque no se esta enrutando desde ninguna red hacia ninguna, simplemente estas publicando servicios.
Bien mirate esta imagen:
http://www.s3v-i.net/redes/esquemas-de-red-diagrama-numero-1-incluye-imagen-y-descarga-del-diagrama/
En ese caso si es necesario el servicio RRAS ya que se tiene que canalizar el tráfico desde IpCop/Red local hacia IpCop/Red local, no sé si me explico…
En el caso que me comentas trata de acceder a los servicios desde el mismo servidor a ver si puedes, estamos en contacto…