Herramientas
ADSL
Routers Wireless
- 3Com 3CRWDR100Y72 3Com Wireless 11g Carpobox I Conceptronic C54APRA Comtrend 535Comtrend 536+ D-Link G604T Ecom EW125ARM Huawei HG 520 Inventel DW-B-200 Inventel LiveBox Linksys WAG354G Linksys WAG54G Linksys WRT54G Linksys WRT54GX Netgear DG834G Sitecom 300N Sitecom WL-174 SMC 2084 WBRPGSMC 7804 WBRA SMC 7904 WBRA2 Sagem Fast 1500wg Supergrass SGW ADSL2+ Thomson 580 i US Robotics 8054 US Robotics 9106 US Robotics 9108 Vigor 2500 Xavi 7768 Xavi x7868r Xavi 7968r Zyxel 2302 HW Zyxel 650/660HW Zyxel P660HW-D1
Routers Ethernet
- 3Com 812 Alcatel Speed Touch Cisco 827 Comtrend 500 Comentred 5071 RoHs Conectabox 1000 B D-Link 500 D-Link 504G D-Link 504T Huawei MT882r-T Linksys BEFSR41 Nokia M1112 Sagem Fast 1200 SpeedStream 5660 Supergrass DYN04PLUS Telsey CPVA 500 Thomson 510US Robotics 9003 US Robotics 9105 Xavi 7028 Xavi x8821r Zoom x5 Zyxel 643 Zyxel P660R-D1/61c
ADSLAyuda en tu Mail
-
Consulta nuestros boletines.
NO PUEDO ACCEDER A SERVIDOR EN LAN MEDIANTE IP PUBLICA
1. Introducción
Un problema muy frecuente a la hora de montar nuestros propios servidores (web,ftp...) es, que la acceder a ellos desde dentro de la LAN pongamos nuestra IP pública... y nos salga al página de configuración del router.
¿Que es lo que se trata en este tutorial? Como solucionar la situación en la que, teniendo un servidor en nuestra red de área local, podemos acceder a él perfectamente desde fuera de la LAN mediante la IP pública o un dominio registrado, pero desde dentro de la LAN no.
Como el tema se postea periodicamente y la respuesta es relativamente larga edito esta mini-guía medio teórica medio práctica para uso y consumo del personal.
En una red como la siguiente:
code:
<<<------------------------------ NAT: El router redirige puertos solo en este sentido. <<<------------------------------
[PC_A]----| [Router]----(inet) [PC_B]----| ^ ^ | | | Router: LAN_IP = 192.168.2.1 | WAN_IP = 1.2.3.4 PC A = 192.168.2.2 PC B = 192.168.2.3
El fallo habitual es pensar "esto lo arreglo yo con NAT", cosa
que NO funcionará:
NAT es el acrónimo de Network Address Translation:
traducción de direcciones. Esto es, adapta las peticiones
entrantes desde la interfaz WAN al plan de direccionamiento de
nuestra LAN. Por lo tanto, no afecta en absoluto a peticiones de
conexión que tengan su origen en la LAN.
Otro error muy común: "bueno, pues tocando otra cosilla del
router seguro que tira bien". Tampoco vale.
Vamos a ver como solucionar esto. Las soluciones se muestran en
orden de complejidad. Que cada uno decida cual se ajusta mejor a
sus necesidades.
2. Solución #1: usando un Proxy
El problema es que, tal y como está nuestra red, solo funcionan
las peticiones al servidor desde el exterior... entonces
accedamos desde fuera, mediante un proxy.
Lo primero es buscar uno que funcione. Ver los siguientes
enlaces:
1- Public Proxy Servers
2- Proxy4Free
3- Antiproxy.Proxy search
Y configurarlo como proxy en nuestro navegador, cliente FTP...
Esto hará que el esquema de conexión sea:
code:
[PC]----------->[Router]-------->| [Proxy] [Server]<-------[Router]<--------|
Todas las peticiones se envían al proxy, y es este el que se
conecta al extremo final. Por lo que el router ahora sí
que realizará NAT correctamente hacia nuestro servidor local.
Si nos paramos a pensar un poco, esto es muy ineficiente:
- Estamos consumiendo ancho de banda de nuestra línea ADSL para
una página que está alojada en nuestra red local.
- Además es más lento (mucho más lento), menos seguro (salvo que
usemos la versión cifrada de http,
https) y, si nuestra red es grande, un auténtico engorro
para configurarlo en cada equipo.
3. Un nivel más de abstracción: registro DNS
Las siguiente soluciones requieren que tengamos registrado un
dominio o nombre DNS. Esto cuesta dinero pero podemos hacer un
apaño mediante DDNS, registrandonos de manera gratuita en
DynDNS,No-IP,freedns,...
Se requerirá que instalemos un
software cliente en nuestro equipo que informe al servidor
DDNS de nuestra nueva IP pública cada vez que cambie.
La mayor diferencia entre un auténtico dominio registrado (midominio.com)
y uno DDNS (usuario.dyndns.org) es que , mientras que con
nuestro dominio podemos hacer consultas del tipo:
dominio -> IP (resolución típica del nombre)
IP -> dominio (reverse)
con DDNS, en principio, solo podremos hacer:
nombre -> IP.
4. Solución #2: Archivo HOSTS
Una vez hecho lo anterior, editamos el archivo :
%windir%\system32\drivers\etc\HOSTS
añadiendo la siguiente entrada:
code:
ip_local_servidor dominio
P.ej, servidor local en 192.168.2.2, dominio registrado
usuario.dyndns.org Añadimos:
code:
192.168.2.2 usuario.dyndns.org
Idem. para linux y /etc/hosts
De esta manera, y solo en la máquina donde hemos hecho la modificación, esa url es resuelta a la IP local del servidor (en realidad no se lanza petición DNS siquiera).
La ventaja que esta solución tiene sobre la del proxy es que ya no consumimos ancho de banda en la línea ADSL. Sin embargo, sigue resultando una solución incómoda para redes relativamente grandes y poco escalable ante la incorporación de equipos.
5. Solución #3: DNS (+vistas)
La idea de esto es montar nuestro propio servidor DNS para resolución de nombres.
Lo que queremos hacer es, en el caso más general,que según el ámbito de donde provenga la petición (LAN o internet), resuelva el nombre de nuestro dominio a una IP u otra:
- Si la petición viene de la LAN, dominio resuelto a IP local del servidor.
- Si viene de internet, dominio resuelto a IP pública.
Asimismo, el servidor debe resolver las demas peticiones de nuestra red, comunicándose con los servidores DNS que teníamos configurados como primario y secundario (los del ISP).
Está bastante claro ¿no?
manos a la obra...Como servidor DNS usaremos Bind. Están disponibles las fuentes y el binario para windows NT/2K ( BIND 9.2.3 ). Para windows 98/Me ... no es válido.
5.1 Instalando Bind
- Descomprimimos el fichero anterior en una carpeta temporal y ejecutamos BINDInstall.exe. El programa se instalará por defecto en %windir%\system32\dns
- Allí tendremos una carpeta bin con los ejecutables necesarios y una etc, para ficheros de configuración.
5.2 Configurando Bind
%WINDIR%\SYSTEM32\dns\bin:
named.exe - servidor BIND. Para las pruebas usaremos desde la consola named -g. Luego ya podremos hacer uso del servicio de sistema:
Herramientas Administrativas -> Servicios -> ISC Bind , poniéndolo en tipo de inicio automático.
rndc.exe - este programa puede usarse para arrancar/detener el servidor
named-checkzone.exe - para comprobar la sintaxis de los ficheros de zona.
named-checkconf.exe - para comporbar la sintaxis de los ficheros .conf
%WINDIR%\SYSTEM32\dns\etc:
named.conf - fichero principal de configuración
rndc.conf - clave de autenticación para rndc.exe. Lo generamos automáticamente mediante:
rndc-confgen.exe > %windir%\system32\dns\etc\rndc.conf
named.ca - DNS root servers.
db.midominio.com.internal - fichero de zona.
db.midominio.com.external - fichero de zona.
127.0.0.rev - fichero de zona (reverse IP)
192.168.2.rev - fichero de zona (reverse IP)
Adjunto una plantilla para cada fichero de configuración necesario:
5.2.1 Named.conf
- Suponemos nuestra red local con direcciones tipo 192.168.2.x y máscara 255.255.255.0 (192.168.2.0/24),
- El servidor (del tipo que sea) funcionando en PC_A (192.168.2.2).
- Dominio registrado midominio.dyndns.org.
-> Cambiar los datos del fichero de manera acorde a nuestra situación.
OJO:
- Editar también IP_DNS_Primario e IP_DNS_Secundario por los de nuestro ISP (o los que sea).
- Poner la clave secret del fichero rndc.conf
code:
/* BIND9 main configuration file with master zone statements: named.conf */
options { directory "c:\winnt\system32\dns\etc"; recursion yes; allow-recursion {192.168.2.0/24;}; forward only; forwarders {IP_DNS_Primario; IP_DNS_secundario;}; allow-transfer {IP_DNS_Primario; IP_DNS_secundario;}; version ""; auth-nxdomain no; # conform to RFC1035 };
logging { channel my_file {file "c:\winnt\system32\dns\etc\named.run"; severity debug; print-time yes; }; category default {my_file;}; category panic {my_file;}; category packet {my_file;}; category eventlib {my_file;}; category queries {my_file;}; category lame-servers { null;}; category cname { null;}; };
view "internal" { match-clients { 192.168.2.0/24; 127.0.0.0/24; }; # Specify the root name servers zone "." IN { type hint; file "named.ca"; };
zone "midominio.dyndns.org" { type master; file "c:\winnt\system32\dns\etc\db.midominio.com.internal"; }; # Reverse IP mapping for 127.0.0.x zone "0.0.127.in-addr.arpa" { type master; file "c:\winnt\system32\dns\etc\127.0.0.rev"; }; # Reverse IP mapping for 192.168.2.x. # Poner aquí los 3 primeros números de nuestro IP en orden inverso. zone "2.168.192.in-addr.arpa" { type master; file "c:\winnt\system32\dns\etc\192.168.2.rev"; }; };
view "external" { match-clients {none;}; recursion no;
zone "midominio.dyndns.org" { type master; file "c:\winnt\system32\dns\etc\db.midominio.com.external"; allow-transfer {none;}; }; };
key "rndc-key" { algorithm hmac-md5; secret "VER_FICHERO_RNDC.CONF"; }; controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc-key"; }; };
5.2.2 Vista interna: db.midominio.com.internal
- Serial es un identificador de versión, con formato
año[4]-mes[2]-dia[2]-[#numero de cambio] (dato anecdótico).
Así el cambio número 2 efectuado el 13/5/2003 tendría como
serial 2003051302.
- OJO: Cambia la IP privada por la IP local donde se aloje
nuestro servidor, y el nombre de dominio.
code:
$TTL 86400 @ IN SOA midominio.dyndns.org. admin.midominio.dyndns.org. ( 2004071100 ; Serial 604800 ; Refresh /* refresh every 1 week */ 86400 ; Retry /* retry refresh every 1 day */ 2419200 ; Expire /* expire after 4 weeks */ 604800 ) ; Negative Cache TTL ; @ IN NS midominio.dyndns.org.
midominio.dyndns.org. A 192.168.2.2
5.2.3 Vista externa: db.midominio.com.external
Esto con DDNS en realidad no es necesario, ya que hay programas
para DDNS que actualizan nuestra IP pública automáticamente en
los servidores DNS. Se incluye para el caso de que alquien
quiera usar esto con dominios registrados (€€€) tipo
midominio.com y demás.
Caso de que queramos utilizarlo (para DDNS no desde luego, útil
para dominios tipo midominio.com), NAT en el router del puerto
53 TCP/UDP hacia la IP donde se ejecute BIND.
code:
$TTL 86400 @ IN SOA midominio.dyndns.org. admin.midominio.dyndns.org. ( 2004071100 ; Serial 604800 ; Refresh /* refresh every 1 week */ 86400 ; Retry /* retry refresh every 1 day */ 2419200 ; Expire /* expire after 4 weeks */ 604800 ) ; Negative Cache TTL ; Configuración ante peticiones externas ; ... ; ...
5.2.4 Root servers: named.ca
code:
; DNS primario ; . 3600000 NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A IP_DNS_Primario ; DNS secundario ; . 3600000 NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. 3600000 A IP_DNS_Secundario
5.2.5 Reverse IP: 127.0.0.rev
code:
$TTL 86400 $ORIGIN 0.0.127.IN-ADDR.ARPA. @ SOA DNS-authoritative1.domain.com. DNS-admin.domain.com. ( 2004071100 ; zone serial number in ccyymmddxx format 3600 ; slave polls master for SOA/serial number 1800 ; slave re-polls unreachable master 864000 ; slave expires zone after master unreachable 3600 ; TTL for negative answers ) ;nameservers @ NS DNS-authoritative1.domain.com. @ NS DNS-authoritative2.domain.com. ; 1 PTR localhost.
5.2.5 Reverse IP: 192.168.2.rev
Suponemos que BIND se ejecuta en 192.168.2.2: ponemos 2 PTR
code:
$TTL 86400 $ORIGIN 2.168.192.IN-ADDR.ARPA. @ SOA DNS-authoritative1.domain.com. DNS-admin.domain.com. ( 2001060101 ; zone serial number in ccyymmddxx format 3600 ; slave polls master for SOA/serial number 1800 ; slave re-polls unreachable master 864000 ; slave expires zone after master unreachable 3600 ; TTL for negative answers ) ;nameservers @ NS DNS-authoritative1.domain.com. @ NS DNS-authoritative2.domain.com. ; 2 PTR
5.3 Usando BIND
Vamos a comprobar que todo funciona bien:
- Arrancamos BIND manualmente mediante:
named -g
- Configuramos en algún equipo de la red (puede ser donde se
ejecuta BIND) la IP privada del Pc donde está BIND como servidor
DNS primario y secundario.
- Ejecutamos:
nslookup midominio.dyndns.org
ping midominio.dyndns.org
¿Se resuelven a la IP privada? ¡ Enhorabuena !
Puedes arrancar BIND como servicio de sistema en Panel de
control -> Herramientas Administrativas -> Servicios -> ISC Bind
: tipo de inicio = automático.
En caso negativo... a revisar los ficheros de configuración, ojo
con los ; y cosas así.
5.4 Ventajas e inconvenientes
Las ventajas están claras, tenemos un sistema mucho más sencillo
de mantener y administrar que los anteriores ya que todo se
realiza de forma centralizada. La escalabilidad de la red
también ha mejorado sensiblemente, si un nuevo equipo se
incorpora solo hay que configurarle nuestro servidor DNS.
Las desventajas son las asociadas a cualquier servidor proxy:
- Puede suponer un cuello de botella para el tráfico de nuestra
red
- Como todo sistema centralizado, es poco robusto ante fallos:
si el servidor donde está BIND falla, toda la red se queda sin
acceso (sin poder resolver nombres al menos). Podemos mitigar
esto configurando en los equipos de la red IP_BIND como DNS
primario , y otro cualquiera como DNS secundario.
6. ¿Que solución utilizo?
Pues depende de lo que necesitemos:
- La solución #1 (proxy externo) sería recomendable para pruebas
de accesibilidad externa, pero no para nada de carácter
permanente.
- La #2 (fichero HOSTS), es adecuada para redes pequeñas (la
típica que podemos tener en nuestra casa,hasta unos 5 equipos),
en las que tampoco nos merece la pena instalar un servidor
extra.
- La #3 (bind), sería la más ajustada a redes "grandes" (un
cibercafe, aula de informática)
- Para redes mucho más grandes, soluciones mediante HW
específico dedicado (un BUEN router CISCO catalyst).
7. Últimos comentarios:
Este hilo queda abierto para resolver problemas con BIND... y
poco más. No para consultas de otros servidores, servicios,
protocolos ni nada por el estilo.
Y eso es todo. Un saludo.
Documento elaborado por MetalHead para www.adslayuda.com
XHTML 1.1 | CSS
(CC) 2001-2008 ADSL AYUDA®. Algunos derechos reservados. Aviso Legal.
