Soy desarrollador y sé cualquier cosa de administrador de sistemas/redes/etc. que he aprendido a lo largo de toda una vida de informática y desarrollo (no es una cantidad despreciable, pero estoy muy lejos de ser un experto en todo esto).
Estoy configurando 3 cajas nuevas (alojadas, dedicadas) de Windows Server 2012 (no en un dominio) y no puedo entender cómo configurar la ubicación de la red interna como privada (parece que esto sería más fácil y suficientemente seguro, en la medida de lo posible). configuración del firewall para las diversas comunicaciones entre servidores).
Para las conexiones, tengo la NIC principal que está configurada en las IP externas, la NIC secundaria en la IP de la subred privada y una conexión VIP que está configurada en las IP externas del balanceador de carga (el adaptador es el adaptador Loopback KM-TEST de Microsoft).
Solo la conexión NIC principal tiene una puerta de enlace especificada y, por lo que leí, esta parece ser la razón por la que las otras 2 conexiones aparecen como No identificadas.
Intenté acceder a la Política de seguridad local en Políticas del administrador de listas de redes y permitir a los usuarios cambiar la ubicación de Todas las redes, pero parece no tener ningún efecto. Nuevamente, por lo que leí, incluso si tuviera efecto, si Windows no puede identificar la red, no puede volver a aplicar la ubicación después de cambios como un reinicio o una desconexión.
No puedo obligar a que todas las redes no identificadas sean privadas porque eso incluiría la conexión VIP que es para el tráfico público que ingresa a través del balanceador de carga.
EDITAR: También probé dos sugerencias detecnet, agregando un sufijo DNS para la conexión que no tuvo ningún efecto que pude discernir, y editando el registro para deshabilitar NLA en el adaptador, lo que tuvo algunas consecuencias extrañas: la conexión ya no estaba en el centro de redes y recursos compartidos y no pude cuenta cómo clasificaba la conexión.
Quizás si agregara una puerta de enlace a las conexiones VIP o Secundarias podría diferenciarlas y aplicar la ubicación privada solo a la Secundaria, pero no estoy seguro de qué problemas podría generar esto aparte de ver que no es recomendable.
Prefiero no revisar y configurar todos y cada uno de los pequeños agujeros del firewall que necesito para los 3 servidores de la red interna, pero ¿quizás esto es lo que realmente debería hacer? ¿De qué otra manera podría hacer que la conexión NIC secundaria sea solo privada?
Respuesta1
No puedo agregar comentarios en este momento, así que aquí hay un comentario en forma de respuesta...
Mencionas agregar una puerta de enlace a una de las otras NIC. No hagas esto. Sólo una NIC debe tener una puerta de enlace predeterminada; el resto del tráfico debe guiarse (enrutarse) mediante declaraciones de ruta estáticas.
Configure la puerta de enlace predeterminada en la NIC que tendrá las redes de destino más remotas. De esta manera, minimiza la cantidad de rutas estáticas que necesita definir. En una situación como la suya, normalmente configuraría la puerta de enlace predeterminada en la NIC pública, porque esto podría estar hablando con numerosas redes "desconocidas". Luego, establece rutas estáticas para sus rangos de direcciones internas conocidas/comprendidas.
Espero que esto tenga sentido.
Alternativamente, no especifique ninguna puerta de enlace predeterminada y haga todo a través de rutas estáticas (¡no es aconsejable!).
Pero volviendo a su pregunta original, necesita ayuda con el aspecto de reconocimiento de ubicación de red (NLA) de Windows. Algunos aspectos de esto se pueden configurar usando NETSH, pero tendría que buscarlo en Google, así que me temo que no será de mucha ayuda.
Respuesta2
Encontré una manera de identificar redes secundarias aquí.https://superuser.com/a/218509/36752.
Básicamente, debe darle a la conexión una puerta de enlace predeterminada para que Windows la identifique y darle a la ruta una métrica más alta evita problemas con múltiples puertas de enlace predeterminadas.
Para agregar una puerta de enlace predeterminada con una métrica de ruta más alta, use la línea de comando para ingresar un comando como este:
route -p add 0.0.0.0 mask 0.0.0.0 10.1.1.1 metric 50 if 15
Reemplace la dirección IP 10.1.1.1 con la dirección de otro dispositivo en la conexión/red que desea identificar (Windows usa la dirección mac de la puerta de enlace como identificador). Utilice un valor de métrica que sea mayor que la otra ruta predeterminada y utilice el if # apropiado (tanto el if # como las métricas de la ruta actual se pueden ver con route print -4).