Enruta todo el tráfico a través de la red interna en Windows

El sistema operativo Windows nos permite dos formas de enrutar el tráfico de Internet cuando estamos usando DirectAccess. El primero de ellos es enviando todos los paquetes de datos a la puerta de enlace predeterminada (el router) para comunicarse con otros equipos, sin embargo, si estamos utilizando soluciones como DirectAccess, es posible que te interese que tu sistema operativo Windows enrute todo el tráfico a través de la red interna del sistema operativo en lugar de a través de la puerta de enlace predeterminada. Hoy en RedesZone os vamos a explicar cómo puedes hacerlo.

¿Qué es DirectAccess de Windows?

DirectAccess es una nueva funcionalidad integrada en los sistemas operativos de Windows a partir de la versión Windows 7 y Windows Server 2008 R2. Esta tecnología permite a los usuarios de utilizar los recursos de red de la empresa como si realmente estuvieran allí, podrán acceder a los recursos compartidos en red como servidores Samba o impresoras, así como aplicaciones que se ejecutan únicamente a nivel local, e incluso podrán acceder a sitios web de la empresa que solamente se permite su acceso en la intranet.

DirectAccess nos permite obtener todo esto sin necesidad de conectarnos a un servidor VPN que se encargue de tunelizar todo el tráfico de red de los diferentes clientes. Si tenemos DirectAccess activado en nuestro equipo, todas las solicitudes que necesiten de acceso a la intranet (servicios web, correo electrónico interno, carpetas compartidas, impresoras en red etc.) se dirigen a la intranet directamente, sin usar ningún tipo de VPN para la conexión punto a punto.

Esta funcionalidad realmente establece un túnel IPsec autenticado y cifrado para el tráfico que se envía a un servidor de DirectAccess, pero no tenemos que configurar ningún tipo de parámetro avanzado para conectarnos. Este servidor de DirectAccess es el que actúa como puerta de enlace predeterminada, y está basado en IPv6 únicamente, no obstante, si la red empresarial utiliza todavía redes con IPv4 no hay problema, porque nos permite hacer uso de tecnologías como 6in4, Teredo y otras, con la finalidad de encapsular el tráfico adecuadamente para que funcione bien.

DirectAccess nos permite establecer una comunicación con el servidor en cuanto el equipo se conecta a Internet, incluso antes de que el usuario inicie sesión con su cuenta de usuario. De esta forma, siempre estaremos conectados a la empresa, sin necesidad de correr el riesgo de conectarnos primero a Internet, y posteriormente establecer el túnel VPN, porque en muchos casos es posible que se nos olvide por completo. Además, también es realmente útil para obtener soporte remoto del departamento de informática, porque podrán acceder a nuestro equipo de forma fácil y rápida, sin necesidad de esperar a que se establezca el túnel VPN.

El sistema operativo Windows nos permite enrutar todo el tráfico de red a través de la red interna, y no utilizando la puerta de enlace predeterminada en los casos donde queramos acceder a Internet desde casa, todo el tráfico irá hacia el servidor DirectAccess (a la empresa). Ahora os vamos a enseñar cómo configurar esta funcionalidad tan interesante.

Configurar el enrutamiento interno a través de gpedit

La forma más sencilla para configurar el enrutamiento interno de DirectAccess es a través de las directivas de grupo local, para ello pinchamos en el botón de «Inicio» o «Windows» y buscamos «gpedit.msc» y lo abrimos, nos pedirá credenciales de administrador. Una vez dentro, tenemos que irnos a la sección:

  • Configuración del equipo / Plantillas administrativas / Red / Conexiones de red

Una vez que estemos aquí dentro, podremos ver las diferentes configuraciones disponibles a nivel de red, nosotros debemos elegir la opción de «Enrutar todo el tráfico a través de la red interna«. Al seleccionar esta opción, podremos ver en la parte de la izquierda tanto los requisitos como también una breve descripción de lo que hace esta opción tan importante si utilizas DirectAccess.

Si hacemos doble clic, tendremos varias opciones disponibles:

  • No configurada: es la opción predeterminada, además, la política predeterminada es la de no utilizar el enrutamiento de tráfico en la red interna.
  • Habilitada: habilitaremos el enrutamiento de tráfico en la red interna.
  • Deshabilitada: deshabilitamos el enrutamiento de tráfico en la red interna.

Habilitar esta opción

Si estás interesado en habilitar esta opción, en la siguiente captura de pantalla se puede ver tanto la descripción de esta opción, como también los diferentes estados que podemos seleccionar. Lo que debemos hacer es pinchar en «Habilitada» y a continuación en «Aceptar».

Una vez seleccionada, pinchamos en «Aceptar» y procedemos a reiniciar nuestro ordenador para aplicar los cambios correctamente y comenzar a funcionar con el enrutamiento de red a la red interna con DirectAccess. De esta forma, no usaremos la puerta de enlace predeterminada para el acceso a Internet.

Deshabilitar esta opción

En el caso de que quieras deshabilitar esta opción, tenemos dos opciones. La primera opción es volver a meterte en este mismo menú de configuración y proceder a seleccionar «No configurada», pinchamos en aceptar y reiniciamos el ordenador para que se apliquen los cambios. La segunda opción es volver a meterte en este mismo menú de configuración y elegir «Deshabilitada», pinchar en aceptar y reiniciar el equipo nuevamente.

Cualquiera de las dos opciones es perfectamente válida debido a que la opción de «No configurada» esta opción la tiene deshabilitada, es decir, no está activada de forma predeterminada en el sistema operativo Windows.

Una vez que ya conocemos cómo habilitar y deshabilitar esta opción haciendo uso del editor de directivas de grupo local, os vamos a enseñar a hacerlo a través del registro de Windows.

Configurarlo a través del registro de Windows

Si quieres hacer esta misma configuración a través del registro de Windows, debes pinchar en «Inicio» o «Windows» y poner «regedit». Abrimos el registro con permisos de administrador, y procedemos a irnos a la clave siguiente:

  • HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows

Una vez que estemos en este directorio de clave, tenemos que crear nueva clave. Pinchamos clic derecho en «Nuevo > Clave» y le damos el nombre de «TCPIP». Nos metemos dentro de esta nueva clave llamada TCPIP y procedemos a crear otra clave nueva «Nuevo > Clave» y le damos el nombre de «v6Transition». Una vez que hayamos creado esta nueva clave, nos metemos dentro y creamos una nueva cadena «Nuevo > Cadena» y le damos el nombre de «Force_Tunneling«.

Una vez que hayamos creado la cadena Force_Tunneling, si hacemos doble clic o editamos la cadena, podemos poner dos valores:

  • Enabled: habilitará el enrutamiento de todo el tráfico a la red interna.
  • Disabled: deshabilita el enrutamiento de todo el tráfico a la red interna.

Otra opción que tienes para deshabilitar esta funcionalidad, es eliminar la cadena que hemos creado, y automáticamente dejará de funcionar. Debes recordar que tienes que reiniciar el ordenador o servidor para que se apliquen los cambios correctamente.

Tal y como habéis visto, si estáis usando DirectAccess y quieres enrutar todo el tráfico de red a través de la red interna, esta configuración es fundamental para no enviar el tráfico a la puerta de enlace predeterminada habitual que tengas configurada.

¡Sé el primero en comentar!