02/07/2019Artículo original
Un día te levantas de buena mañana y, antes de que el café del desayuno se haya asentado en tu estómago, descubres que todas las conexiones a tu servidor de datos en tu red privada han dejado de funcionar. Obviamente no has tocado nada. Tu único pecado ha sido irte a dormir. Pero de repente nada parece funcionar. ¿A qué es debido?
Bueno, ahora te digo la causa concreta, pero el motivo último: una maldita actualización del sistema y un reinicio indeseado del servidor.
Windows Server (al menos en sus versiones 2012 y 2016 basadas en Windows 10) tiene algunas cosas molestas y problemillas. Y este es uno de ellos.
En ocasiones, cuando se reinicia el sistema se fuerza un reconocimiento de las redes a las que está conectado el servidor. Cuando una de ellas no tiene acceso a Internet, ¡zasca! , Windows la clasifica como una red sin identificar. Generalmente esto ocurre con la que se conecta a la red local. ¿Y cuál es el problema de esto? Pues que a este tipo de redes, por defecto, Windows las clasifica como redes públicas. Y si tienes un servidor, lo más común es que tengas el cortafuegos configurado de manera que las redes públicas tengan muchas restricciones, y las redes privadas o de dominio muchas menos.
Por ejemplo, estas son las 2 tarjetas de red de un servidor de datos que gestiono, tal y como me las encontré una mañana:
Como puedes observar hay dos redes correspondientes a otras tantas tarjetas de red. Una de ellas (que ha llamado Network 2 y yo denomino WAN) es a que está conectada a Internet. La otra es una tarjeta dedicada en exclusiva a tráfico en la red local, de la que forman parte unos cuantos servidores más. Al reiniciar Windows no reconoce esta red porque no está conectada a Internet y como resultado la nombra como “Unidentified network” (o sea, “Red no identificada”) y la marca como pública.
Al considerarse una red pública y no privada que es lo que es en realidad, de repente, las reglas del firewall que actuaban sobre ella y permitían, por ejemplo, la conexión a esta máquina desde otras de la red local, dejan de funcionar, actuando las reglas para redes públicas (o sea, conectadas a Internet) y que son muchísimo más restrictivas (incluso bloqueo total del acceso en este caso). Resultado: webs caídas, soporte sin funcionar, etc…
Por suerte tiene fácil solución, aunque nada evidente. La voy a dejar reflejada aquí par ami futura referencia y por si le sirve a alguien más.
Para solucionarlo, primero vamos a proceder manualmente. Debes abrir una línea de comandos de Powershell como administrador y escribir esta instrucción para ver la información de tus conexiones:
Get-NetConnectionProfile
que devuelve algo como esto con información de las conexiones de red:
En este caso he resaltado la que no está identificada. Lo más importante es tomar nota del alias de la conexión o de su identificador (yo prefiero este último por concisión, pero vale cualquiera).
Una vez identificada la que queremos modificar, vamos a cambiar de pública a privada escribiendo lo siguiente:
Set-NetConnectionProfile -InterfaceIndex 5 -NetworkCategory Private
que también puede hacerse indicando el alias en vez del índice:
El comando no devuelve ni un lacónico mensaje por pantalla, pero si volvemos a pedir la información sobre las conexiones, como se observa en la figura, nuestra conexión problemática vuelve a ser considerada privada. aunque Windows sigue diciendo que está sin identificar.
¡Bien! Problema resuelto al menos por el momento. Lo mal es que quizá dure poco. No podemos saberlo. Quizá en una próxima actualización o reinicio del servidor, la cosa se vaya de madre y se vuelva a clasificar como pública. Así que, más allá de una solución puntual, no nos va a servir de mucho.
Para hacer que perdure tenemos que ir un pasito más allá. Debemos abrir las políticas de seguridad local del sistema (basta buscarlas en el menú de inicio) y abrir el nodo “Políticas del gestor de listas de red” (o algo así, ya sabes que yo uso todos los sistemas en inglés siempre, precisamente para evitar traducciones traicioneras). Es el cuarto nodo que encontrarás en la raíz.
Si haces doble-clic sobre el subnodo dedicado a las redes sin identificar verás que te deja establecer cómo quieres considerarlas por defecto: públicas o privadas (si está sin establecer, serán públicas):
Establece la opción “Privada” para el tipo de ubicación y listo. A partir de ahora, cuando se produzca de nuevo el problema, las redes sin identificar se considerarán privadas y el firewall no interferirá en su tráfico sin motivo.
¡Espero que te sea útil!
