MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Recupera Internet y recursos internos tras conectarte por VPN en Windows Server 2019

Recupera Internet y recursos internos tras conectarte por VPN en Windows Server 2019

Windows Server

Un usuario se conecta correctamente por VPN a un servidor RRAS en Windows Server 2019, logra hacer ping a equipos internos, pero pierde acceso a Internet y a recursos compartidos. A continuación encontrarás una guía exhaustiva para restaurar ambos tipos de conectividad y optimizar tu infraestructura VPN sin comprometer la seguridad.

Índice

Comprender el flujo de tráfico y los síntomas

Cuando el cliente VPN marca «sin acceso a Internet» y las unidades de red aparecen desconectadas, normalmente se combinan tres factores:

  • El tráfico predeterminado (0.0.0.0/0) se encamina completamente a través del túnel VPN porque el perfil está configurado para usar la puerta de enlace remota.
  • El servidor RRAS no realiza NAT hacia la red externa o carece de una ruta por defecto adecuada.
  • Las consultas DNS para dominios públicos no pueden resolverse, por lo que el equipo interpreta la falta de Internet incluso antes de enviar paquetes.

Decisión estratégica: túnel completo o split tunneling

Primero decide si quieres:

  1. Túnel completo, donde todo el tráfico del usuario viaje por la VPN—ideal para teletrabajo en entornos regulados.
  2. Split tunneling, donde solo las subredes corporativas pasan por la VPN y el resto sale por la conexión doméstica, reduciendo carga y latencia.

Cómo habilitar split tunneling en Windows

1. Propiedades del adaptador VPN > Redes > IPv4 > Avanzadas…  
2. Desmarcar «Usar la puerta de enlace predeterminada en la red remota».  
3. Añadir rutas específicas vía GPO, PowerShell o scripts .pbk:
   route add 10.0.0.0 mask 255.255.255.0 %VPN_GW% metric 1 -p

Con esta opción las páginas web saldrán por la conexión local, mientras que el tráfico a 10.0.0.0/24 (por ejemplo) irá cifrado.

Requisitos si mantienes túnel completo

  • En RRAS, activa IPv4 > NAT y marca «Clients using this interface to access the Internet» en la interfaz externa.
  • Asegúrate de que la NIC externa disponga de una ruta 0.0.0.0/0 o usa netsh interface ipv4 set interface "NIC WAN" forwarding=enabled.
  • Comprueba que el firewall perimetral devuelva las respuestas (puede requerir una regla de asimetría o cone NAT).

Configuración correcta de DNS

El dominio interno suele usar solo controladores de dominio como DNS. Para permitir resolución pública:

  • Abre la consola DNS > Propiedades del servidor > Reenviadores.
  • Añade 8.8.8.8, 1.1.1.1 o los DNS de tu ISP.
  • Habilita Failback para que el servidor intente recursión directa si los reenviadores fallan.

Sin reenviadores, el cliente VPN recibirá IP y DNS internos, pero los dominios externos fallarán y Windows mostrará «sin acceso a Internet» aunque la capa IP funcione.

NAT y enrutamiento en RRAS

Si el servidor apenas tiene una NIC (topología single‑NIC Ras):

  1. En RRAS, haz clic derecho en IPv4 > NAT > Nueva interfaz.
  2. Selecciona la NIC única y marca «Public interface connected to Internet» y «Enable NAT on this interface».
  3. En IPv4 > General, activa IPv4 forwarding.
  4. Comprueba la tabla con netsh routing ip show global.

Con dos NIC (LAN y WAN) la interfaz WAN debe tener NAT; la LAN debe habilitar «Private interface connected to private network».

Rutas estáticas y métrica

ElementoComandoPropósito
Mostrar rutas clienteroute printDetectar si 0.0.0.0 apunta a VPN o Ethernet
Métrica adaptadorGet-NetIPInterfaceDeterminar prioridad entre VPN y NIC física
Agregar ruta a subred internaroute -p add 192.168.50.0 mask 255.255.255.0 %VPN_GW%Forzar tráfico de red corporativa por túnel

Firewall: reglas esenciales

  • Incluye la subred del pool VPN en las reglas de salida (HTTP/HTTPS, SMTP, DNS, NTP). Ejemplo en PowerShell:
    New-NetFirewallRule -DisplayName "VPN HTTPS" -Direction Outbound -Protocol TCP -RemotePort 443 -SourceAddress 10.10.10.0/24 -Action Allow
  • En el servidor de archivos, permite TCP 445 desde el pool VPN; evita reglas que limiten únicamente a rangos LAN.
  • Si usas Windows Firewall con seguridad avanzada, comprueba los perfiles «Dominio» versus «Privado/Público»; la interfaz VPN suele clasificarse como «Público».

Acceso a unidades mapeadas y recursos SMB

Los mapeos basados en NetBIOS (\\SERVARCHIVO\share) pueden romperse cuando el cliente no encuentra al Master Browser de la subred. Recomendaciones:

  • Mapea con FQDN: \\fileserver.ejemplo.local\departamento.
  • Añade registros A/CNAME en DNS si los servidores carecen de nombre conforme.
  • Activa «NetBIOS over TCP/IP» solo si dependes de equipos antiguos; de lo contrario, desmárcalo y pulsa OK para forzar consulta DNS.
  • Deshabilita “Trabajo sin conexión” de Windows si no deseas que aparezca «sin conexión» cuando no detecte al servidor.

Pruebas de laboratorio paso a paso

  1. Conéctate a la VPN y ejecuta: ipconfig /all nslookup www.microsoft.com tracert 8.8.8.8
  2. Desde el servidor RRAS abre el Visor de sucesos > Registros de Windows > Seguridad (ID 6272, 20276) y Sistema (ID 20209, 20214).
  3. Si usas NAT, habilita Logging en la interfaz NAT para capturar los primeros 512 bytes de cada paquete descartado.
  4. En caso de fallos persistentes, instala Wireshark en el servidor y filtra:
    ip.addr==10.10.10.10 && tls —reemplaza con la IP entregada al cliente.

Automatizar métricas y rutas con PowerShell

$vpn = Get-NetAdapter -InterfaceDescription "WAN Miniport (IKEv2)"
Set-NetIPInterface -InterfaceIndex $vpn.ifIndex -InterfaceMetric 25
New-NetRoute -DestinationPrefix "10.0.0.0/24" -InterfaceIndex $vpn.ifIndex -NextHop 0.0.0.0 -RouteMetric 1 -PolicyStore ActiveStore

Cuando gestiones decenas de usuarios, aplica estas órdenes mediante GPO o mediante scripts de inicio de sesión.

Buenas prácticas de seguridad

  • Habilita Always On VPN con IKEv2 y certificados de máquina; evita PTPP o L2TP sin IPSec.
  • Configura Conditional Access si integras Azure AD para validar que el dispositivo esté unido al dominio y cumpla con políticas de antivirus.
  • Revisa periódicamente los ID de evento 20226 (RAS) para detectar autenticaciones sospechosas.
  • Segmenta subredes: el pool VPN no debe pertenecer a la misma LAN que servidores críticos.

Preguntas frecuentes

No quiero abrir DNS público en mi DC. ¿Opciones? Usa un DNS resolver dedicado en DMZ y configura tu DC como reencaminador interno; así los equipos internos confían en el DC y este a su vez remite a un servicio que puedes blindar. ¿Por qué el tráfico deja de fluir tras unos minutos de inactividad? Revisa Idle Timeout en la configuración WAN miniport del cliente y en RRAS > Ports. Ajusta «Idle Disconnect After (minutes)» a 0 para conexiones permanentes. ¿Puedo usar DHCP en lugar de un pool estático? Sí. En RRAS > IPv4 > DHCP Relay Agent agrega la IP del servidor DHCP. Es útil para mantener direcciones conocidas y gestionar reservas.

Conclusión

Restablecer la conectividad a Internet y a los recursos internos tras conectarte por VPN en Windows Server 2019 implica revisar tres pilares: enrutamiento (split vs. full tunnel), DNS y NAT/firewall. Siguiendo los pasos descritos—ya sea habilitando split tunneling, configurando redireccionadores DNS o ajustando reglas NAT—podrás garantizar que tus usuarios trabajen sin interrupciones y que tu infraestructura permanezca segura.

Windows Server
DNS VPN Troubleshooting NAT RRAS Windows Server 2019
Índice