Configurar una NAT Dinámica Saliente a través de un Túnel VPN de Sucursal

Puede utilizar una NAT dinámica (DNAT) a través de túneles de VPN de Sucursal (BOVPN). La NAT dinámica funciona como una NAT unidireccional, y mantiene el túnel VPN abierto sólo en una dirección. Eso puede ser útil cuando establece un túnel BOVPN para un sitio remoto donde todo el tráfico de la VPN viene desde una dirección IP pública.

Por ejemplo, supongamos que desea crear un túnel BOVPN a una empresa asociada para que pueda acceder a su servidor de base de datos, pero no desea que esa empresa tenga acceso a sus recursos. La asociada desea otorgarle el acceso, pero sólo desde una dirección IP única para que puedan monitorizar la conexión.

Debe conocer las direcciones IP de red de confianza y externa de cada endpoint de VPN para realizar ese procedimiento. Si habilita la NAT dinámica por túneles BOVPN, no puede usar la función de una conmutación por error de VPN para túneles VPN.

Las siguientes instrucciones paso a paso funcionan con cualquier BOVPN que use una NAT dinámica para hacer que todo el tráfico desde un endpoint parezca venir desde una única dirección IP. La dirección DNAT puede ser cualquier dirección IP que se pueda enrutar, como la dirección IP pública del Sitio A, o una dirección IP privada en la red de confianza en el Sitio A. Las imágenes a continuación muestran la configuración de BOVPN donde todo el tráfico del Sitio A debe provenir de la dirección IP pública del Sitio A.

Sitio A

Dirección IP pública — 203.0.113.2

Red de confianza — 10.0.1.0/24

Sitio B

Dirección IP pública — 198.51.100.2

Red de confianza — 10.50.1.0/24

En Fireware v12.4 o superior, si selecciona Direcciones IPv6 como la Familia de Direcciones, no puede configurar NAT. Las puertas de enlace de IPv6 BOVPN no admiten NAT.

Configurar el Endpoint Donde Todo el Tráfico Debe Parecer Venir de una Única Dirección (Sitio A)

Para el dispositivo en el Sitio A, configure la puerta de enlace BOVPN. Para más información, consulte Configurar Puertas de Enlace BOVPN Manuales. Luego siga los pasos siguientes para configurar una NAT dinámica en las configuraciones de ruta del túnel.

  1. Seleccione VPN > VPN de Sucursal.
  2. Haga clic en Agregar debajo de la lista Túneles para agregar un nuevo túnel, o seleccione un túnel y haga clic en Editar.
    Aparecen los ajustes de configuración del Túnel.
  3. Seleccione la puerta de enlace de la lista desplegable Puerta de enlace.
  4. En la pestaña Direcciones, haga clic en Agregar.
    Se abre el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of Tunnel Route Settings dialog box, Addresses tab

  1. En la sección IP Local, seleccione el tipo de dirección local en la lista desplegable Elegir Tipo. Después, inserte el valor en el cuadro de texto abajo. Puede ingresar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o nombre DNS.
  2. En la sección IP Remoto, seleccione el tipo de dirección remota en la lista desplegable Elegir Tipo. Después, inserte el valor en el cuadro de texto abajo. Puede ingresar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o nombre DNS.
  3. En la lista desplegable Dirección, seleccione local-a-remota.

Debe establecer la dirección para el tráfico a través del túnel antes de poder habilitar la NAT dinámica para el túnel.

  1. Haga clic en la pestaña NAT. Seleccione la casilla de selección NAT Dinámica. En el cuadro de texto adyacente, ingrese la dirección IP que la red remota ve como origen para todo el tráfico por el túnel.

Screen shot of Tunnel Route Settings dialog box - NAT tab

  1. Haga clic en Aceptar.
    Se agrega la ruta de túnel.

Screen shot of tunnel settings page

  1. Guarde los cambios al Firebox.
  1. Seleccione VPN >Túneles de Sucursal.
  2. Haga clic en Agregar para agregar un nuevo túnel, o seleccione un túnel y haga clic en Editar.
    Aparece el cuadro de diálogo Agregar túnel o Editar túnel.
  3. Seleccione la puerta de enlace de la lista desplegable Puerta de enlace.
  4. En la pestaña Direcciones, haga clic en Agregar.

    Se abre el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of Tunnel Route Settings dialog box with settings for DNAT to public IP

  1. En la lista desplegable Local, seleccione la dirección local que desee.
    También puede hacer clic en el botón al lado de la lista desplegable Local para especificar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o un nombre DNS.
  2. En el cuadro Remoto, ingrese la dirección de red remota.
    También puede hacer clic en el botón vecino para especificar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o un nombre DNS.
  3. En la lista desplegable Dirección, seleccione la segunda opción en la que la flecha apunte hacia Remoto.
  4. Seleccione la casilla de selección DNAT. En el cuadro de texto adyacente, ingrese la dirección IP que la red remota ve como origen para todo el tráfico por el túnel.
  5. Haga clic en Aceptar.
    Se agrega la ruta de túnel.

Screen shot of Edit Tunnel dialog box with settings for DNAT example for SiteB_Network tunnel

  1. Guarde los cambios al Firebox.

Configurar el Endpoint que Espera que Todo el Tráfico Provenga desde una Única Dirección IP (Sitio B)

Para el dispositivo en el Sitio B, configure la puerta de enlace BOVPN. Para más información, consulte Configurar Puertas de Enlace BOVPN Manuales. Luego siga los pasos siguientes para configurar una NAT dinámica en las configuraciones de ruta del túnel.

  1. Seleccione VPN > BOVPN.  Haga clic en Agregar debajo de la lista de Túneles para agregar un nuevo túnel o seleccione un túnel existente y haga clic en Editar.
    Aparecen las configuraciones del Túnel.
  2. Seleccione la puerta de enlace de la lista desplegable Puertas de enlace.
  3. En la pestaña Direcciones, haga clic en Agregar.
    Se abre el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of the Tunnel Route Settings dialog box

  1. En la sección IP Local, seleccione el tipo de dirección local en la lista desplegable Elegir Tipo. Luego ingrese el valor en el cuadro de texto adyacente. Puede ingresar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o un nombre del host. Debe coincidir con la dirección remota configurada en la ruta de túnel en el Sitio A.
  2. En la sección IP Remoto, seleccione el tipo de dirección remota en la lista desplegable Elegir Tipo. Ingrese el valor en el cuadro de texto adyacente. Puede ingresar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o un nombre del host. Esto debe coincidir con la dirección DNAT configurada en el Sitio A.
  3. En la lista desplegable Dirección, seleccione remota-a-local.
  4. No seleccione nada en la pestaña NAT.
  5. Haga clic en Aceptar.
    Se agrega la ruta de túnel.

Screen shot of the ranch Office VPN tunnel settings page

  1. Guarde los cambios al Firebox.
  1. En Policy Manager, configure la puerta de enlace para la BOVPN. Para más información, consulte Configurar Puertas de Enlace BOVPN Manuales.
  2. Seleccione VPN >Túneles de Sucursal.  Haga clic en Agregar para agregar un nuevo túnel, o seleccione un túnel existente y haga clic en Editar.
    Aparece el cuadro de diálogo Agregar Túnel o Editar Túnel.
  3. Seleccione la puerta de enlace de la lista desplegable Puertas de enlace.
  4. En la pestaña Direcciones, haga clic en Agregar.
    Se abre el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of the Tunnel Route Settings dialog box

  1. En la lista desplegable Local, seleccione la dirección local que desee.
    También puede hacer clic en el botón al lado de la lista desplegable Local para especificar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o un nombre de host. Debe coincidir con la dirección remota configurada en la ruta de túnel en el Sitio A.
  2. En el cuadro de texto Remoto, ingrese la dirección IP remota. También puede hacer clic en el botón que se encuentra al lado para especificar una dirección IP del host, una dirección de red, un rango de direcciones IP del host o un nombre de host. Esto debe coincidir con la dirección DNAT configurada en el Sitio A.
  3. En la lista desplegable Dirección, seleccione la tercera opción en la cual las flechas apuntan hacia Local.
  4. En el área Configuración de NAT no seleccione nada.
  5. Haga clic en Aceptar.
    Se agrega la ruta de túnel.

Screen shot of Edit Tunnel dialog box with settings for DNAT from the remote endpoint

  1. Guarde los cambios al Firebox.

Cuando el dispositivo en el Sitio B se reinicia, los dos dispositivos negocian un túnel VPN. El dispositivo del Sitio A aplica la NAT dinámica a todo el tráfico enviado a la red de confianza del dispositivo del Sitio B. Cuando ese tráfico alcanza el sitio B, llega como tráfico originado en la dirección IP DNAT.

Ver También

Acerca de NAT Dinámica

Configurar 1-to-1 NAT a través de un Túnel VPN de Sucursal