BOVPN en un Firebox Detrás de un Dispositivo que Hace NAT

Recomendamos que la interfaz externa del Firebox tenga una dirección IP pública. Si la interfaz externa de su Firebox tiene una dirección IP privada porque su ISP realiza la Traducción de Dirección de Red (NAT) o porque su Firebox está conectado a un dispositivo que realiza NAT, un dispositivo VPN remoto no puede usar esa dirección IP privada para las conexiones VPN al Firebox.

Aun así puede configurar los túneles VPN porque el Firebox usa NAT Traversal (NAT-T). Este tema explica cómo configurar los túneles BOVPN cuando el dispositivo NAT al que se conecta Firebox tiene una dirección IP pública dinámica o estática.

Requisitos

Puertos

Los dispositivos que utilizan NAT suelen tener algunas funciones básicas de firewall. Para establecer un túnel VPN hacia su Firebox cuando el Firebox está instalado detrás de un dispositivo que admite NAT, el dispositivo NAT debe dejar que pase el tráfico. Esos puertos y protocolos deben estar abiertos en el dispositivo NAT:

Puerto UDP 500 (IKE)
Puerto UDP 4500 (NAT Traversal)

NAT Traversal (NAT-T)

Debe habilitar NAT-T en el Firebox y el otro dispositivo de endpoint VPN. Con NAT-T habilitado, el Firebox y el otro dispositivo de endpoint de VPN pueden detectar el dispositivo NAT y cambiar paquetes de datos de ESP sin procesar a ESP encapsulado dentro de paquetes UDP 4500. Entonces los paquetes encapsulados se pueden hacer NAT.

En una captura de paquete pcap de este tráfico, solo verá el tráfico UDP 500, que ocurre durante la configuración de la BOVPN, seguido del tráfico UDP 4500 para todos los paquetes de datos.

No es necesario que especifique direcciones IP privadas en los ajustes de la Fase 1 en el Firebox o en el otro dispositivo de endpoint de VPN. La siguiente sección muestra cómo especificar una ID de puerta de enlace que no es una dirección IP.

Si el dispositivo NAT al que el Firebox se conecta tiene una dirección IP pública dinámica

En este caso, recomendamos una de estas dos opciones:

Opción 1 — Utilizar DNS dinámico:

Acerca del Servicio de DNS Dinámico.
Configure los Ajustes Generales para una puerta de enlace BOVPN.
En los ajustes de la Fase 1 de la configuración de la puerta de enlace BOVPN, seleccione NAT Traversal.

Screen shot of the Phase 1 settings

Configuración de la Fase 1 en la Web UI

Screen shot of the NAT Traversal setting

Configuración de la Fase 1 en Policy Manager

Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN y especifique esta opción para el ID de la puerta de enlace:

En la Web UI, seleccione Por Nombre de Dominio.
En Policy Manager, seleccione Por Información de Dominio.

Escriba el nombre de dominio del proveedor de servicios de DNS dinámico como la ID Local. El dispositivo remoto debe identificar su Firebox por nombre de dominio y debe usar el nombre de dominio del proveedor de servicios de DNS dinámico asociado a su Firebox.

Screen shot of the gateway endpoint settings

Ajustes del Endpoint de Puerta de Enlace en la Web UI

Screen shot of the gateway endpoint settings

Configuración del Endpoint de la Puerta de Enlace en Policy Manager

Configure todas las demás configuraciones de BOVPN como se especifica en Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN.
Configurar Túneles BOVPN Manuales.

Opción 2 — Especificar una ID de puerta de enlace no determinable:

Puede especificar cualquier tipo de ID de puerta de enlace y cualquier ID de puerta de enlace, pero las ID de puerta de enlace locales y remotas deben corresponder de la siguiente manera:

La ID local de la puerta de enlace en Firebox A y la ID remota de la puerta de enlace en Firebox B deben coincidir.
La ID local de la puerta de enlace en Firebox B y la ID remota de la puerta de enlace en Firebox A deben coincidir.

Acerca del Servicio de DNS Dinámico.
Configure los Ajustes Generales para una puerta de enlace BOVPN.
En los ajustes de la Fase 1 de la configuración de la puerta de enlace BOVPN, seleccione NAT Traversal.
Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN y especifique esta opción para el ID de la puerta de enlace:

En la Web UI, seleccione Por Nombre de Dominio.
En Policy Manager, seleccione Por Información de Dominio.

En el cuadro de texto adyacente, escriba las letras, los números o los caracteres que se usarán para la ID de la puerta de enlace. Por ejemplo, escriba el nombre test.

Screen shot of the domain name setting

Ajustes del Endpoint de Puerta de Enlace en la Web UI

Screen shot of the domain name settings

Configuración de Dominio de ID de la Puerta de Enlace en Policy Manager

Screen shot of the domain setting

Configuración del Endpoint de la Puerta de Enlace en Policy Manager

Configure todas las demás configuraciones de BOVPN como se especifica en Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN.
Configurar Túneles BOVPN Manuales.

Como práctica recomendada, el tráfico siempre debe generarse desde los dispositivos que están protegidos por el firewall NAT-T. El Firebox anterior al dispositivo NAT con una dirección IP pública dinámica debe iniciar la conexión VPN si se le asigna una nueva dirección IP al dispositivo NAT. Esto es necesario para que el dispositivo remoto sepa cómo comunicarse con Firebox.

Si el dispositivo NAT al que el Firebox se conecta tiene una dirección IP pública estática

Para una conexión VPN a un Firebox remoto anterior a un dispositivo NAT, especifique la dirección IP pública y estática del dispositivo NAT en la configuración de la conexión VPN.

Por ejemplo, tiene dos Fireboxes A y B. Firebox B es anterior a un dispositivo NAT que tiene una dirección IP pública y estática de 192.0.2.1. En la Configuración del Endpoint de la Puerta de Enlace Remota para Firebox A, especifique la dirección IP 192.0.2.1.

Para la ID de la puerta de enlace, especifique cualquier dato excepto un nombre de dominio determinable. Por ejemplo, ingrese test o ID-123. Puede especificar cualquier tipo de ID de puerta de enlace y cualquier ID de puerta de enlace, pero las ID de puerta de enlace locales y remotas deben corresponder de la siguiente manera:

La ID local de la puerta de enlace en Firebox A y la ID remota de la puerta de enlace en Firebox B deben coincidir.
La ID local de la puerta de enlace en Firebox B y la ID remota de la puerta de enlace en Firebox A deben coincidir.

Configuración

Para un Firebox detrás de un dispositivo NAT con una dirección IP pública estática, configure estos ajustes BOVPN:

Acerca del Servicio de DNS Dinámico
Configure los Ajustes Generales para una puerta de enlace BOVPN.
En los ajustes de la Fase 1 de la configuración de la puerta de enlace BOVPN, seleccione NAT Traversal.
Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN y especifique esta opción para el ID de la puerta de enlace remota:

En la Web UI, seleccione Por Nombre de Dominio.
En Policy Manager, seleccione Por Información de Dominio.

Especifique un ID de puerta de enlace que no se pueda resolver.

Ajustes de Endpoint de Puerta de Enlace

Ajustes del Endpoint de Puerta de Enlace Remota en la Web UI

Screen shot of the Remote Gateway Settings

Configuración del Endpoint de la Puerta de Enlace Remota en Policy Manager

Configure todas las demás configuraciones de BOVPN como se especifica en Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN.
Configurar Túneles BOVPN Manuales.

Ver También

Configurar Puertas de Enlace BOVPN Manuales

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.