El bucle invertido de NAT permite a un usuario en las redes de confianza u opcionales conectarse a un servidor público con su dirección IP o nombre de dominio público del servidor, si el servidor se encuentra en la misma interfaz física del Firebox. Si los usuarios de Mobile VPN se conectan con sus redes de confianza u opcionales, y enrutan el tráfico de Internet a través del túnel VPN, puede configurar el bucle invertido de NAT para el tráfico desde los clientes de Mobile VPN.
Puede configurar el bucle invertido de NAT con NAT estática o con 1-to-1 NAT.
- Mobile VPN with IKEv2, L2TP y SSL — Puede utilizar NAT estática o 1-to-1 NAT para configurar el bucle invertido de NAT desde los clientes de Mobile VPN.
- Mobile VPN with IPSec — Debe utilizar 1-to-1 NAT para habilitar el bucle invertido de NAT para el tráfico desde los clientes de Mobile VPN, porque las políticas de Mobile VPN with IPSec no admiten acciones NAT estáticas.
Para permitir que los usuarios de Mobile VPN usen el bucle invertido de NAT, el usuario móvil y las políticas VPN que permiten tráfico desde clientes VPN deben cumplir con estos requisitos.
- El cliente debe utilizar la VPN para enrutar el tráfico a la dirección IP del servidor.
- Si el bucle invertido de NAT se configura como una acción NAT estática, el cliente debe usar la VPN para enrutar el tráfico a la dirección IP usada en la acción NAT estática
- Si el bucle invertido de NAT se configura con 1-to-1 NAT, el cliente debe utilizar la VPN para enrutar el tráfico a la dirección IP basada en NAT.
- Los recursos permitidos configurados en los ajustes de VPN deben incluir la dirección IP o la subred para la dirección IP bajo NAT estática o 1-to-1 NAT.
- Para Mobile VPN with IPSec, el recurso VPN permitido en el perfil de Mobile VPN with IPSec y la política de Mobile VPN debe incluir la dirección IP basada en NAT, o una subred que incluya la dirección IP NAT base configurada en los ajustes 1-to-1 NAT.
- La política que tiene la dirección IP NAT estática o NAT base en la lista A debe contener uno de los siguientes en la lista Desde para el tráfico de un usuario de Mobile VPN que coincida con la política:
- El nombre de un usuario de Mobile VPN.
- Un nombre de grupo del cual el usuario de Mobile VPN es miembro.
- Una dirección IP, una subred o alias que incluye o coincide con la dirección IP virtual asignada al usuario de Mobile VPN. La dirección IP virtual asignada al usuario depende del grupo de direcciones IP configurado para la VPN.
- El alias Cualquiera.
Si no es posible cumplir con cada uno de estos requisitos, el usuario aún puede utilizar la dirección IP interna y privada del host interno para conectarse, si el acceso a ese host es permitido por la configuración y la política de VPN. Si el cliente no utiliza Mobile VPN para enrutar a la dirección IP pública usada en NAT Estática, o la dirección IP base 1-to-1 NAT, el cliente puede utilizar la conexión regular de Internet para conectarse con la dirección IP pública del servidor, si ese tráfico entrante está permitido por una política configurada.