NAT en túnel para cumplir políticas remotas

Nuevo
  • Publicado el Mar 24, 2026
  • 3 minuto(s) leído(s)
  • AM
 Prev Next

DrayTek | VPN | IPSec NAT | Guía de Configuración | Routers DrayTek | NAT en túnel para cumplir políticas remotas

Marca: DrayTek
Tecnología: VPN
Subtecnología: IPSec con NAT
Tipo de artículo: Guía de configuración
Nivel técnico: Intermedio
Tiempo estimado: 10 min
Autor: TVC Ingeniería
Componentes: Router DrayTek, VPN IPSec, Firewall remoto
Tags: VPN, IPSec, NAT, Firewall, DrayTek

Posibles Fallos:

  • No hay comunicación entre redes por VPN

  • Tráfico bloqueado por firewall remoto

  • Subredes no coinciden con políticas remotas

Causas Probables:

  • Diferencias de direccionamiento entre redes

  • Políticas de firewall que no permiten la red local real

  • Falta de NAT dentro del túnel VPN

  • Selectores de tráfico mal configurados

Paso a paso de solución:

  1. Identificar el problema

    • La red remota solo permite tráfico desde una subred específica.

    • La red local usa un rango diferente → no coincide con políticas.

  2. Aplicar NAT dentro del túnel VPN

    • Configurar NAT para que la red local se “presente” como otra IP/rango permitido.

    • Esto permite que el firewall remoto acepte el tráfico.

  3. Configurar reglas NAT

    • Crear regla que traduzca la IP origen local → IP compatible con red remota.

    • Aplicar solo al tráfico que pasa por el túnel VPN.

  4. Configurar selectores de tráfico (IPSec)

    • Asegurar que coincidan con las IPs traducidas (no las reales).

    • Importante para que el túnel levante correctamente.

  5. Validar rutas

    • Verificar que las IPs NATeadas apunten al túnel VPN.  

  6. Pruebas

    • Hacer ping entre redes usando IPs traducidas.

    • Verificar logs de firewall y VPN.

Referencias visuales:

  • Diagrama típico:

    • Red local (192.168.x.x) → NAT → (10.x.x.x) → VPN → Red remota

  • NAT 1:1 o NAT dinámico aplicado solo al tráfico VPN  

Sugerencias:

  • Usar NAT cuando:

    • Hay conflicto de subredes

    • Firewall remoto es restrictivo

  • Verificar siempre:

    • UDP 500 y 4500 abiertos (NAT-T)  

  • Evitar usar direcciones reales si no están permitidas

Estandarización de Equipos:

  • Definir rangos IP estándar para VPN

  • Documentar NAT aplicado por túnel

  • Mantener consistencia en políticas IPSec

Equipos Compatibles:

  • Routers DrayTek

  • Firewalls con soporte IPSec + NAT

  • Equipos con NAT-T

No Compatibles:

  • Equipos sin soporte NAT en VPN

  • Configuraciones IPSec con selectores estrictos incompatibles con NAT  

Versiones de Firmware requeridas:

  • Firmware actualizado con soporte:

    • IPSec VPN

    • NAT sobre VPN

    • NAT-T habilitado

Cursos recomendados (LMS TVC):

  • Configuración de VPN IPSec

  • Seguridad en redes y firewalls

  • Implementación de NAT en redes empresariales

El router Vigor admite la aplicación de NAT al tráfico en una VPN IPsec LAN a LAN, de modo que la red remota solo vea tráfico de una única dirección IP. Esto es necesario cuando el servidor VPN utiliza una red para establecer la conexión IPsec, pero la política del firewall permite que una dirección IP diferente acceda a su red local, como se muestra a continuación.

  • Dirección IP de la red local de la oficina central: 192.168.188.1/24

  • Dirección IP de la red local del router Vigor: 192.168.1.1/24

  • El router de la oficina central solo acepta que el Vigor2960 utilice la IP 172.16.2.129 para acceder a su red local.

 

En el sitio del cliente VPN

1. Vaya a VPN y acceso remoto >> LAN a LAN , haga clic en cualquier índice para crear un perfil.

2. En el perfil,

Configuración común

  1. Indique un nombre de perfil

  2. Habilitar este perfil

  3. Seleccione la interfaz WAN

  4. Seleccione Marcación saliente para la dirección de la llamada.

  5. (Opcional) Marque la opción Siempre activado

Configuración de marcación saliente (versión 4.xx)

  1. Seleccionar túnel IPsec

  2. Introduzca la dirección IP WAN o el nombre de dominio del servidor VPN.

  3. Introduzca la clave de pre-fragmentación IKE.

  4. Introduzca la IP que solicita el servidor VPN en Mi IP WAN (en este ejemplo, la IP será 172.16.2.129).

Configuración de marcación saliente (versión 3.xx)

  1. Seleccionar túnel IPsec

  2. Introduzca la dirección IP WAN o el nombre de dominio del servidor VPN.

  3. Introduzca la clave de pre-fragmentación IKE.

Configuración de red TCP/IP

  1. Introduzca la IP que solicita el servidor VPN en Mi IP WAN (en este ejemplo, la IP será 172.16.2.129).

  2. Ingrese a la red LAN del servidor VPN en la dirección IP de red remota.

  3. Seleccione NAT

  4. Haz clic en Aceptar

3. Vaya a VPN y acceso remoto >> Administración de conexiones y haga clic en Marcar .

En el sitio del servidor VPN

Aquí radica la diferencia con o sin la traducción de la red local del cliente.

1. Sin la traducción de la red local del cliente VPN: El estado mostrará la red virtual como la red LAN del cliente VPN. En este ejemplo, es 192.168.1.1/24.

2. Con la traducción de la red local del cliente VPN: El estado mostrará la red virtual como la única IP traducida del cliente VPN. En este ejemplo, es 172.16.2.129/32.

Artículos relacionados