Cómo solucionar problemas de conexión VPN cuando se utiliza NAT

Índice de Contenido
  1. ¿Por qué la configuración de una red privada virtual (VPN) puede ser difícil con NAT habilitado?
    1. Conceptos importantes
    2. Protocolos de VPN
    3. NAT y VPN
    4. Palabra final

¿Por qué la configuración de una red privada virtual (VPN) puede ser difícil con NAT habilitado?

Un problema común que enfrentan muchos administradores de redes es configurar un cliente de red privada virtual (VPN) desde una estación de trabajo con una dirección IP no enrutada (privada), solo para descubrir, ante mucha frustración, que la traducción de direcciones de red (NAT) en el enrutador de Internet impide que el cliente de VPN establezca la conexión. Vamos a analizar las razones detrás de este problema común y ver qué puedes hacer al respecto.

Conceptos importantes

Primero, aquí hay cuatro conceptos básicos que necesitas entender:

  • Encapsulamiento: implica envolver una cabecera alrededor de una unidad de datos, generalmente un paquete IP. El encapsulamiento también puede denominarse túnel. Por ejemplo, los paquetes IP se encapsulan en una cabecera de frame relay cuando atraviesan una WAN de frame relay.
  • Encriptación: proporciona una forma de asegurar los datos confidenciales al traducirlos a un código privado. Luego, solo se pueden descifrar utilizando una clave secreta o una contraseña.
  • Una VPN: encapsula y encripta paquetes para enviar los datos de una red privada a través de una red pública (como Internet) hacia otra red privada. Los protocolos más populares para asegurar el tráfico de VPN son Point-to-Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP) y IP Security (IPSec).
  • NAT: se basa en RFC1631 y se utiliza típicamente para conectar una red privada a una red pública, como conectar la red de tu empresa a Internet. De hecho, es probable que estés utilizando NAT para acceder a este artículo a través de Internet. Para obtener más información, puedes consultar mi artículo "Configuración de NAT utilizando el Cisco IOS" o el artículo de Cisco "Cómo funciona NAT". Ten en cuenta que, para funcionar, NAT no solo intercambia las direcciones IP de origen y destino, sino que también puede intercambiar los puertos de origen y destino TCP, cambiar las sumas de verificación de encabezados IP y TCP, cambiar los números de secuencia y de reconocimiento TCP y cambiar las direcciones IP contenidas en la carga útil de datos.

Protocolos de VPN

Ahora debemos analizar algunas de las diferencias importantes entre los dos métodos de túnel VPN:

  • IPSec y L2TP: Estos dos protocolos abiertos son populares en múltiples plataformas. Sin embargo, generalmente encapsulan y encriptan el datagrama IP, que contiene las direcciones IP de origen y destino. Esto puede dificultar su compatibilidad con NAT. IPSec puede funcionar de dos formas diferentes: modo transporte y modo túnel. El modo transporte es entre un cliente y un servidor. El modo túnel es entre dos pasarelas de túnel IPSec (por ejemplo, dos enrutadores o servidores). En el modo transporte, las cabeceras de la aplicación, las cabeceras TCP/UDP y los datos se encriptan, dejando expuestas las cabeceras IP. Los datos de autenticación se calculan en función de los valores de la cabecera IP (entre otras cosas). En el modo túnel, todo el paquete (incluidas las cabeceras IP) se encripta y se añaden nuevas cabeceras IP.
  • PPTP: Este protocolo propietario de Microsoft no encapsula ni encripta el datagrama IP, lo que hace que este protocolo sea compatible con NAT, o "amigable con NAT". El servicio de VPN (RRAS) de Windows 2000 utiliza este protocolo de VPN de forma predeterminada. Si estás utilizando NAT, elegir los servicios de VPN de Windows 2000 con PPTP puede simplificar en gran medida los problemas de VPN-NAT.

NAT y VPN

Se supone que NAT es transparente para las aplicaciones con las que funciona. Muchos dilemas de NAT y VPN se crean debido a esta suposición. NAT puede interrumpir un túnel VPN porque NAT cambia la dirección de red de la capa 3 de un paquete (y los valores de suma de verificación), mientras que el túnel, utilizado por una puerta de enlace de VPN IPSec o L2TP, encapsula/encripta la dirección de red de la capa 3 de un paquete con otra dirección de red de la capa 3, eliminándola en el otro extremo.

En otras palabras, después de que un paquete pasa por el proceso de NAT, tiene una dirección de red diferente. Pero después de que un paquete pasa por el proceso de túnel VPN IPSec o L2TP, tiene la misma dirección de red. Este concepto es invaluable al configurar y solucionar problemas de NAT y VPN juntos.

Como dije antes, elegir PPTP a menudo puede eliminar los problemas de VPN-NAT creados con IPSec y/o L2TP. Sin embargo, si estás intentando crear un túnel a través de Internet entre dos enrutadores Cisco (u otros dispositivos u sistemas operativos que no sean de Microsoft), es probable que estés utilizando IPSec. Si estás utilizando IPSec con NAT en un enrutador Cisco, puedes solucionar los problemas de VPN-NAT seleccionando el tráfico que se va a NATear y asegurándote de que ese tráfico no se NATee, sino que se encapcule y encripte en la cabecera IPSec.

Cómo utilizar la utilidad NETSTAT para solucionar problemas de conectividad TCP/IP en Windows

En otras palabras, quieres que el tráfico destinado a destinos reales de Internet se NATee y quieres que el tráfico destinado a viajar a través del túnel IPSec se enchufe, no se NATee. En los equipos Cisco, esto se logra utilizando una lista de control de acceso.

Volviendo a nuestro escenario original del administrador de red con problemas que configura una estación de trabajo con una dirección IP privada e intenta usar un cliente de VPN para pasar por un enrutador habilitado para NAT. Supongamos que el administrador está utilizando un cliente de VPN basado en IPSec (no PPTP). Dado que esto es de un cliente a un servidor, esto significa que el administrador está utilizando IPSec en modo transporte.

Recuerda que en el modo transporte, la cabecera de IP no está encriptada sino expuesta. Sin embargo, los datos de autenticación se calculan en función de los valores de la cabecera IP (entre otras cosas). Cuando los paquetes llegan al enrutador de NAT, las cabeceras IP se modifican (NATeadas). Al llegar al servidor de VPN, los datos de autenticación en el paquete son inválidos porque la información de la cabecera IP fue modificada por NAT. Por lo tanto, el servidor de VPN descarta el paquete y el cliente de VPN nunca se conecta.

Para lidiar con este problema, los proveedores de productos de VPN están comenzando a incorporar capacidades de travesía NAT para IPSec en sus productos. Se están utilizando diferentes estándares e implementaciones de proveedores para que esto funcione. La mayoría se basa en algún tipo de encapsulamiento IPSec en paquetes UDP. Debido a que el paquete IPSec ahora está encapsulado, los dispositivos NAT no afectan la información de la cabecera IP del paquete y los datos de autenticación IPSec siguen siendo válidos. Por lo tanto, se puede establecer una conexión.

Palabra final

Este es un tema complejo que no debe tomarse a la ligera. Comprender cómo NAT y las diferentes implementaciones de VPN hacen lo que hacen es crucial. También debes consultar con tus proveedores de enrutadores y VPN para obtener soluciones específicas que sus productos puedan tener para lidiar con la interoperabilidad de NAT y VPN.

Cisco proporciona las siguientes configuraciones y escenarios de red de ejemplo que pueden ayudar a comprender y manejar los problemas de NAT-VPN:

Cuál es el mejor protocolo de enrutamiento para su red Análisis y recomendaciones.
  • "Configuración de enrutador a cliente VPN, modo-config, clave precompartida de comodín con NAT"
  • "Configuración de muestra: túnel IPSec a través de un firewall con NAT"
  • "Configuración de una red privada-a-privada, túnel IPSec con NAT y una dirección IP estática"
  • "Configuración de IPSec de enrutador a enrutador, dinámica-estática con NAT"
  • "Configuración de IPSec de enrutador a enrutador, precompartida, sobrecarga NAT entre redes privadas"
  • "Configuración de IPSec de enrutador a enrutador con sobrecarga NAT y cliente de VPN CiscoSecure"

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Cómo solucionar problemas de conexión VPN cuando se utiliza NAT , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.