NAT: llegar a una red gestionada que no tiene puerta de enlace

      Comentarios desactivados en NAT: llegar a una red gestionada que no tiene puerta de enlace

NAT (Network address translation) es una de las soluciones temporales al problema de ocupación de direcciones IPv4. Una solución muy socorrida y poco comprendida en muchas ocasiones. No se trata de marcar una casilla en el firewall y que mágicamente haya internet.

Hacer NAT consiste en traducir una dirección IP por otra, en uno de los elementos de red sin que la comunicacion end-to-end se vea afectada. Y porque se traduce, sólo el elemento de red traductor (un router, un firewall…) conoce dicha traducción.

Existen muchos casos en los que se puede emplear NAT, y el más común es el que se realiza en todos los routers caseros cuando salen a internet, y que se denomina “overload”.

Hoy voy a plantear un uso de NAT dirigido a aquellos casos de gestión remota de equipos en redes profesionales.

El escenario es el de una red de gestión remota (mediante un tunel IPSec, una red MPLS, o una subred IP del mismo firewall) que necesita gestionar una red remota cuyos equipos no tienen enrutamiento hacia la red de gestión. Esto es muy común por ejemplo en redes donde los dispositivos no necesitan conexión a internet para su funcionamiento habitual (por ejemplo, un teléfono IP que tiene su centralita en la misma subred).

En este caso, el dispositivo sí que tiene enrutamiento contra toda su red local (por protocolo IP), así que, administrando los equipos, podemos aplicar NAT en el flujo de tráfico entrante hacia la red para presentarnos en esa red con una IP de la misma subred de estos dispositivos remotos.

Como el firewall sabe llegar a la red de gestión, y tiene un NAT aplicado, sabe devolver los paquetes y podremos gstionar esa red sin necesidad de que los dispositivos sepan llegar a la red de gestión.

Ojo, cada fabricante tiene una configuración diferente e incluso le da nomenclatura diferente; se da mucho eso de llamar VIP a una regla de NAT, que por cierto, no está mal empleado el término VIP, pero el concepto es de un NAT en este caso.

Ya hablaremos de cómo aplicar ciertas configuraciones en diferentes tecnologías.