La Traducción de Direcciones de Red (NAT) es una técnica fundamental en la gestión de redes que permite a múltiples dispositivos dentro de una red privada local (LAN) acceder a Internet utilizando una única dirección IP pública. Este proceso es esencial para la conservación de direcciones IP públicas, especialmente en la era de IPv4, y añade una capa adicional de seguridad al ocultar las direcciones IP internas del acceso externo no solicitado. Comprender cómo configurar NAT, especialmente en dispositivos como los routers Mikrotik, es crucial para administradores de red y usuarios avanzados que buscan optimizar y controlar su infraestructura de red.
Fundamentos de la Traducción de Direcciones de Red (NAT)
En su núcleo, NAT opera modificando la información de la dirección IP y el puerto en los encabezados de los paquetes IP a medida que atraviesan un router o firewall. Cuando un dispositivo en una red interna envía un paquete hacia Internet, su dirección IP privada de origen se reemplaza por la dirección IP pública del router. Los sistemas externos que responden o inician conexiones solo ven la dirección IP pública del router, sin tener visibilidad de los dispositivos individuales detrás de él.
El propósito principal de implementar NAT es superar la escasez de direcciones IPv4. La mayoría de las implementaciones utilizan NAT de "uno a muchos", donde la dirección IP externa de un router se presenta a varias direcciones IP internas. Esta configuración no solo ahorra direcciones IP públicas, sino que también actúa como una barrera de seguridad, ya que el tráfico entrante no solicitado se bloquea por defecto.
Paquetes de Red y NAT
Para comprender completamente NAT, es útil tener una noción de los paquetes de red. Un paquete de red sale de tu dirección privada (tu ordenador) y se envía a través del módem. Sin un router que gestione la traducción, cada dispositivo necesitaría una dirección IP pública única, lo que nos llevaría a un escenario de NAT estática para cada conexión individual, algo inviable para redes domésticas y empresariales modernas.
Tipos de NAT y sus Características
Si bien no existe una definición única y estricta de los tipos de NAT, ya que a menudo se refieren a enfoques y configuraciones específicas del dispositivo, se pueden clasificar según su nivel de restricción y funcionalidad.
NAT Abierta
Las NAT abiertas se caracterizan por su falta de restricciones. Desactivan la mayoría de las configuraciones de cortafuegos, lo que permite un acceso más libre a las conexiones externas e internas. Los usuarios con NAT abierta suelen experimentar conexiones rápidas a servidores y menos retrasos, lo cual es particularmente beneficioso para los juegos en línea. Sin embargo, esta apertura también implica una menor seguridad.
NAT Moderada
Las NAT moderadas representan un equilibrio entre las NAT abiertas y estrictas. Ofrecen lo mejor de ambos mundos, permitiendo una comunicación de red razonablemente fluida sin sacrificar excesivamente la seguridad. Este tipo de NAT impide que los datos no solicitados viajen libremente a través de tu red local, lo que mejora la seguridad en comparación con una NAT abierta. Una NAT de Tipo 2 se considera una NAT moderada, indicando que el dispositivo está detrás de un cortafuegos con ciertas restricciones.
NAT Estricta
Las NAT estrictas son las menos populares debido a sus restricciones significativas. Impiden que los dispositivos conectados se comuniquen libremente entre sí y pueden limitar la capacidad de unirse a ciertos servidores o partidas en línea. Con una NAT estricta, es posible que solo puedas jugar con personas que tengan una NAT abierta.
Desajustes de Tipos de NAT
Los problemas de conectividad, especialmente en aplicaciones como los juegos en línea, a menudo se deben a un desajuste entre los tipos de NAT del router y los del servicio al que se intenta acceder. Un desajuste de tipos de NAT significa que no toda la información se intercambia correctamente entre las direcciones IP involucradas. Por ejemplo, una NAT estricta solo puede interactuar con una NAT abierta, mientras que una NAT moderada tiene más flexibilidad pero aún puede enfrentar limitaciones. Cambiar el tipo de NAT puede permitir un mayor control sobre la experiencia de red, pero también conlleva riesgos de seguridad.
Configuración de NAT en Mikrotik
En los dispositivos Mikrotik, la configuración de NAT se realiza principalmente a través del menú IP > Firewall. Para configurar NAT, es necesario crear una regla de NAT específica.
Elementos Clave de una Regla de NAT en Mikrotik
- Chain (Cadena): Indica la dirección del tráfico al que se aplicará la regla. Para el NAT que permite a los dispositivos internos acceder a Internet, se suele utilizar la cadena
output(salida) osrcnat. - Action (Acción): Define la operación que se realizará sobre el tráfico que coincide con la regla. Las acciones más comunes son:
- Masquerade: Esta es una forma simple y eficiente de NAT, ideal para escenarios donde el enlace a Internet del dispositivo NAT tiene una dirección IP dinámica. En este caso, la dirección IP de origen de los paquetes de datos enviados desde la LAN se sustituye automáticamente por la dirección IP pública actual del dispositivo NAT.
- Src-nat: Esta es una forma más compleja y específica de NAT. Se utiliza cuando el enlace a Internet del dispositivo NAT tiene una dirección IP pública estática y válida. Con
src-nat, la dirección IP de origen de los paquetes de datos de la LAN se cambia a una dirección IP pública específica que se define explícitamente en la regla de NAT.
Registro de Mapeos de NAT
Un registro de mapeo de NAT es esencialmente una tabla que almacena información sobre las conversiones de direcciones IP que NAT ha realizado. Estos registros incluyen detalles como la dirección IP de origen, la dirección IP de destino, el puerto de origen y el puerto de destino de cada transacción. Los registros de mapeo de NAT son valiosos para fines de monitoreo y auditoría de la red.
Métodos Avanzados y Consideraciones de Seguridad
Además de la configuración básica en Mikrotik, existen otras técnicas y consideraciones importantes para la gestión de NAT.
UPnP (Universal Plug and Play)
UPnP es un protocolo que permite a los dispositivos en una red descubrirse y comunicarse entre sí de forma automática. En el contexto de NAT, UPnP puede ser útil para que las aplicaciones abran puertos dinámicamente en el router, facilitando la conectividad para juegos y otras aplicaciones P2P. Sin embargo, la activación de UPnP puede presentar riesgos de seguridad, ya que permite que las aplicaciones realicen cambios en la configuración del router sin intervención manual explícita. Normalmente, la opción UPnP se encuentra en la configuración de red avanzada del router.
Redirección de Puertos (Port Forwarding)
La redirección de puertos es una versión más controlada del UPnP. Permite asignar un puerto específico del router a un dispositivo y puerto específicos dentro de la red interna. Esto es útil para hacer accesibles servicios (como servidores de juegos o aplicaciones web) que se ejecutan en la LAN desde Internet. Al igual que UPnP, tener un puerto abierto expone la red a ciertos riesgos de seguridad. Antes de configurar la redirección de puertos, es necesario conocer el puerto preferido de la aplicación o juego.
DMZ (Zona Desmilitarizada)
La DMZ de un router se refiere a la configuración que expone completamente un único dispositivo de la red interna a Internet. Esto significa que el dispositivo en la DMZ no se beneficia de la protección del cortafuegos del router para el tráfico entrante. Los especialistas en redes generalmente prefieren métodos más controlados como la redirección de puertos o la configuración específica en el panel de control del router en lugar de la DMZ. El modo DMZ solo debe utilizarse en casos de emergencia o para aplicaciones muy específicas que requieran una exposición total y temporal.
Detección de Redes
La detección de redes ofrece varias ventajas para la red local, como una mayor velocidad de Internet y la capacidad de que los dispositivos se encuentren fácilmente entre sí en sistemas como Windows. En routers más antiguos, esta funcionalidad podía depender de la modificación de archivos de configuración.
Configuración de NAT Estática en Dispositivos Cisco
La NAT estática establece una asignación uno a uno entre una dirección IP interna y una dirección IP externa. Esto permite que los dispositivos externos inicien conexiones a dispositivos internos utilizando la dirección IP pública asignada estáticamente. Es particularmente útil para servidores web o FTP dentro de una red local, donde se necesita acceso directo desde Internet.
Pasos para Configurar NAT Estática en Cisco CLI
- Iniciar sesión en el dispositivo: Acceda al router mediante SSH o Telnet y entre en modo de ejecución privilegiado (
enable). - Entrar en modo de configuración global: Ejecute el comando
configure terminal. - Configurar la traducción estática: Utilice el comando
ip nat inside source static PRIVATE_IP PUBLIC_IP. Por ejemplo,ip nat inside source static 10.0.0.2 59.40.40.1mapea la IP interna10.0.0.2a la IP pública59.40.40.1. - Configurar la interfaz interna: Navegue a la interfaz que conecta con la red interna (ej.
interface fa0/0) y aplique el comandoip nat inside. - Configurar la interfaz externa: Navegue a la interfaz que conecta con la red externa (ej.
interface fa0/1) y aplique el comandoip nat outside. - Salir del modo de configuración: Use
exitpara volver al modo de ejecución privilegiado. - Verificar la configuración: Ejecute
show ip nat translationspara ver las traducciones activas. Las traducciones estáticas siempre aparecerán en esta tabla. - Guardar la configuración: Copie la configuración en ejecución a la configuración de inicio con
write memory.
CCNA2: NAT Estática.
Configuración de NAT Dinámica
La NAT dinámica traduce direcciones IP internas a direcciones IP públicas de un conjunto (pool) de direcciones públicas disponibles. A diferencia de la NAT estática, no hay una asignación fija uno a uno. Las direcciones del conjunto se asignan a los dispositivos internos según la demanda, en el orden en que generan tráfico hacia la red externa.
Consideraciones para NAT Dinámica
- Suficiencia del conjunto: Es crucial que el conjunto de direcciones públicas contenga suficientes direcciones para soportar simultáneamente a todos los dispositivos internos que necesiten acceso a Internet. Si el conjunto se agota, los dispositivos deberán esperar a que una dirección se libere.
- Verificación: El comando
show ip nat translationsmostrará las traducciones dinámicas activas, las cuales se crean a medida que el tráfico fluye. Estas entradas dinámicas tienen un tiempo de espera predeterminado (generalmente 24 horas), pero pueden borrarse manualmente con el comandoclear ip nat translation.
Configuración de PAT (Port Address Translation)
PAT, también conocido como NAT de sobrecarga, es una forma de NAT dinámica que permite que múltiples dispositivos internos compartan una única dirección IP pública, diferenciándose por el número de puerto utilizado en cada conexión. Esto es especialmente útil cuando solo se dispone de una dirección IP pública.
Escenarios de Configuración de PAT
- PAT con un conjunto de direcciones IP públicas: Si se dispone de varias direcciones IP públicas, estas pueden formar parte de un conjunto utilizado por PAT. La diferencia clave con la NAT dinámica es el uso de la palabra clave
overloaden la configuración. - PAT con una única dirección IP pública: En este escenario, todos los hosts de la red interna que envían tráfico a Internet a través del router se traducen a la única dirección IP pública disponible, generalmente la de la interfaz externa que se conecta al ISP. La configuración utiliza la palabra clave
interfaceen lugar de definir un pool de NAT.
La verificación de PAT se realiza observando el comando show ip nat translations, donde se verá que la misma dirección IP pública se asigna a múltiples hosts internos, pero se distinguen por los números de puerto de origen únicos.
NAT en Entornos Virtualizados (Hyper-V)
En entornos de virtualización como Hyper-V, NAT es un modo de red diseñado para conservar direcciones IP. Hyper-V utiliza un mecanismo llamado WinNAT para asignar una dirección IP externa y un puerto a un conjunto de direcciones IP internas utilizadas por las máquinas virtuales.
Configuración de NAT en Hyper-V
- Conmutador Interno: Se crea un conmutador interno, a menudo llamado
vEthernet (SwitchName), que permite la comunicación entre las máquinas virtuales y el host. - Dirección IP del Gateway NAT: Se asigna una dirección IP al gateway NAT, típicamente en el formato
a.b.c.1, que reside dentro del rango de direcciones IP utilizadas por las máquinas virtuales invitadas. - Asignación Manual de IP: WinNAT por sí solo no asigna direcciones IP a las máquinas virtuales. Es necesario configurar manualmente la dirección IP, la puerta de enlace predeterminada y la información del servidor DNS dentro de cada máquina virtual, asegurándose de que estén dentro del prefijo de subred interna NAT.
- Coexistencia de Múltiples NAT: Para escenarios donde varias aplicaciones o servicios (como Docker para Windows y contenedores de Windows) necesitan compartir la misma NAT, es crucial asegurarse de que el prefijo de subred interna NAT sea lo suficientemente amplio para abarcar los intervalos de IP asignados por cada servicio. Esto puede implicar la configuración de múltiples conmutadores virtuales internos.
La gestión de NAT en entornos virtualizados requiere una planificación cuidadosa para asegurar la conectividad y evitar conflictos de direcciones IP. La correcta configuración del prefijo de subred interna y la asignación de IPs dentro de las máquinas virtuales son pasos clave para el funcionamiento exitoso.