VPN de sitio a sitio con NAT en Zyxel USG FLEX H: guía de configuración

Una VPN de sitio a sitio crea una conexión segura y cifrada entre dos redes a través de Internet. Se utiliza para conectar sucursales, proporcionar acceso seguro a los recursos y gestionar el tráfico de forma centralizada. Sin embargo, en algunos casos, el enrutamiento normal no es suficiente. Las direcciones IP internas de una red pueden solaparse con las direcciones de otra red. Además, es posible que las políticas de seguridad del lado remoto no permitan el uso directo de direcciones IP internas. En estas situaciones, es necesario utilizar NAT en el dispositivo Zyxel para que el tráfico pase correctamente a través del túnel VPN.

Cuándo utilizar diferentes tipos de NAT en una VPN

Dependiendo del escenario, se pueden utilizar diferentes métodos SNAT en una VPN de sitio a sitio:

• SNAT a una única IP: se utiliza cuando todo el tráfico debe parecer que proviene de una única dirección IP de origen hacia el sitio remoto.

• NAT 1:1: se utiliza habitualmente en VPN de sitio a sitio para resolver redes superpuestas, evitar la renumeración, ocultar el direccionamiento interno y permitir una conectividad controlada entre organizaciones.

Nota: Asignar una subred completa a otra subred también se considera un escenario de NAT 1:1, no un tipo de SNAT independiente.

Por qué se necesita NAT en una VPN de sitio a sitio

• Si ambas partes utilizan subredes iguales o superpuestas (por ejemplo, 192.168.1.0/24), el enrutamiento no funcionará correctamente. El NAT cambia la dirección IP de origen a una subred diferente y elimina el conflicto.

• Si la red asociada solo acepta tráfico de direcciones IP específicas, el NAT puede ocultar las direcciones internas y sustituirlas por un rango de IP permitido.

• Si no es posible añadir rutas correctas, o si una de las partes utiliza una dirección IP dinámica, NAT ayuda a enviar el tráfico correctamente a través del túnel VPN.

• El NAT 1:1 permite que el tráfico utilice una única dirección IP de origen. Esto facilita la administración y la supervisión.

En este artículo, analizaremos uno de los casos de uso más comunes del NAT 1:1. Explicaremos cómo configurar una VPN de sitio a sitio con NAT 1:1 en Zyxel USG FLEX H cuando ambos sitios utilizan la misma subred.

Escenario: subredes superpuestas

Para evitar conflictos, el sitio A (sede central) traducirá su LAN a 10.10.10.0/24 (utilizada solo dentro de la VPN).

Ambos sitios utilizan la misma subred.

Sin NAT 1:1, los dispositivos no pueden distinguir entre las redes locales y remotas 192.168.1.0/24. El tráfico no se enrutará correctamente.

Sitio A: configurar una VPN de sitio a sitio con NAT en Zyxel USG FLEX H

En primer lugar, configure una VPN IPSec básica entre los dos dispositivos.

Vaya a: Interfaz web → VPN → VPN IPSec - VPN de sitio a sitio 

Añada un nuevo túnel y configure lo siguiente:

• Añadir

• Tipo: Sitio a sitio
• Versión IKE: IKEv2

Configuración general

Habilitar: ✔

Versión IKE: IKEv2

Tipo: Basado en políticas

Mi dirección: Selecciona la interfaz WAN

Dirección de la puerta de enlace del par: Introduzca la IP pública remota

Autenticación: Clave precompartida (la misma en ambos lados)

Paso 2 – Configuración de la fase 1

• En la configuración de la fase 1:
• Cifrado: AES128 (o según sea necesario)
• Autenticación/PRF: SHA1 o SHA256
• Grupo DH: DH14 (recomendado)
• Vida útil de SA: Predeterminada o según lo acordado

Paso 3 – Configuración de la fase 2

• En Configuración de la fase 2, haz clic en Añadir.
• Configurar:
• Local: 11.11.11.0/24
• Remoto: 10.10.10.0/24
• Protocolo: Cualquiera
• PFS: Habilitar (se recomienda DH14)

Aunque las subredes sean las mismas, NAT se encargará de la traducción de direcciones.

Paso 4 – Configurar NAT 1:1 (paso importante)

Desplácese hasta:

Configuración avanzada → Destino (la primera política remota) → Regla NAT

Haga clic en Añadir.

Configure:

• IP de origen: 192.168.168.0/24

• Tipo: NAT 1:1

• IP asignada: 11.11.11.0/24

Aplica la configuración.

Esto garantiza que el tráfico que entra en el túnel VPN se traduzca de:
192.168.168.x → 11.11.11.x

Sitio B: configurar una VPN de sitio a sitio con NAT en Zyxel USG FLEX H

Configuración general

Habilitar: ✔

Versión IKE: IKEv2

Tipo: Basada en políticas

Mi dirección: Seleccionar interfaz WAN

Dirección de la puerta de enlace del par: Introduzca la IP pública remota

Autenticación: Clave precompartida (la misma en ambos lados)

Paso 2 – Configuración de la fase 1

• En la configuración de la fase 1:
• Cifrado: AES128 (o según sea necesario)
• Autenticación/PRF: SHA1 o SHA256
• Grupo DH: DH14 (recomendado)
• Vida útil de SA: Predeterminada o según lo acordado

Paso 3 – Configuración de la fase 2

• En Configuración de la fase 2, haz clic en Añadir.
• Configurar:
• Local: 10.10.10.0/24
• Remoto: 11.11.11.0/24
• Protocolo: Cualquiera
• PFS: Habilitar (se recomienda DH14)

Aunque las subredes sean las mismas, NAT se encargará de la traducción de direcciones.

Paso 4 – Configurar NAT 1:1 (paso importante)

Desplácese hasta:

Configuración avanzada → Destino (la primera política remota) → Regla NAT

Haga clic en Añadir.

Configure:

• IP de origen: 192.168.168.0/24

• Tipo: NAT 1:1

• IP asignada: 11.11.11.0/24

Aplica la configuración.

Esto garantiza que el tráfico que entra en el túnel VPN se traduzca de:
192.168.168.x → 10.10.10.x

Verificación

1. Establezca el túnel VPN.

1. Realice un ping desde el sitio A a un host del sitio B.

1. En el sitio B, compruebe que la fuente del tráfico aparece como 10.10.10.x.

2. Compruebe los registros de VPN y NAT para confirmar que la traducción se ha realizado correctamente.