El Problema del
Doble NAT para equipos de Internet
La mala configuracion de equipos puede llevar a un desastre
o peor a un configuracion imposible en equipos de comunicaciones.
Lo habitual cuando alguien pide una ADSL o un equipo router
de Fibra, lo mas habitual es que este equipo haga NAT y comparta la ip publica
del proveedor , con las ip locales de la red que generalmente son 192.168.1.x ,
siendo la mascara 255.255.255.0.
Esto funciona casi siempre generalmente bien, pero los
problemas empiezan en breve cuando queremos poner un cortafuegos o bien un
router wifi.
Un video sobre el NAT. ( de Draytek )
Lo primero que generalmente se hace es poner otra red en el
firewall, para la interna y usar la 192.168.1.1 como externa,graficamente lo
podemos ver asi .
El Nat lo que realmente hace es guardar un puntero de las
direcciones de salida, esto hace que ahora mismo se guarden dos tablas de nat.
Problemas :
.- Si quieres hacer un port forwarding tienes que hacerlo en
el router y en el firewall.
.- Si quieres hacer una VPN , no podras, o si pero con una
dificultad mucho mayor
.- Muchos problems de configuracion.
.- El firewall realmente no es tu punto de ataque, tu punto
de ataque es el router.
.- Los clientes VPN, PPTP, o IPSEC, te funcionaran o no
dependiendo de donde este el cliente, pero te aseguro muchos quebraderos de
cabeza.
Soluciones a este
problema
El router hay que pasarlo a modo bridge o modo mopouesto.
Si tenemos varias ip publicas, podemos enlazar por una ip
publica y el resto ponerla en el firewall.
Si consigues este paso , seguro que tu firewall funcionara
mucho mejor, y consigues poder realizar vpn sin mayor dificultad.