En este artículo, abordaremos cómo configurar NAT entre subredes en dispositivos FortiGate. El problema de la configuración incorrecta de NAT puede provocar que la comunicación entre diferentes segmentos de red falle, afectando la conectividad y el rendimiento general de la red. Proporcionaremos una guía paso a paso sobre cómo solucionar este problema y asegurarnos de que las configuraciones de NAT funcionen de manera eficiente.
Índice
Descripción del problema
El problema común que se presenta al configurar NAT (Traducción de Direcciones de Red) entre subredes es la falta de coincidencia en las direcciones IP o las máscaras de subred. En un entorno típico de FortiGate, es esencial que las configuraciones correspondan correctamente para que los datos se dirijan correctamente entre las redes internas y las externas.
Alcance
Aplicable a dispositivos FortiGate que utilizan SNAT (NAT de origen) para traducir direcciones IP al salir de una red local a otra.
Diagnóstico paso a paso
Antes de realizar la configuración, es crucial identificar las subredes involucradas. Por ejemplo:
- Red original: 10.20.30.0/24
- Red traducida a SNAT: 172.16.25.0/24
Ambas redes deben tener la misma máscara de subred (/24) y el cuarto octeto debe coincidir, lo que permite la correcta natación de las direcciones. A continuación, configuraremos un grupo de direcciones IP con un rango de puerto fijo para facilitar esta traducción.
Solución recomendada
Para configurar un grupo de direcciones IP con un rango de puerto fijo, siga los siguientes pasos:
config firewall ippool
edit "10.20.30-SNAT-172.16.25"
set type fixed-port-range
set startip 172.16.25.1
set endip 172.16.25.254
set source-startip 10.20.30.1
set source-endip 10.20.30.254
next
end
Después de crear el grupo de IP, aplíquelo en una política de firewall de salida para activar la traducción de direcciones.

Comandos CLI utilizados
Los comandos CLI utilizados para la configuración incluyen:
config firewall ippool: Inicia la configuración del grupo de direcciones IP.edit "nombre del grupo": Edita un grupo de IP específico.set type fixed-port-range: Define el tipo de grupo de IP como rango fijo.set startip...: Define la dirección IP inicial del rango.set endip...: Establece la dirección IP final del rango.set source-startip...: Especifica el inicio del rango de IP de origen.set source-endip...: Establece el final del rango de IP de origen.next: Guarda los cambios y permite continuar con la configuración.end: Finaliza la configuración.
Resultados
Después de aplicar la configuración, puede realizar pruebas usando el comando de sniffer para ver si la traducción de direcciones está funcionando como se esperaba.
Sniffer a destino con SNAT:
diag sniffer packet any 'host 192.168.200.1 and icmp' 4
Ejemplo de salida:
2.222869 SW in 10.20.30.1 -> 192.168.200.1: icmp: echo request
2.222875 to-VPN out 172.16.25.1 -> 192.168.200.1: icmp: echo request
2.246761 to-VPN in 192.168.200.1 -> 172.16.25.1: icmp: echo reply
Sniffer a destino sin SNAT:
diag sniffer packet any 'host 192.168.200.1 and icmp' 4
Ejemplo de salida:
9.333162 SW in 10.20.30.1 -> 192.168.200.1: icmp: echo request
9.333209 to-VPN out 10.20.30.1 -> 192.168.200.1: icmp: echo request
9.358343 to-VPN in 192.168.200.1 -> 10.20.30.1: icmp: echo reply
Buenas prácticas y recomendaciones
Al implementar configuraciones de NAT, es esencial seguir ciertas buenas prácticas:
- Asegúrese de que las direcciones IP y las máscaras de subred sean coherentes en toda la configuración.
- Realice pruebas exhaustivas para confirmar que la traducción de direcciones funciona correctamente.
- Documente todas las configuraciones realizadas para futuras referencias y auditorías.
- Considere la implementación de políticas de seguridad adicional si expone las redes internas hacia el exterior.
Notas adicionales
Recuerde que la correcta implementación de SNAT puede ser crítica para el rendimiento y la seguridad de la red. Mantenga toda la documentación relacionada actualizada y revise las configuraciones de forma regular para asegurarse de que sigan siendo efectivas ante cambios en la infraestructura de red.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!