Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo identificar y resolver problemas de doble NAT

[18/03/2017] El mundo digital trata enteramente sobre las direcciones IP (Internet Protocol). Cada dispositivo necesita una IP para poder comunicarse en Internet o dentro de una red privada. Debido a que no existen tantas direcciones IP públicas para cada dispositivo conectado a la Internet (al menos con IPv4), esta pequeña cosa llamada NAT se vuelve realmente importante. Sus siglas en inglés (NAT) significan traducción de direcciones de red, y es una función proporcionada por los routers para permitir que múltiples dispositivos tengan acceso a Internet a través de una sola dirección IP pública.

Detrás de cada IP pública, puede haber cientos de dispositivos con sus propias direcciones IP privadas, gracias a NAT. Y casi todo el equipo que proporciona la función NAT incluye un firewall para proteger los IPs y dispositivos privados, de los IPs y dispositivos públicos en Internet. Generalmente, se ofrecen también otros servicios de red, como DHCP (Protocolo de control dinámico de host) para distribuir las direcciones IP privadas a dispositivos que se conectan a la red local.

Cómo funciona el doble NAT

Que más de un dispositivo realice NAT en una red privada, puede causar problemas con esa red. Es posible que algunos usuarios nunca se den cuenta, por lo que no es un problema para ellos. Pero otros pueden sufrir dolores de cabeza con ciertas aplicaciones, servicios y situaciones. Por lo tanto, siempre es una buena idea eliminar el doble NAT, si lo tiene.

Tener más de un dispositivo NAT suele suceder cuando conecta su propio router al gateway instalado por su proveedor de servicios de Internet (ISP, por sus siglas en inglés), que también incluye las funciones de NAT y de enrutamiento. Algunos ISP instalan solamente un módem simple que carece del NAT y del enrutamiento, eliminando el problema por completo. Sin embargo, la mayoría de los ISP asumen que sus clientes no tienen routers, por lo que le proporcionarán un dispositivo conjunto, lo desee o no.

Si no está seguro de lo que el ISP le ha dado, eche un vistazo a la caja. Si solo hay un puerto Ethernet, es probable que sea un módem simple (también conocido como gateway de banda ancha). Pero si hay varios puertos Ethernet o si es compatible con conexiones Wi-Fi, es probable que realice NAT y también enrutamiento.

Los problemas que puede causar el doble NAT

Cuando existe el doble NAT en su red, es posible que experimente problemas con los servicios que requieran soporte UPnP (Universal Plug-and-Play) o enrutamiento manual de puertos. Esto incluye juegos en línea en computadoras o consolas, desktop remoto en sus computadoras, la conexión a un servidor VPN, o acceso a las tomas de cámaras de seguridad. A veces, servicios como estos requieren que ciertos puertos sean abiertos en el firewall del router y se dirijan a un equipo o dispositivo particular en la red.

Esta captura de pantalla muestra cómo he configurado mi router para el enrutamiento de puertos, para así poder usar SSH remoto (Secure Shell) en un servidor de mi red local. No puedo hacerlo si mi gateway también está realizando NAT (traducción de direcciones de red).
Doble NAT

El problema con el doble NAT es que, si el primer router de su red no tiene configurado el enrutamiento de puertos, el tráfico entrante se detendrá, incluso si el segundo router sí lo tiene configurado. O incluso, si el primer router lo tiene, no podrá reenviar el tráfico a un dispositivo conectado al segundo router. Solo podrá enviar tráfico a equipos y dispositivos directamente conectados a ese primer router, que podría ser por conexión inalámbrica o cable.

El doble NAT también puede complicar cualquier control de calidad de servicio (QoS, por sus siglas en inglés) manual o automático que priorice el tráfico en su red interna, para garantizar que el tráfico sensible al retardo (juegos, voz o video) tenga mayor importancia que los datos asociados con las transferencias de archivos. Esto se da especialmente si se tiene dispositivos conectados a ambos routers, que poseen controles de QoS diferentes.

Esta captura de pantalla muestra los controles QoS (Quality of Service) de mi router, que he configurado para asignar la prioridad máxima a VoIP (Voice over Internet Protocol).
Doble NAT
Cómo detectar una situación de doble NAT

Ya he mencionado cómo averiguar rápidamente si el gateway de un ISP tiene capacidades de NAT y enrutamiento, pero es posible que desee ver si está ocurriendo una situación de doble NAT antes de gastar tiempo en el problema. Algunas veces, los gateways detectan el doble NAT y, de manera automática, arreglan el problema por usted. Otras veces, si los instaladores de ISP están bien informados, podrán arreglarlo al instalar el gateway y ver que tiene su propio router.

Para las dos formas en que le mostraré cómo detectar una situación de doble NAT, tendrá que comprobar sus direcciones IP, y saber si son privadas o públicas. Esto es fácil: las direcciones privadas suelen estar en el rango 192.168.0.0 a 192.168.255.255, 172.16.0.0 a 172.31.255.255, o 10.0.0.0 a 10.255.255.255. Las direcciones fuera de estos rangos serán públicas.

Una forma rápida que normalmente muestra si existe doble NAT es haciendo un traceroute, que le permite escoger un servidor o dispositivo en Internet, y ver el camino que toma entre los routers y los servidores. Abra el símbolo del sistema (en una PC con Windows que esté conectada a Internet, haga clic en el menú Inicio, escriba "cmd" y pulse Enter), y escriba "tracert 8.8.8.8" para ver el traceroute al servidor DNS de Google. Si ve dos direcciones IP privadas listadas en los primeros dos hops, entonces tiene doble NAT. Si solo hay una dirección privada y el segundo hop muestra una dirección pública, entonces todo está bien.

Aquí hay un traceroute que muestra doble NAT, como lo documentan las direcciones IP privadas en los primeros dos hops.
Doble NAT

Otra forma de comprobar el doble NAT es conectarse a la interfaz gráfica de usuario (GUI, por sus siglas en inglés) basada en web de su router, y ver si la dirección IP WAN (Internet) es privada o pública. Debería ser una dirección pública. Si es privada, entonces tiene doble NAT.

Más evidencias de una situación de doble NAT: La dirección IP WAN de mi router es privada, no pública.
Doble NAT
Cómo se puede arreglar

Si ha confirmado que tiene doble NAT, hay maneras de solucionarlo. Una forma sencilla es desenchufar cualquier router adicional, y solo usar el gateway de su ISP. Si es un usuario avanzado y no puede separarse de su router más elegante, entonces es probable que esta opción no sea para usted.

Si desea conservar su router, compruebe si puede poner el gateway del ISP en modo bridge o passthrough. Esto desactivará las funciones NAT, firewall y DHCP del gateway, y lo reducirá a un simple módem de Internet. Muchos gatewayys ofrecen esta configuración, pero no todos. Inicie sesión en la GUI basada en web del gateway y compruebe si hay un ajuste de modo NAT, passthrough o bridge; pero tenga en cuenta que a veces está oculto. Si no lo ve, busque en Internet detalles sobre su modelo en particular, o llame al soporte técnico de su ISP.

Mi gateway de Arris de TimeWarner (Spectrum) tiene las opciones de NAT en la configuración de LAN, pero otros vendedores las tienen en el área de WAN u otra.
Doble NAT

Si su gateway de ISP no ofrece ninguna funcionalidad de puenteo, considere colocar su router en la DMZ (zona desmilitarizada) del gateway. Si ésta tiene una DMZ, básicamente le dará al router una conexión directa a Internet, evitando el NAT, firewall y DHCP del gateway para que los dispositivos conectados a la red obtengan esos valores directamente desde su router.

Para utilizar la DMZ, inicie sesión en la GUI basada en web del gateway, encuentre la configuración DMZ, e ingrese la dirección IP privada asignada a su router. Además, debería ver si puede establecer una reserva de dirección IP para su router, para que el gateway siempre le dé la misma dirección IP privada. Si el gateway no admite reservas de direcciones IP, inicie sesión en la GUI basada en web del router y asígnele manualmente una dirección IP privada estática (la misma configurada como el host DMZ) para su conexión WAN (red de área extendida; es decir, Internet).

Mi gateway tiene preferencias DMZ en la configuración de firewall: lo normal para los gateways.
Doble NAT

Otra opción para eliminar el doble NAT y mantener su gateway ISP y su router, es ejecutar un cable Ethernet desde el gateway a uno de los puertos LAN de su router, en lugar del puerto WAN (Internet) del router. Básicamente, esto convertirá el router en un switch, y cualquier computadora que se conecte a través de éste (ya sea por cable o inalámbricamente) obtendrá NAT, firewall y DHCP desde el gateway del ISP. Esta es una buena opción si está utilizando un router secundario para obtener una mejor conexión Wi-Fi o porque necesita más puertos Ethernet. Si, por otro lado, desea otro router para un mejor enrutamiento de puertos o controles mejorados de QoS, este enfoque no ayudará.