(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
$19,97
Introducción al NAT: qué es, cómo funciona y cómo configurarlo correctamente
- Ingrid Espinoza
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
La Traducción de Direcciones de Red (NAT) es uno de los pilares fundamentales de las redes IPv4 modernas. Permite que múltiples dispositivos dentro de una red privada accedan a Internet utilizando una sola dirección IP pública.
Si trabajas configurando equipos de MikroTik o estudias tecnologías de fabricantes como Cisco, entender NAT no es opcional: es esencial.
¿Qué es la Traducción de Direcciones de Red (NAT)?
NAT (Network Address Translation) es un mecanismo que permite que múltiples dispositivos dentro de una red privada accedan a Internet utilizando una única dirección IP pública.
El problema del agotamiento de IPv4
IPv4 ofrece 2³² direcciones (aproximadamente 4.300 millones). Puede parecer mucho, pero con el crecimiento exponencial de dispositivos conectados, ese espacio se volvió insuficiente.
Aquí es donde NAT se convirtió en una solución clave: en lugar de asignar una IP pública a cada dispositivo, se usan direcciones privadas internamente y se traducen al salir a Internet.
Diferencia entre IP pública e IP privada
IP privada → Solo funciona dentro de la red local (ej. 192.168.x.x, 10.x.x.x).
IP pública → Es enrutable en Internet.
NAT actúa como intermediario entre ambas.
¿Cómo funciona NAT?
El proceso es simple en teoría, pero potente en práctica:
Un dispositivo interno envía tráfico a Internet.
El router reemplaza la IP privada por la IP pública.
Se almacena la traducción en la tabla NAT.
Cuando llega la respuesta, el router revisa esa tabla.
Se restaura la IP privada original y se entrega el paquete correcto.
Algo importante que muchas personas pasan por alto es que NAT trabaja junto con el sistema de seguimiento de conexiones (connection tracking).
En mi experiencia configurando redes sencillas, cuando una regla NAT “no funciona”, muchas veces el problema no es la regla, sino que la conexión anterior sigue activa.
En esos casos, limpiar la tabla suele resolver el problema:
/ip firewall connection remove [find]
Terminología esencial de NAT (explicado fácil)
En documentación técnica encontrarás estos términos:
| Término | Significado |
|---|---|
| Inside Local | IP privada real del host |
| Inside Global | IP pública que representa al host |
| Outside Global | IP pública real del destino |
| Outside Local | IP del destino vista desde la red interna |
En la práctica diaria no siempre usamos estos términos, pero si estudias certificaciones como CCNA, debes dominarlos.
Configuración práctica de NAT en MikroTik
Ahora vamos a la parte más útil: ejemplos reales.
NAT básico de salida a Internet (srcnat)
Este es el caso más común en redes empresariales pequeñas o domésticas.
Escenario:
LAN: 192.168.1.0/24
WAN: ether1
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
Eso es suficiente para permitir que toda la red salga a Internet.
En redes simples que manejo, esta regla básica (chain srcnat, interfaz de salida y acción masquerade) suele ser todo lo necesario.
Cuando tienes IP pública fija
Si el proveedor asigna una IP pública estática, es preferible usar src-nat en lugar de masquerade:
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
out-interface=ether1 \
action=src-nat to-addresses=200.10.10.5
En redes con mayor carga, he notado que src-nat puede ser ligeramente más eficiente que masquerade.
Publicar un servicio interno (Destination NAT)
Si necesitas que alguien desde Internet acceda a un servidor dentro de la red, se usa dstnat.
Ejemplo: publicar servidor web interno (192.168.1.100):
/ip firewall nat
add chain=dstnat \
in-interface=ether1 \
protocol=tcp \
dst-port=80 \
action=dst-nat \
to-addresses=192.168.1.100 \
to-ports=80
Esto redirige el tráfico entrante hacia el equipo interno.
Hairpin NAT (cuando falla el acceso interno por IP pública)
Caso clásico:
Un cliente interno intenta acceder al servidor usando la IP pública.
Sin configuración adicional, no funciona.
Solución:
/ip firewall nat
add chain=srcnat \
src-address=192.168.1.0/24 \
dst-address=192.168.1.100 \
out-interface=bridge-LAN \
action=masquerade
Este ajuste permite que el tráfico “rebote” correctamente dentro de la red.
Error grave que debes evitar con NAT
Uno de los errores más comunes que he visto es configurar reglas de enmascaramiento en múltiples routers dentro de la red.
Esto provoca:
Pérdida de trazabilidad.
Dificultad para identificar clientes problemáticos.
Cambios múltiples en la IP de origen.
Problemas en configuraciones avanzadas.
La recomendación es clara:
En empresas: NAT solo en el router de borde.
En ISP: en router de borde y en el CPE del cliente.
Nunca en routers intermedios.
Cuando NAT está mal distribuido, el troubleshooting se vuelve innecesariamente complejo.
Ventajas y desventajas reales de NAT
Ventajas
Conserva direcciones IPv4.
Oculta red interna.
Permite múltiples dispositivos con una sola IP pública.
Simplifica administración en redes pequeñas.
Desventajas
Rompe conectividad extremo a extremo.
Puede afectar VoIP y juegos.
Añade carga de procesamiento.
Complica análisis de tráfico si está mal implementado.
Conclusión
NAT no es simplemente una técnica para “que haya Internet”.
Es una pieza estructural de cómo funcionan la mayoría de redes actuales.
Cuando entiendes:
Dónde configurarlo.
Qué tipo usar.
Cómo interactúa con connection tracking.
Qué errores evitar.
Entonces NAT deja de ser un concepto abstracto y se convierte en una herramienta poderosa y controlable.
Y algo clave que he aprendido en campo:
configurar NAT es fácil; configurarlo correctamente dentro de una arquitectura limpia es lo que marca la diferencia.
Preguntas Frecuentes
¿Qué diferencia hay entre srcnat y dstnat?
srcnat → Traduce la IP de origen (salida).
dstnat → Traduce la IP de destino (entrada).
¿Qué es masquerade?
Es una variante de srcnat diseñada para IP públicas dinámicas.
¿CGNAT afecta abrir puertos?
Sí. Normalmente impide abrir puertos porque no tienes IP pública real.
¿Se debe configurar NAT en todos los routers?
No. Solo en el router de borde (y CPE en ISP). Configurarlo en routers intermedios es un error grave.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
Libro Conceptos Fundamentales de MikroTik, RouterOS v7
Material de estudio para el Curso de Certificación MTCNA, actualizado a RouterOS v7
$19,97
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
advertisement (anuncio)
Escríbenos por WhatsApp (+593 98 700 0604)
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear