1. Introducción y Contexto
En la arquitectura de redes corporativas modernas, la gestión de direcciones IP y el acceso remoto seguro son pilares fundamentales. Con el auge del trabajo híbrido, entender cómo fluye el tráfico entre una red privada y el exterior —y cómo protegerlo— se ha vuelto indispensable para cualquier equipo de IT.
Este tutorial explica los conceptos de IP pública, IP privada y NAT (Network Address Translation), y cómo se articulan para hacer posible el acceso remoto en entornos empresariales.
2. Conceptos Básicos de IP
¿Qué es una IP Pública?
Una IP pública es una dirección asignada por el proveedor de servicios de Internet (ISP) que identifica de forma única a un dispositivo o red en Internet. Es enrutable globalmente, lo que significa que cualquier equipo conectado a la red pública puede intentar comunicarse con ella.
Ejemplos de rangos públicos: 203.0.113.5, 8.8.8.8, 45.76.100.20
¿Qué es una IP Privada?
Una IP privada es una dirección reservada para uso exclusivo dentro de redes internas. No es enrutable en Internet, lo que añade una capa natural de aislamiento.
Los rangos privados definidos en el RFC 1918 son:
| Clase | Rango de IPs | Máscara por defecto |
|---|---|---|
| A | 10.0.0.0 – 10.255.255.255 | /8 |
| B | 172.16.0.0 – 172.31.255.255 | /12 |
| C | 192.168.0.0 – 192.168.255.255 | /16 |
¿Qué es NAT?
NAT (Network Address Translation) es el proceso mediante el cual un router o firewall traduce direcciones IP privadas a una IP pública (y viceversa), permitiendo que múltiples dispositivos internos compartan una única dirección pública para comunicarse con Internet.
Tabla Comparativa de Tipos de NAT
| Tipo | Descripción | Caso de Uso | Ventaja | Limitación |
|---|---|---|---|---|
| NAT Estático | Mapeo 1:1 fijo entre IP privada e IP pública | Servidores internos expuestos (web, VPN) | Predecible y permanente | Requiere una IP pública por dispositivo |
| NAT Dinámico | Mapeo de IPs privadas a un pool de IPs públicas | Múltiples usuarios con salida a Internet | Reutilización del pool | No garantiza la misma IP pública siempre |
| PAT / NAT Sobrecargado | Mapea múltiples IPs privadas a una sola IP pública usando puertos distintos | Oficinas con una sola IP pública del ISP | Ahorra IPs públicas | Mayor procesamiento en el router |
3. Escenarios de Acceso Remoto
Escenario A — Empleado remoto conectándose a la oficina
Diagrama de Flujo 1: Acceso VPN desde casa
[Laptop Empleado] → (Internet) → [Firewall/VPN Gateway - IP Pública: 203.0.113.10]
→ (Túnel cifrado VPN) → [Red Interna 192.168.1.0/24]
→ [Servidor de Archivos 192.168.1.50]
El empleado inicia una conexión VPN hacia la IP pública corporativa. El firewall autentica al usuario y establece un túnel cifrado. A partir de ese momento, el laptop actúa como si estuviera dentro de la red local.
Escenario B — Acceso a servidor interno desde Internet (NAT Estático)
Diagrama de Flujo 2: NAT estático para servidor web interno
[Cliente externo] → (HTTP: 45.76.100.20:80) → [Router NAT]
→ Traducción: 45.76.100.20 → 192.168.1.100
→ [Servidor Web Interno 192.168.1.100:80]
El router tiene configurada una regla NAT estática que redirige el tráfico entrante al puerto 80 de la IP pública hacia el servidor web privado.
Escenario C — Múltiples usuarios saliendo a Internet (PAT)
Diagrama de Flujo 3: PAT con una sola IP pública
[PC1: 192.168.1.10:4500] ──┐
[PC2: 192.168.1.11:4501] ──┤→ [Router PAT] → IP Pública: 203.0.113.5 → (Internet)
[PC3: 192.168.1.12:4502] ──┘
El router mantiene una tabla de traducción de puertos para distinguir qué respuesta pertenece a cada dispositivo interno.
4. Configuración Práctica
Ejemplo 1 — NAT en Cisco IOS (PAT)
! Definir interfaz interna y externa
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/1
ip address 203.0.113.5 255.255.255.0
ip nat outside
!
! Crear lista de acceso para red interna
access-list 10 permit 192.168.1.0 0.0.0.255
!
! Habilitar NAT sobrecargado (PAT)
ip nat inside source list 10 interface GigabitEthernet0/1 overload
Nota: El comando
overloadactiva el modo PAT, permitiendo múltiples conexiones simultáneas desde la red interna usando una sola IP pública.
Ejemplo 2 — VPN de Acceso Remoto en Windows Server (Routing and Remote Access)
# Instalar el rol de Acceso Remoto
Install-WindowsFeature RemoteAccess -IncludeManagementTools
# Configurar VPN con soporte para SSTP y L2TP/IPsec
Install-RemoteAccess -VpnType VpnS2S
# Establecer el rango de IPs para clientes VPN
Set-VpnServerIPAddressAssignment -IPAddressRange "192.168.10.1-192.168.10.50"
# Habilitar autenticación MS-CHAPv2
Set-VpnAuthProtocol -UserAuthProtocolAccepted MSChapv2, Certificate
# Arrancar el servicio
Start-Service RemoteAccess
Set-Service RemoteAccess -StartupType Automatic
Recomendación: En producción, combinar SSTP con un certificado SSL válido para cifrado robusto sin necesidad de abrir puertos adicionales en el firewall.
5. Conclusión y Mejores Prácticas de Seguridad
Recomendaciones Esenciales
- Usar VPN con MFA: Nunca exponer servicios internos directamente. Implementar autenticación multifactor (MFA) en todas las soluciones VPN.
- Principio de mínimo privilegio: Los usuarios remotos deben acceder únicamente a los recursos que necesitan, segmentando la red por VLANs o políticas de firewall.
- Rotación de IPs públicas estáticas: Documentar y auditar regularmente qué servicios están expuestos con NAT estático.
- Monitorización de logs NAT: Las tablas de traducción NAT son una fuente crítica de información para detectar anomalías de tráfico.
- Preferir protocolos modernos: Para VPN, optar por WireGuard, IKEv2/IPsec o SSTP sobre protocolos obsoletos como PPTP.
- Actualizar firmware del router/firewall: Las vulnerabilidades en implementaciones NAT son vectores de ataque conocidos.
Resumen
| Concepto | Función | Impacto en seguridad |
|---|---|---|
| IP Pública | Identidad en Internet | Alta exposición; requiere firewall |
| IP Privada | Comunicación interna | Aislada por defecto del exterior |
| NAT/PAT | Traducción y enmascaramiento | Oscurece topología interna |
| VPN | Túnel cifrado sobre Internet | Protege datos en tránsito |
Comprender la interacción entre IPs públicas, privadas y NAT es el primer paso para diseñar una arquitectura de acceso remoto segura. La combinación de NAT bien configurado con soluciones VPN robustas y políticas de autenticación fuertes constituye la base de cualquier entorno corporativo moderno y resiliente.


