Inicio » Blog » Tutorial: IP Pública, IP Privada, NAT y Acceso Remoto Corporativo

Tutorial: IP Pública, IP Privada, NAT y Acceso Remoto Corporativo

1. Introducción y Contexto

En la arquitectura de redes corporativas modernas, la gestión de direcciones IP y el acceso remoto seguro son pilares fundamentales. Con el auge del trabajo híbrido, entender cómo fluye el tráfico entre una red privada y el exterior —y cómo protegerlo— se ha vuelto indispensable para cualquier equipo de IT.

Este tutorial explica los conceptos de IP pública, IP privada y NAT (Network Address Translation), y cómo se articulan para hacer posible el acceso remoto en entornos empresariales.

2. Conceptos Básicos de IP

¿Qué es una IP Pública?

Una IP pública es una dirección asignada por el proveedor de servicios de Internet (ISP) que identifica de forma única a un dispositivo o red en Internet. Es enrutable globalmente, lo que significa que cualquier equipo conectado a la red pública puede intentar comunicarse con ella.

Ejemplos de rangos públicos: 203.0.113.5, 8.8.8.8, 45.76.100.20

¿Qué es una IP Privada?

Una IP privada es una dirección reservada para uso exclusivo dentro de redes internas. No es enrutable en Internet, lo que añade una capa natural de aislamiento.

Los rangos privados definidos en el RFC 1918 son:

ClaseRango de IPsMáscara por defecto
A10.0.0.0 – 10.255.255.255/8
B172.16.0.0 – 172.31.255.255/12
C192.168.0.0 – 192.168.255.255/16

¿Qué es NAT?

NAT (Network Address Translation) es el proceso mediante el cual un router o firewall traduce direcciones IP privadas a una IP pública (y viceversa), permitiendo que múltiples dispositivos internos compartan una única dirección pública para comunicarse con Internet.

Tabla Comparativa de Tipos de NAT

TipoDescripciónCaso de UsoVentajaLimitación
NAT EstáticoMapeo 1:1 fijo entre IP privada e IP públicaServidores internos expuestos (web, VPN)Predecible y permanenteRequiere una IP pública por dispositivo
NAT DinámicoMapeo de IPs privadas a un pool de IPs públicasMúltiples usuarios con salida a InternetReutilización del poolNo garantiza la misma IP pública siempre
PAT / NAT SobrecargadoMapea múltiples IPs privadas a una sola IP pública usando puertos distintosOficinas con una sola IP pública del ISPAhorra IPs públicasMayor procesamiento en el router

3. Escenarios de Acceso Remoto

Escenario A — Empleado remoto conectándose a la oficina

Diagrama de Flujo 1: Acceso VPN desde casa

[Laptop Empleado] → (Internet) → [Firewall/VPN Gateway - IP Pública: 203.0.113.10]
        → (Túnel cifrado VPN) → [Red Interna 192.168.1.0/24]
               → [Servidor de Archivos 192.168.1.50]

El empleado inicia una conexión VPN hacia la IP pública corporativa. El firewall autentica al usuario y establece un túnel cifrado. A partir de ese momento, el laptop actúa como si estuviera dentro de la red local.

Escenario B — Acceso a servidor interno desde Internet (NAT Estático)

Diagrama de Flujo 2: NAT estático para servidor web interno

[Cliente externo] → (HTTP: 45.76.100.20:80) → [Router NAT]
        → Traducción: 45.76.100.20 → 192.168.1.100
               → [Servidor Web Interno 192.168.1.100:80]

El router tiene configurada una regla NAT estática que redirige el tráfico entrante al puerto 80 de la IP pública hacia el servidor web privado.

Escenario C — Múltiples usuarios saliendo a Internet (PAT)

Diagrama de Flujo 3: PAT con una sola IP pública

[PC1: 192.168.1.10:4500] ──┐
[PC2: 192.168.1.11:4501] ──┤→ [Router PAT] → IP Pública: 203.0.113.5 → (Internet)
[PC3: 192.168.1.12:4502] ──┘

El router mantiene una tabla de traducción de puertos para distinguir qué respuesta pertenece a cada dispositivo interno.

4. Configuración Práctica

Ejemplo 1 — NAT en Cisco IOS (PAT)

! Definir interfaz interna y externa
interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
!
interface GigabitEthernet0/1
 ip address 203.0.113.5 255.255.255.0
 ip nat outside
!
! Crear lista de acceso para red interna
access-list 10 permit 192.168.1.0 0.0.0.255
!
! Habilitar NAT sobrecargado (PAT)
ip nat inside source list 10 interface GigabitEthernet0/1 overload

Nota: El comando overload activa el modo PAT, permitiendo múltiples conexiones simultáneas desde la red interna usando una sola IP pública.

Ejemplo 2 — VPN de Acceso Remoto en Windows Server (Routing and Remote Access)

# Instalar el rol de Acceso Remoto
Install-WindowsFeature RemoteAccess -IncludeManagementTools

# Configurar VPN con soporte para SSTP y L2TP/IPsec
Install-RemoteAccess -VpnType VpnS2S

# Establecer el rango de IPs para clientes VPN
Set-VpnServerIPAddressAssignment -IPAddressRange "192.168.10.1-192.168.10.50"

# Habilitar autenticación MS-CHAPv2
Set-VpnAuthProtocol -UserAuthProtocolAccepted MSChapv2, Certificate

# Arrancar el servicio
Start-Service RemoteAccess
Set-Service RemoteAccess -StartupType Automatic

Recomendación: En producción, combinar SSTP con un certificado SSL válido para cifrado robusto sin necesidad de abrir puertos adicionales en el firewall.

5. Conclusión y Mejores Prácticas de Seguridad

Recomendaciones Esenciales

  • Usar VPN con MFA: Nunca exponer servicios internos directamente. Implementar autenticación multifactor (MFA) en todas las soluciones VPN.
  • Principio de mínimo privilegio: Los usuarios remotos deben acceder únicamente a los recursos que necesitan, segmentando la red por VLANs o políticas de firewall.
  • Rotación de IPs públicas estáticas: Documentar y auditar regularmente qué servicios están expuestos con NAT estático.
  • Monitorización de logs NAT: Las tablas de traducción NAT son una fuente crítica de información para detectar anomalías de tráfico.
  • Preferir protocolos modernos: Para VPN, optar por WireGuard, IKEv2/IPsec o SSTP sobre protocolos obsoletos como PPTP.
  • Actualizar firmware del router/firewall: Las vulnerabilidades en implementaciones NAT son vectores de ataque conocidos.

Resumen

ConceptoFunciónImpacto en seguridad
IP PúblicaIdentidad en InternetAlta exposición; requiere firewall
IP PrivadaComunicación internaAislada por defecto del exterior
NAT/PATTraducción y enmascaramientoOscurece topología interna
VPNTúnel cifrado sobre InternetProtege datos en tránsito

Comprender la interacción entre IPs públicas, privadas y NAT es el primer paso para diseñar una arquitectura de acceso remoto segura. La combinación de NAT bien configurado con soluciones VPN robustas y políticas de autenticación fuertes constituye la base de cualquier entorno corporativo moderno y resiliente.