En este documento se describe la configuración que hace posible conectar una red local que utiliza NAT para compartir una sola dirección IP suministrada por un ISP, a una red remota que utiliza el servidor Novell BorderManager Enterprise Server para la conectividad VPN.

Según el fichero README.TXT suministrado en el disquete de instalación del cliente VPN de Novell BorderManager,

“No puede utilizar NAT en la ruta entre un cliente VPN y un servidor VPN. Esto se debe a que cuando los paquetes IP e IPX se encapsulan y codifican en el cliente VPN, la dirección IP origen empleada para la encapsulación es la dirección del cliente VPN. El cálculo del encabezamiento de autentificación (AH) IPSEC del paquete se basa en esta dirección y en la dirección del servidor VPN de destino. Por ello, si una de las direcciones (del cliente VPN o del servidor VPN) es modificada por NAT, el cálculo falla cuando llega al servidor VPN de destino y el paquete se descarta. Es más probable, sin embargo, que NAT suelte los paquetes IPSEC porque sólo trata paquetes TCP, UDP e ICMP (Internet Control Message Protocol, protocolo de mensaje de control de Internet).

Cuando dispone de estaciones de trabajo en una intranet que deben comunicarse de forma segura, a través de Internet, con redes protegidas por un servidor VPN, le recomendamos que utilice la facilidad VPN sitio-a-sitio Novell BorderManager Enterprise Edition (en vez de la VPN cliente-a-sitio).”

Sin embargo, el coste del servidor Novell BorderManager Enterprise Server es muy elevado. Adicionalmente, requiere amplias medidas de configuración para las rutas estáticas de la red remota a la que se accede. Por tanto, la solución recomendada arriba por Novell no es factible para una persona que desee conectar su red local que utiliza NAT, a una red remota a través de la red privada virtual Novell BorderManager.

Sorprendentemente, es posible conectar una red local que usa NAT a una red remota que usa WinRoute Pro y el cliente VPN Novell BorderManager. Mediante esta configuración, cualquier computador en la red local puede acceder a los recursos de la red remota una vez que el túnel VPN se haya establecido en el computador enrutador. No es necesario realizar ningún tipo de configuración en la red remota.

Esto es posible gracias a la arquitectura de WinRoute Pro. Dado que trabaja al nivel IPSEC, la traducción de la dirección se realiza antes de que el paquete se encamine al adaptador de la red virtual. Por ello, los paquetes transmitidos al servidor VPN disponen de la dirección IP de origen real. A su regreso, los paquetes recibidos del adaptador de la red virtual pasan por la capa de traducción de dirección y se encaminan al computador correcto de la red local.

Las limitaciones de esta configuración son que el inicio de sesión VPN debe realizarse manualmente en el computador enrutador, y que la conexión VPN expira después de un periodo de inactividad determinado, que se define en el servidor VPN. Además, los paquetes IPX no se encaminan ni aunque el protocolo IPX esté habilitado en el túnel VPN. Por tanto, el túnel IPX sólo estará disponible en el computador enrutador.

En términos generales, mediante esta configuración es posible conectar, de forma económica y sencilla, una red local que usa NAT a una red remota que usa la red privada virtual Novell BorderManager VPN.