Como sabemos, la traslación de IPs (NAT) es la forma de convertir IPs privadas en públicas y vice-versa. Cuando un paquete IP atraviesa un dispositivo NAT, la dirección IP de origen o la de destino (según el caso) se modifica en la cabecera IP.
Pero NAT no se puede utilizar en IPSEC porque los paquetes no contienen un número de puerto y por lo tanto estos no se pueden des-multiplexar.
Para resolver esto, FortiGate proporciona una forma de proteger la cabecera de los paquetes IPSEC para que no sean modificadas por NAT. Cuando se habilita la opción de NAT Trasversal, los paquetes cifrados salientes se encapsulan dentro de una cabecera UDP que contiene el número de puerto. Esta encapsulación extra, permite que los dispositivos NAT intermedios puedan cambiar el número de puerto sin modificar el paquete IPSEC. En el otro extremo, el dispositivo FortiGate o FortiClient (en el caso de un túnel dialup) elimina la capa extra de encapsulación antes de descifrar el paquete IPSEC recibido.
Por lo tanto es necesario habilitar NAT Trasversal cuando existe algún dispositivo NAT entre medias de dos FortiGate que estén estableciendo un túnel IPSEC y también cuando un FortiGate espere clientes IPSEC Dialup, como por ejemplo FortiClient.
Fuente: fortixpert
Grid Solutions es partner oficial de Fortinet, contamos con la experiencia en todo tipo de configuraciones. Si cuenta con alguna necesidad referente a equipos Fortigate u otros no dudes en Contactarnos.