Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan instrucciones sobre cómo configurar correctamente la puerta de enlace NAT y solucionar problemas comunes relacionados con la configuración y la implementación.
Importante
La SKU estándar V2 de Azure NAT Gateway está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Conceptos básicos de configuración de la puerta de enlace NAT
Compruebe esta configuración para habilitar el tráfico saliente a través de una puerta de enlace NAT.
Puerta de enlace NAT estándar
Se ha adjuntado al menos una dirección IP pública o un prefijo IP público a la puerta de enlace NAT. Para proporcionar conectividad de salida, debe estar asociada al menos una dirección IP pública con la puerta de enlace NAT.
Se ha adjuntado al menos una subred a una puerta de enlace NAT. Puede adjuntar varias subredes a una puerta de enlace NAT para la salida, pero esas subredes deben existir dentro de la misma red virtual. La puerta de enlace NAT no se puede extender más allá de una única red virtual.
Ninguna regla de grupo de seguridad de red (NSG) ni rutas definidas por el usuario (UDR) impiden que la puerta de enlace NAT dirija el tráfico saliente a Internet.
Puerta de enlace NAT de StandardV2
Se ha adjuntado al menos una dirección IP pública o un prefijo IP público a la puerta de enlace NAT. Para proporcionar conectividad de salida, debe estar asociada al menos una dirección IP pública con la puerta de enlace NAT.
Al menos una subred está conectada a una puerta de enlace NAT standardV2. Puede adjuntar varias subredes a una puerta de enlace NAT para la salida, pero esas subredes deben existir dentro de la misma red virtual. La puerta de enlace NAT no se puede extender más allá de una única red virtual.
Ninguna regla de grupo de seguridad de red (NSG) ni rutas definidas por el usuario (UDR) impiden que la puerta de enlace NAT dirija el tráfico saliente a Internet.
Disponibilidad de la puerta de enlace NAT de StandardV2
La puerta de enlace NAT de StandardV2 no está disponible en las siguientes regiones de Azure:
- Este de Canadá
- Centro de la India
- Centro de Chile
- Centro de Indonesia
- Noroeste de Israel
- Oeste de Malasia
- Qatar Central
- Centro de Emiratos Árabes Unidos
Procedimientos para validar la conectividad
La puerta de enlace NAT admite protocolos de protocolo de datagramas de usuario (UDP) y protocolos de control de transmisión (TCP).
Nota:
NAT Gateway no admite el protocolo ICMP. No se admite el ping con el protocolo ICMP y se espera que se produzca un error.
Para validar la conectividad integral de la puerta de enlace NAT, siga estos pasos:
Valide que se esté utilizando la dirección IP pública de la puerta de enlace NAT.
Realice pruebas de conexión TCP y pruebas de capa de aplicaciones específicas de UDP.
Examine los registros de flujo del NSG para analizar los flujos de tráfico de salida de la puerta de enlace NAT.
Consulte la tabla siguiente para ver las herramientas que se van a usar para validar la conectividad de la puerta de enlace NAT.
| Sistema operativo | Prueba de conexión TCP genérica | Prueba de la capa de la aplicación de TCP | UDP |
|---|---|---|---|
| Linux |
nc (prueba de conexión genérica) |
curl (prueba de capa de aplicación TCP) |
específica de la aplicación |
| Windows | PsPing | Invoke-WebRequest de PowerShell | específica de la aplicación |
Análisis de la conectividad saliente
Para analizar el tráfico saliente desde la puerta de enlace NAT estándar, use los registros de flujo de red virtual (VNet). Los registros de flujo de VNet proporcionan información de conexión para las máquinas virtuales. La información de conexión contiene la dirección IP de origen y el puerto, la dirección IP, el puerto de destino y el estado de la conexión. También se registra la dirección del flujo de tráfico y el tamaño del tráfico en el número de paquetes y bytes enviados. La dirección IP de origen y el puerto especificados en el registro de flujo de VNet es para la máquina virtual y no para la puerta de enlace NAT.
Para más información sobre los registros de flujo de red virtual, consulte Introducción a los registros de flujo de red virtual.
Para obtener guías sobre cómo habilitar los registros de flujo de VNet, consulte Administración de registros de flujo de red virtual.
Se recomienda acceder a los datos de registro en los espacios de trabajo de Log Analytics, donde también se pueden consultar y filtrar los datos para el tráfico saliente. Para más información sobre el uso de Log Analytics, consulte el tutorial de Log Analytics.
Para más información sobre el esquema de registro de flujo de red virtual, consulte Esquema de análisis de tráfico y agregación de datos.
StandardV2 NAT Gateway admite registros de flujo de puerta de enlace NAT a través de Azure Monitor. Los registros de flujo de puerta de enlace NAT proporcionan visibilidad del tráfico que fluye a través de la puerta de enlace NAT. Para más información, consulte Análisis del tráfico de NAT Gateway con registros de flujo.
Puerta de enlace NAT en un estado de error
Es posible que experimente un error de conectividad saliente si el recurso de puerta de enlace NAT tiene un estado de error. Para que la puerta de enlace NAT salga de un estado con errores, siga estas instrucciones:
Identifique el recurso que está en estado de error. Vaya Azure Resource Explorer e identifique el recurso en este estado.
Actualice el control de alternancia de la esquina superior derecha para que sea de lectura y escritura.
Seleccione Editar en el recurso con estado erróneo.
Seleccione PUT seguido de GET para asegurarse de que el estado de aprovisionamiento se haya actualizado a Correcto.
Luego puede continuar con otras acciones, ya que el recurso ya no está en estado erróneo.
Red virtual o puerta de enlace NAT en estado de falla con la puerta de enlace NAT StandardV2
Asociar una puerta de enlace NAT StandardV2 a una subred vacía que se creó antes de abril de 2025 y que no contiene ninguna máquina virtual puede hacer que la red virtual o la puerta de enlace NAT entren en un estado con errores. Para resolver el problema, siga estos pasos:
- Quite la puerta de enlace NAT standardV2 de la subred o la red virtual.
- Cree una máquina virtual en la subred.
- Vuelva a adjuntar la puerta de enlace NAT standardV2 a la subred o a la red virtual.
Incorporación o eliminación de una puerta de enlace NAT
No se puede eliminar una puerta de enlace NAT
La puerta de enlace NAT debe desasociarse de todas las subredes de una red virtual antes de poder quitar o eliminar el recurso. Consulte Eliminación de la puerta de enlace NAT de una subred existente y eliminación del recurso para obtener instrucciones paso a paso.
Incorporación o eliminación de una subred
La puerta de enlace NAT no se puede asociar a una subred que ya está asociada a otra puerta de enlace NAT.
Una subred dentro de una red virtual no puede tener más de una puerta de enlace NAT asociada para conectarse a Internet. Un recurso de puerta de enlace NAT individual se puede asociar a varias subredes dentro de la misma red virtual. La puerta de enlace NAT no se puede extender más allá de una única red virtual.
Los recursos básicos no pueden existir en la misma subred que la puerta de enlace NAT
Los recursos básicos, como Load Balancer Básico o una dirección IP pública básica, no son compatibles con la puerta de enlace NAT. Los recursos básicos se deben colocar en una subred no asociada a una puerta de enlace NAT. El equilibrador de carga básico y la dirección IP pública básica se pueden actualizar al nivel Estándar para que funcionen con la puerta de enlace NAT.
Para actualizar un equilibrador de carga básico a estándar, consulte Actualización de Azure Load Balancer público.
Para actualizar una dirección IP pública básica a estándar, consulte Actualización de una dirección IP pública mediante Azure Portal.
Para actualizar una IP pública básica con una máquina virtual adjunta al estándar, consulte [actualizar una IP pública básica con una máquina virtual adjunta](/azure/virtual-network/ip-services/public-ip-upgrade-virtual machine).
No se puede conectar la puerta de enlace NAT a la subred de la puerta de enlace
No se puede implementar una puerta de enlace NAT en una subred de puerta de enlace. Una puerta de enlace de VPN usa una subred de puerta de enlace para enviar tráfico cifrado entre una red virtual de Azure y una ubicación local. Consulte Introducción a VPN Gateway para más información sobre cómo usa VPN Gateway las subredes de puerta de enlace. Para usar una puerta de enlace NAT, asóciela a cualquier otra subred dentro de la misma red virtual.
No se puede conectar la puerta de enlace NAT a una subred que contiene una interfaz de red de máquina virtual en un estado fallido
Al asociar una puerta de enlace NAT a una subred que contiene una interfaz de red de máquina virtual (interfaz de red) en un estado fallido, recibe un mensaje de error que indica que esta acción no se puede realizar. Primero debe resolver el estado fallido de la interfaz de red de la máquina virtual antes de poder conectar una puerta de enlace NAT a la subred.
Para sacar la interfaz de red de su máquina virtual de un estado fallido, puede utilizar uno de los dos métodos siguientes.
Utilice PowerShell para sacar la interfaz de red de su máquina virtual de un estado fallido
Determine el estado de aprovisionamiento de sus interfaces de red mediante el comando de PowerShell Get-AzNetworkInterface y establezca el valor de "provisioningState" en "Succeeded".
Realice comandos GET/SET de PowerShell en la interfaz de red. Los comandos de PowerShell actualizan el estado de aprovisionamiento.
Compruebe los resultados de esta operación comprobando de nuevo el estado de aprovisionamiento de las interfaces de red (siga los comandos del paso 1).
Usar Azure Resource Explorer para sacar la interfaz de red de la máquina virtual fuera de un estado con errores
Vaya a Azure Resource Explorer (recomendado para usar el explorador Microsoft Edge)
Expandir la opción Suscripciones (tarda unos segundos en aparecer a la izquierda).
Expanda la suscripción que contiene la interfaz de red de la máquina virtual en estado de error.
Expanda resourceGroups.
Expanda el grupo de recursos correcto que contiene la interfaz de red de la máquina virtual en estado de error.
Expanda proveedores.
Expanda Red de Microsoft.
Expanda networkInterfaces.
Seleccione en la interfaz de red que se encuentra en el estado de aprovisionamiento con errores.
Seleccione el botón Lectura/Escritura que está en la parte superior.
Seleccione el botón GET verde.
Seleccione el botón EDIT azul.
Seleccione el botón PUT verde.
Seleccione el botón Solo lectura en la parte superior.
La interfaz de red de la máquina virtual debe estar ahora en un estado de aprovisionamiento correcto. Puede cerrar el explorador.
Incorporación o eliminación de IP públicas
No se pueden superar 16 direcciones IP públicas en la puerta de enlace NAT estándar
Una puerta de enlace NAT de SKU estándar no se puede asociar a más de 16 direcciones IP públicas IPv4. Puede usar cualquier combinación de direcciones IP públicas y prefijos con la puerta de enlace NAT, hasta llegar a un total de 16 direcciones IP. Para agregar o quitar una dirección IP pública, consulte Agregar o quitar una dirección IP pública.
Los siguientes tamaños de prefijo IP se pueden usar con la puerta de enlace NAT:
/28 (16 direcciones)
/29 (8 direcciones)
/30 (4 direcciones)
/31 (2 direcciones)
Coexistencia de IPv6
El SKU estándar de NAT gateway apoya protocolos UDP y TCP IPv4. La gateway NAT de Standard SKU no se puede asociar a una dirección IP pública IPv6 ni a un prefijo de IP pública IPv6.
No se pueden agregar direcciones IP públicas de SKU Estándar a una NAT Gateway de SKU StandardV2
Las direcciones IP públicas de SKU estándar no son compatibles con la pasarela NAT de SKU StandardV2. Solo se pueden agregar direcciones IP públicas de SKU standardV2 a la puerta de enlace NAT de StandardV2.
No se pueden agregar direcciones IP públicas de SKU StandardV2 a una NAT Gateway de SKU Estándar
Las direcciones IP públicas de la SKU StandardV2 no son compatibles con la puerta de enlace NAT de la SKU Estándar ni con ningún otro recurso de Azure. Solo se pueden agregar direcciones IP públicas de SKU estándar a la puerta de enlace NAT estándar.
No se pueden usar direcciones IP públicas básicas con la puerta de enlace NAT
La puerta de enlace NAT no se puede usar con recursos básicos, incluidas las direcciones IP públicas básicas. Puede actualizar la dirección IP pública básica para usarla con la puerta de enlace NAT mediante las instrucciones siguientes: Actualizar una dirección IP pública.
No se pueden usar prefijos IP personalizados (BYOIP) con la puerta de enlace NAT de StandardV2
Los prefijos de IP personalizados (IPs públicas BYOIP) no son compatibles con la puerta de enlace NAT StandardV2. Solo se admiten direcciones IP públicas de Azure de SKU standardV2.
Las direcciones IP personalizadas se admiten con la puerta de enlace NAT estándar.
No se pueden usar direcciones IP públicas con preferencia de enrutamiento de Internet junto con NAT Gateway
Cuando NAT Gateway está configurado con una dirección IP pública, el tráfico se enruta a través de la red de Microsoft. NAT Gateway no se puede asociar a direcciones IP públicas con la opción de preferencia de enrutamiento Internet. NAT Gateway solo se puede asociar a direcciones IP públicas con la opción de preferencia de enrutamiento Red global de Microsoft. Consulte los servicios admitidos para obtener una lista de todos los servicios de Azure que admiten direcciones IP públicas con la preferencia de enrutamiento de Internet.
No se pueden desajustar las zonas de direcciones IP públicas y la puerta de enlace NAT estándar
La puerta de enlace NAT estándar se puede designar en una zona específica (un recurso zonal) o en "ninguna zona". Cuando la puerta de enlace NAT se coloca en "ninguna zona", Azure coloca la puerta de enlace NAT en una zona, pero no tiene visibilidad de la zona en la que se encuentra la puerta de enlace NAT.
La puerta de enlace NAT estándar se puede usar con direcciones IP públicas estándar designadas para una zona específica, sin zona, todas las zonas (con redundancia de zona) en función de su propia configuración de zona de disponibilidad.
| Designación de la zona de disponibilidad de una puerta de enlace NAT | Designación de una dirección IP pública o un prefijo que se puede usar |
|---|---|
| Sin zona | Con redundancia de zona, sin zona o zonal (la designación de zona de IP pública puede ser cualquier zona de una región, para poder trabajar con una puerta de enlace NAT sin zona). |
| Designado para una zona específica | Se pueden usar direcciones IP públicas zonales o con redundancia de zona |
Nota:
Si necesita conocer la zona en la que reside la puerta de enlace NAT, asegúrese de designarla en una zona de disponibilidad específica. O bien, use una puerta de enlace NAT standardV2 con redundancia de zona.
No se pueden usar direcciones IP públicas protegidas por DDoS con la puerta de enlace NAT
La puerta de enlace NAT no admite direcciones IP públicas con la protección contra DDoS habilitada. Las direcciones IP protegidas con DDoS son más críticas para el tráfico entrante, ya que la mayoría de los ataques DDoS están diseñados para sobrecargar los recursos del destino al inundarlos con un gran volumen de tráfico entrante. Para más información sobre la protección contra DDoS, revise los artículos siguientes.
- Características de Azure DDoS Protection
- Procedimientos recomendados de Azure DDoS Protection
- Tipos de ataques de protección contra DDoS de Azure mitiga
Acceso exterior predeterminado
Las NIC de máquina virtual siguen teniendo direcciones IP de salida predeterminadas a pesar de que la puerta de enlace NAT está presente
Hay un parámetro de nivel de NIC (defaultOutboundConnectivityEnabled) que realiza un seguimiento de si se asigna una dirección IP de salida predeterminada a una máquina virtual o a una instancia del conjunto de escalado de máquinas virtuales.
En algunos casos, se sigue asignando una dirección IP de salida predeterminada a máquinas virtuales en una subred no privada, incluso cuando se configura un método de salida explícito, como una puerta de enlace NAT o una UDR que dirige el tráfico a una aplicación virtual de red o un firewall. Las direcciones IP salientes predeterminadas no se usan para la salida a menos que se quiten esos métodos explícitos. Quite las direcciones IP de salida predeterminadas haciendo que la subred sea privada y realice una detención y desasignación en las máquinas virtuales.
Consulte la guía de solución de problemas
Si el problema que experimenta no está cubierto por este artículo, consulte los otros artículos de solución de problemas de puerta de enlace NAT:
Solucionar problemas de conectividad saliente con NAT Gateway.
Solucionar problemas de conectividad saliente con NAT Gateway y otros servicios de Azure.
Pasos siguientes
Si tiene problemas con la puerta de enlace NAT no enumerada o resuelta por este artículo, envíe comentarios a través de GitHub a través de la parte inferior de esta página. Abordamos sus comentarios lo antes posible para mejorar la experiencia de nuestros clientes.
Para obtener más información sobre NAT Gateway, consulte: