Redireccionamiento NAT con interfaz virtual en equipos Zyxel USG

En equipos Zyxel USG con interfaz virtuales asociadas, por ejemplo asignando varias IPs fijas públicas, aparecen definidas en la intefaz visual de este modo:

Si se desea realizar NAT a una de las interfaces virtuales directamente:

Se muestra error y no crea la regla NAT correspondiente, aparece un descripción del mismo genérica: "Wrong CLI command, device timeout or device logout."

En su lugar, para realizarla correctamente debemos elegir la interfaz padre principal y limitar la IP de origen a la IP asignada a la interfaz virtual, se indica la IP "88.0.0.2" como la dirección IP de wan2:4 a modo de ejemplo:

Una vez creada la redirección del puerto o servicio, deberemos crear la correspondiente Política de control en el firewall para permitir el tráfico.

NOTA: Aplicable a firmware: V4.33(AAPI.0) e inferiores


VPN Zyxel USG: No rule found, dropping packet

Existen diversos escenarios para la configuración de VPN entre dos dispositivos, en este caso aparece en un equipo Zyxel USG el error:

error      IPSec      SPI:0x6c2b84d9 (1814791385) SEQ:0x0001 (4200) No rule found, Dropping packet      ipsec 

Donde "no se ha tocado nada" pero se ha desconectado el tunel o bien solo aparece como activo en una de las partes y en la otra no (cosas de lógica informática). En estos casos es mejor no dar por sentado ningún razonamiento y comprobar la comunicación entre ambas partes.

El error señalado indica, en este caso, que un equipo intermedio tiene habilitado algún tipo de NAT o NAPT o no permite el tráfico de un protocolo (ESP, en este caso por ser IPSec) se puede solucionar habilitando la funcionalidad VPN Passthrought si la tiene o estableciendo un DMZ hacia la IP del firewall final, por ejemplo.