VPN от сайт до сайт с NAT на Zyxel USG FLEX H – Ръководство за конфигуриране

VPN от сайт до сайт създава сигурна и криптирана връзка между две мрежи през интернет. Тя се използва за свързване на клонове, осигуряване на сигурен достъп до ресурси и централизирано управление на трафика. В някои случаи обаче нормалното маршрутизиране не е достатъчно. Вътрешните IP адреси на една мрежа могат да се припокриват с адресите на друга мрежа. Освен това политиките за сигурност от отдалечената страна може да не позволяват директното използване на вътрешни IP адреси. В тези ситуации трябва да използвате NAT на устройството Zyxel, за да може трафикът да преминава правилно през VPN тунела.

Кога да използвате различни типове NAT във VPN

В зависимост от сценария, в Site-to-Site VPN могат да се използват различни SNAT методи:

• SNAT към един IP – използва се, когато целият трафик трябва да изглежда, че идва от един изходен IP адрес към отдалечения сайт.

• 1:1 NAT – често се използва в VPN от тип „сайт към сайт“, за да се разрешат припокриващи се мрежи, да се избегне преномериране, да се скрие вътрешното адресиране и да се позволи контролирана свързаност между организациите.

Забележка: Картографирането на цяла подмрежа към друга подмрежа също се счита за сценарий 1:1 NAT, а не за отделен тип SNAT.

Защо е необходим NAT в VPN от тип „сайт-към-сайт“

• Ако и двете страни използват еднакви или припокриващи се подмрежи (например 192.168.1.0/24), маршрутизацията няма да работи правилно. NAT променя изходния IP адрес към друга подмрежа и премахва конфликта.

• Ако партньорската мрежа приема трафик само от определени IP адреси, NAT може да скрие вътрешните адреси и да ги замени с разрешен IP диапазон.

• Ако не е възможно да се добавят правилни маршрути или ако едната страна използва динамичен IP адрес, NAT помага за правилното изпращане на трафика през VPN тунела.

• 1:1 NAT позволява на трафика да използва един изходен IP адрес. Това улеснява администрирането и мониторинга.

В тази статия ще разгледаме един от най-често срещаните случаи на използване на 1:1 NAT. Ще обясним как да конфигурирате Site-to-Site VPN с 1:1 NAT на Zyxel USG FLEX H, когато и двата сайта използват една и съща подмрежа.

Сценарий: Припокриващи се подмрежи

За да се избегне конфликт, сайт А (централен офис) ще преобразува своята LAN в 10.10.10.0/24 (използвана само вътре в VPN).

И двата сайта използват една и съща подмрежа.

Без 1:1 NAT устройствата не могат да разграничат локалната и отдалечената мрежа 192.168.1.0/24. Трафикът няма да бъде маршрутизиран правилно.

Сайт А – Конфигуриране на VPN от сайт към сайт с NAT на Zyxel USG FLEX H

Първо, конфигурирайте основна IPSec VPN между двете устройства.

Отидете на: Web GUI → VPN → IPSec VPN - Site to Site VPN 

Добавете нов тунел и задайте следното:

• Добавете

• Тип: От сайт до сайт
• Версия IKE: IKEv2

Общи настройки

Активиране: ✔

Версия на IKE: IKEv2

Тип: Въз основа на политика

Моят адрес: Изберете WAN интерфейс

Адрес на шлюза на партньора: Въведете отдалечения публичен IP

Удостоверяване: Предварително споделен ключ (един и същ и от двете страни)

Стъпка 2 – Настройки на фаза 1

• В настройките на фаза 1:
• Криптиране: AES128 (или според изискванията)
• Удостоверяване/PRF: SHA1 или SHA256
• DH група: DH14 (препоръчително)
• Срок на действие на SA: По подразбиране или както е договорено

Стъпка 3 – Настройки на фаза 2

• В „Настройки на фаза 2“ кликнете върху „Добави“.
• Конфигуриране:
• Локално: 11.11.11.0/24
• Отдалечено: 10.10.10.0/24
• Протокол: Всеки
• PFS: Активиране (препоръчва се DH14)

Въпреки че подмрежите са еднакви, NAT ще се погрижи за преобразуването на адресите.

Стъпка 4 – Конфигуриране на 1:1 NAT (важна стъпка)

Превъртете до:

Разширени настройки → Дестинация (първата политика за отдалечен достъп) → Правило за NAT

Кликнете върху Добави.

Конфигурирайте:

• IP на източника: 192.168.168.0/24

• Тип: 1:1 NAT

• Картографиран IP: 11.11.11.0/24

Приложете конфигурацията.

Това гарантира, че трафикът, влизащ в VPN тунела, се преобразува от:
192.168.168.x → 11.11.11.x

Сайт Б – Конфигуриране на Site-to-Site VPN с NAT на Zyxel USG FLEX H

Общи настройки

Активиране: ✔

Версия на IKE: IKEv2

Тип: Въз основа на политика

Моят адрес: Изберете WAN интерфейс

Адрес на шлюза на партньора: Въведете отдалечения публичен IP

Удостоверяване: Предварително споделен ключ (един и същ и от двете страни)

Стъпка 2 – Настройки на фаза 1

• В настройките на фаза 1:
• Криптиране: AES128 (или според изискванията)
• Удостоверяване/PRF: SHA1 или SHA256
• DH група: DH14 (препоръчително)
• Срок на действие на SA: По подразбиране или както е договорено

Стъпка 3 – Настройки на фаза 2

• В „Настройки на фаза 2“ кликнете върху „Добави“.
• Конфигуриране:
• Локално: 10.10.10.0/24
• Отдалечено: 11.11.11.0/24
• Протокол: Всеки
• PFS: Активиране (препоръчва се DH14)

Въпреки че подмрежите са еднакви, NAT ще се погрижи за преобразуването на адресите.

Стъпка 4 – Конфигуриране на 1:1 NAT (важна стъпка)

Превъртете до:

Разширени настройки → Дестинация (първата политика за отдалечен достъп) → Правило за NAT

Кликнете върху Добави.

Конфигурирайте:

• IP на източника: 192.168.168.0/24

• Тип: 1:1 NAT

• Картографиран IP: 11.11.11.0/24

Приложете конфигурацията.

Това гарантира, че трафикът, влизащ в VPN тунела, се преобразува от:
192.168.168.x → 10.10.10.x

Проверка

1. Установете VPN тунела.

1. Изпратете Ping от сайт А към хост на сайт Б.

1. На сайт Б проверете дали източникът на трафика се показва като 10.10.10.x.

2. Проверете логовете на VPN и NAT за успешно преобразуване.