Важно известие: |
Сценарият: "Сценарият е в процес на изпълнение:
В по-големи мрежи, когато се използват VPN, може да се наложи да се маскира подмрежата на източника, за да се избегнат конфликти в IP-адресирането. Това е известно като настройка на SNAT.
Този урок ще ви покаже как да конфигурирате устройство USG, за да допълни към настройката SNAT!
Ръководство стъпка по стъпка:
В този урок ще ви обясним как да "маскирате" локалната си подмрежа или да избегнете припокриване на подмрежи, когато същата подмрежа е на отдалечения сайт на VPN тунела. Това ръководство изисква вече да сте настроили вашия IPsec шлюз (IPsec Phase1):
1. Свържете компютъра си директно към един от LAN портовете и влезте в уеб интерфейса с IP адрес по подразбиране 192.168.1.1, като използвате идентификационните данни по подразбиране admin/1234
2. Преминете към Configuration (Конфигурация) > VPN (VPN) > IPSec VPN (IPSec VPN) > VPN Connection (VPN връзка) и добавете нова VPN връзка, като използвате бутона "Add" (Добавяне).
3. Използвайте бутона "Create new Object" (Създаване на нов обект), за да създадете нов обект от типа "IPv4 Address" (IPv4 адрес).
4. Създайте своя обект за локална подмрежа и обект за отдалечена подмрежа
Внимавайте да изберете подмрежа, която не е в конфликт с никоя подмрежа на вашия или на отдалечения обект!
5. И двата създадени обекта на подмрежата трябва да бъдат избрани като "Локална политика" и "Отдалечена политика" във VPN връзката
6. Превъртете до края на страницата и отворете стрелката "Advance" (Напред), за да конфигурирате раздела "Inbound/Outbound traffic NAT" (За да бъдат видими разширените настройки, натиснете "Show Advanced Settings" (Покажи разширените настройки)). Поставете отметка в квадратчето "Source NAT", изберете "истинската" локална подмрежа като "Източник", отдалечената подмрежа като "Дестинация" и "фалшивата" подмрежа за "SNAT".
Също така поставете отметка в квадратчето "Destination NAT", щракнете върху "Add" (Добавяне) и изберете вашата "фалшива" подмрежа като "Original IP" (Оригинален IP), вашата локална подмрежа за "Mapped IP" (Мапиран IP) и щракнете върху "OK", за да създадете VPN връзката
8. Навигирайте до Configuration (Конфигурация) > Network (Мрежа) > Routing (Маршрутизация) > Policy Route (Маршрут на политиката) и щракнете върху "Add" (Добавяне)
9. Изберете локалната си подмрежа като "Source Address" (Изходен адрес), отдалечената подмрежа като "Destination Address" (Адрес на местоназначението), под "Next Hop" (Следващ скок) изберете "Type" (Тип) "VPN Tunnel" (VPN тунел) и изберете създадената VPN връзка за "VPN Tunnel" (VPN тунел), преди да щракнете върху "OK".
След като тези настройки бъдат приложени, отдалеченият сайт няма да знае истинската ви локална подмрежа, тъй като използва вашата "фалшива" подмрежа като отдалечена политика на своя сайт.
Освен това: Ако има една и съща истинска подмрежа на вашия и на отдалечения сайт, сега ще бъдат избегнати проблеми с маршрутизацията поради припокриване на подмрежите.
Видео:
KB-00026