VPN typu Site-to-Site s NAT na zařízení Zyxel USG FLEX H – Průvodce konfigurací

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Vážený zákazníku, upozorňujeme, že k poskytování článků ve vašem místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. Máte-li dotazy nebo zjistíte nesrovnalosti ohledně přesnosti informací v přeložené verzi, přečtěte si prosím původní článek zde:Původní verze

VPN typu Site-to-Site vytváří bezpečné a šifrované připojení mezi dvěma sítěmi přes internet. Používá se k propojení poboček, zajištění bezpečného přístupu k prostředkům a centrální správě provozu. V některých případech však běžné směrování nestačí. Interní IP adresy jedné sítě se mohou překrývat s adresami jiné sítě. Také bezpečnostní zásady na vzdálené straně nemusí přímo povolovat použití interních IP adres. V těchto situacích je třeba použít NAT na zařízení Zyxel, aby provoz správně procházel tunelem VPN.

Kdy použít různé typy NAT ve VPN

V závislosti na scénáři lze v síti VPN typu Site-to-Site použít různé metody SNAT:

  • SNAT na jednu IP – používá se, když musí veškerý provoz směřovat ze vzdálené lokality z jedné zdrojové IP adresy.

  • 1:1 NAT – běžně se používá v sítích VPN typu Site-to-Site k řešení překrývajících se sítí, zamezení přečíslování, skrytí interního adresování a umožnění řízené konektivity mezi organizacemi.

Poznámka: Mapování celé podsítě na jinou podsíť se také považuje za scénář 1:1 NAT, nikoli za samostatný typ SNAT.

Proč je NAT v síti VPN typu Site-to-Site potřebný

  • Pokud obě strany používají stejné nebo překrývající se podsítě (například 192.168.1.0/24), směrování nebude fungovat správně. NAT změní zdrojovou IP adresu na jinou podsíť a odstraní konflikt.

  • Pokud partnerská síť přijímá pouze provoz z konkrétních IP adres, může NAT skrýt interní adresy a nahradit je povoleným rozsahem IP adres.

  • Pokud není možné přidat správné trasy nebo pokud jedna strana používá dynamickou IP adresu, NAT pomáhá správně odesílat provoz přes tunel VPN.

  • 1:1 NAT umožňuje, aby provoz používal jedinou zdrojovou IP adresu. To usnadňuje správu a monitorování.

V tomto článku se podíváme na jeden z nejběžnějších případů použití 1:1 NAT. Vysvětlíme, jak nakonfigurovat VPN typu Site-to-Site s 1:1 NAT na Zyxel USG FLEX H, když obě lokality používají stejnou podsíť.

Scénář: Překrývající se podsítě

Lokalita A (pobočka)

LAN: 192.168.1.0/24

Lokalita B (centrála)

LAN: 192.168.1.0/24

Aby se předešlo konfliktům, lokalita A (centrála) převede svou LAN na 10.10.10.0/24 (používá se pouze uvnitř VPN).

Obě lokality používají stejnou podsíť.

Bez NAT 1:1 zařízení nedokážou rozlišit mezi lokálními a vzdálenými sítěmi 192.168.1.0/24. Provoz nebude správně směrován.

Lokalita A – Konfigurace VPN typu Site-to-Site s NAT na Zyxel USG FLEX H

Nejprve nakonfigurujte základní IPSec VPN mezi oběma zařízeními.

Přejděte na: Webové rozhraní → VPN → IPSec VPN – Site-to-Site VPN 

Přidejte nový tunel a nastavte následující:

  • Přidat

  • Typ: Site-to-Site
  • Verze IKE: IKEv2

Obecná nastavení

Povolit: ✔

Verze IKE: IKEv2

Typ: Na základě zásad

Moje adresa: Vyberte rozhraní WAN

Adresa brány protistrany: Zadejte vzdálenou veřejnou IP adresu

Ověřování: Předem sdílený klíč (stejný na obou stranách)

Krok 2 – Nastavení fáze 1

  • V nastavení fáze 1:
  • Šifrování: AES128 (nebo podle požadavků)
  • Ověřování/PRF: SHA1 nebo SHA256
  • Skupina DH: DH14 (doporučeno)
  • Životnost SA: Výchozí nebo podle dohody

Krok 3 – Nastavení fáze 2

  • V části Nastavení fáze 2 klikněte na Přidat.
  • Konfigurace:
  • Místní: 11.11.11.0/24
  • Vzdálené: 10.10.10.0/24
  • Protokol: Libovolný
  • PFS: Povolit (doporučeno DH14)

I když jsou podsítě stejné, NAT se postará o překlad adres.

Krok 4 – Konfigurace NAT 1:1 (důležitý krok)

Přejděte na:

Pokročilá nastavení → Cíl (první vzdálená zásada) → Pravidlo NAT

Klikněte na Přidat.

Nakonfigurujte:

  • IP původu: 192.168.168.0/24

  • Typ: 1:1 NAT

  • Mapovaná IP: 11.11.11.0/24

Použijte konfiguraci.

Tím se zajistí, že provoz vstupující do tunelu VPN bude převeden z:
192.168.168.x → 11.11.11.x

Lokalita B – Konfigurace VPN typu Site-to-Site s NAT na Zyxel USG FLEX H

Obecná nastavení

Povolit: ✔

Verze IKE: IKEv2

Typ: Na základě zásad

Moje adresa: Vyberte rozhraní WAN

Adresa brány protistrany: Zadejte vzdálenou veřejnou IP adresu

Ověřování: Předem sdílený klíč (stejný na obou stranách)

Krok 2 – Nastavení fáze 1

  • V nastavení fáze 1:
  • Šifrování: AES128 (nebo podle požadavků)
  • Ověřování/PRF: SHA1 nebo SHA256
  • Skupina DH: DH14 (doporučeno)
  • Životnost SA: Výchozí nebo podle dohody

Krok 3 – Nastavení fáze 2

  • V části Nastavení fáze 2 klikněte na Přidat.
  • Konfigurace:
  • Místní: 10.10.10.0/24
  • Vzdálené: 11.11.11.0/24
  • Protokol: Libovolný
  • PFS: Povolit (doporučeno DH14)

I když jsou podsítě stejné, NAT se postará o překlad adres.

Krok 4 – Konfigurace NAT 1:1 (důležitý krok)

Přejděte na:

Pokročilá nastavení → Cíl (první vzdálená zásada) → Pravidlo NAT

Klikněte na Přidat.

Nakonfigurujte:

  • IP zdroje: 192.168.168.0/24

  • Typ: 1:1 NAT

  • Mapovaná IP: 11.11.11.0/24

Použijte konfiguraci.

Tím zajistíte, že provoz vstupující do tunelu VPN bude převeden z:
192.168.168.x → 10.10.10.x

Ověření

  1. Navázat VPN tunel.

 

  1. Proveďte ping ze stránky A na hostitele na stránce B.

  1. Na lokalitě B ověřte, zda se zdroj provozu zobrazuje jako 10.10.10.x.

  2. Zkontrolujte protokoly VPN a NAT, zda došlo k úspěšnému překladu.

 

 

 

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 0
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.