Site-to-Site VPN med NAT på Zyxel USG FLEX H – Konfigurationsvejledning

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser vedrørende nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Originalversion

En Site-to-Site VPN opretter en sikker og krypteret forbindelse mellem to netværk via internettet. Den bruges til at forbinde filialer, give sikker adgang til ressourcer og administrere trafikken centralt. I nogle tilfælde er normal routing dog ikke nok. De interne IP-adresser på et netværk kan overlappe adresserne på et andet netværk. Desuden tillader sikkerhedspolitikkerne på den fjerne side muligvis ikke direkte brug af interne IP-adresser. I disse situationer skal du bruge NAT på Zyxel-enheden for at få trafikken til at passere korrekt gennem VPN-tunnelen.

Hvornår skal man bruge forskellige NAT-typer i VPN

Afhængigt af scenariet kan forskellige SNAT-metoder bruges i en Site-to-Site VPN:

  • SNAT til en enkelt IP – bruges, når al trafik skal fremstå som stammende fra én kilde-IP-adresse til det fjerne sted.

  • 1:1 NAT – bruges ofte i site-to-site VPN'er til at løse overlappende netværk, undgå omnummerering, skjule interne adresser og muliggøre kontrolleret forbindelse mellem organisationer.

Bemærk: Kortlægning af et fuldt undernet til et andet undernet betragtes også som et 1:1 NAT-scenarie, ikke som en separat SNAT-type.

Hvorfor NAT er nødvendigt i et site-to-site VPN

  • Hvis begge sider bruger de samme eller overlappende undernet (for eksempel 192.168.1.0/24), vil routing ikke fungere korrekt. NAT ændrer kilde-IP-adressen til et andet undernet og fjerner konflikten.

  • Hvis partnernetværket kun accepterer trafik fra bestemte IP-adresser, kan NAT skjule de interne adresser og erstatte dem med et tilladt IP-interval.

  • Hvis det ikke er muligt at tilføje korrekte ruter, eller hvis den ene side bruger en dynamisk IP-adresse, hjælper NAT med at sende trafikken korrekt gennem VPN-tunnelen.

  • 1:1 NAT tillader trafik at bruge en enkelt kilde-IP-adresse. Dette gør administration og overvågning nemmere.

I denne artikel vil vi se på et af de mest almindelige anvendelsestilfælde for 1:1 NAT. Vi vil forklare, hvordan man konfigurerer en Site-to-Site VPN med 1:1 NAT på Zyxel USG FLEX H, når begge steder bruger det samme undernet.

Scenarie: Overlappende undernet

Site A (filial)

LAN: 192.168.1.0/24

Site B (hovedkontor)

LAN: 192.168.1.0/24

For at undgå konflikter oversætter sted A (hovedkontoret) sit LAN til 10.10.10.0/24 (bruges kun inden for VPN'en).

Begge steder bruger det samme undernet.

Uden 1:1 NAT kan enhederne ikke skelne mellem de lokale og eksterne 192.168.1.0/24-netværk. Trafikken vil ikke blive routet korrekt.

Site A - Konfigurer Site-to-Site VPN med NAT på Zyxel USG FLEX H

Konfigurer først et grundlæggende IPSec VPN mellem de to enheder.

Gå til: Web GUI → VPN → IPSec VPN - Site-to-Site VPN 

Tilføj en ny tunnel, og indstil følgende:

  • Tilføj

  • Type: Site-to-Site
  • IKE-version: IKEv2

Generelle indstillinger

Aktivér: ✔

IKE-version: IKEv2

Type: Politikbaseret

Min adresse: Vælg WAN-grænseflade

Peer-gateway-adresse: Indtast den eksterne offentlige IP

Godkendelse: Foruddefineret nøgle (den samme på begge sider)

Trin 2 – Indstillinger for fase 1

  • Under fase 1-indstillinger:
  • Kryptering: AES128 (eller efter behov)
  • Godkendelse/PRF: SHA1 eller SHA256
  • DH-gruppe: DH14 (anbefales)
  • SA-levetid: Standard eller som aftalt

Trin 3 – Indstillinger for fase 2

  • Klik på Tilføj under Indstillinger for fase 2.
  • Konfigurer:
  • Lokal: 11.11.11.0/24
  • Fjern: 10.10.10.0/24
  • Protokol: Enhver
  • PFS: Aktiver (DH14 anbefales)

Selvom undernettene er de samme, vil NAT håndtere adresseoversættelsen.

Trin 4 – Konfigurer 1:1 NAT (vigtigt trin)

Rul ned til:

Avancerede indstillinger → Destination (den første fjernpolitik) → NAT-regel

Klik på Tilføj.

Konfigurer:

  • Oprindelses-IP: 192.168.168.0/24

  • Type: 1:1 NAT

  • Tildelt IP: 11.11.11.0/24

Anvend konfigurationen.

Dette sikrer, at trafik, der kommer ind i VPN-tunnelen, oversættes fra:
192.168.168.x → 11.11.11.x

Site B - Konfigurer Site-to-Site VPN med NAT på Zyxel USG FLEX H

Generelle indstillinger

Aktivér: ✔

IKE-version: IKEv2

Type: Politikbaseret

Min adresse: Vælg WAN-grænseflade

Peer-gateway-adresse: Indtast den eksterne offentlige IP

Godkendelse: Foruddefineret nøgle (den samme på begge sider)

Trin 2 – Indstillinger for fase 1

  • Under fase 1-indstillinger:
  • Kryptering: AES128 (eller efter behov)
  • Godkendelse/PRF: SHA1 eller SHA256
  • DH-gruppe: DH14 (anbefales)
  • SA-levetid: Standard eller som aftalt

Trin 3 – Indstillinger for fase 2

  • Klik på Tilføj under Indstillinger for fase 2.
  • Konfigurer:
  • Lokal: 10.10.10.0/24
  • Fjern: 11.11.11.0/24
  • Protokol: Enhver
  • PFS: Aktivér (DH14 anbefales)

Selvom undernettene er de samme, vil NAT håndtere adresseoversættelsen.

Trin 4 – Konfigurer 1:1 NAT (vigtigt trin)

Rul ned til:

Avancerede indstillinger → Destination (den første fjernpolitik) → NAT-regel

Klik på Tilføj.

Konfigurer:

  • Oprindelses-IP: 192.168.168.0/24

  • Type: 1:1 NAT

  • Tildelt IP: 11.11.11.0/24

Anvend konfigurationen.

Dette sikrer, at trafik, der kommer ind i VPN-tunnelen, oversættes fra:
192.168.168.x → 10.10.10.x

Verifikation

  1. Opret VPN-tunnelen.

 

  1. Ping fra sted A til en vært på sted B.

  1. Kontroller på Site B, at trafikkilden vises som 10.10.10.x.

  2. Kontroller VPN- og NAT-logfilerne for at se, om oversættelsen er lykkedes.

 

 

 

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.