Site-to-Site-VPN mit NAT auf dem Zyxel USG FLEX H – Konfigurationsanleitung

Ein Site-to-Site-VPN stellt eine sichere und verschlüsselte Verbindung zwischen zwei Netzwerken über das Internet her. Es wird verwendet, um Zweigstellen zu verbinden, sicheren Zugriff auf Ressourcen zu gewähren und den Datenverkehr zentral zu verwalten. In einigen Fällen reicht das normale Routing jedoch nicht aus. Die internen IP-Adressen eines Netzwerks können sich mit den Adressen eines anderen Netzwerks überschneiden. Außerdem lassen Sicherheitsrichtlinien auf der Gegenstelle möglicherweise die direkte Verwendung interner IP-Adressen nicht zu. In diesen Situationen müssen Sie NAT auf dem Zyxel-Gerät verwenden, damit der Datenverkehr korrekt durch den VPN-Tunnel geleitet wird.

Wann sollten verschiedene NAT-Typen in einem VPN verwendet werden?

Je nach Szenario können in einem Site-to-Site-VPN verschiedene SNAT-Methoden verwendet werden:

• SNAT zu einer einzelnen IP – wird verwendet, wenn der gesamte Datenverkehr für die Gegenstelle von einer einzigen Quell-IP-Adresse stammen muss.

• 1:1-NAT – wird häufig in Site-to-Site-VPNs verwendet, um überlappende Netzwerke aufzulösen, eine Neunummerierung zu vermeiden, die interne Adressierung zu verbergen und eine kontrollierte Konnektivität zwischen Organisationen zu ermöglichen.

Hinweis: Die Zuordnung eines vollständigen Subnetzes zu einem anderen Subnetz gilt ebenfalls als 1:1-NAT-Szenario und nicht als separater SNAT-Typ.

Warum NAT in einem Site-to-Site-VPN benötigt wird

• Wenn beide Seiten dieselben oder sich überschneidende Subnetze verwenden (z. B. 192.168.1.0/24), funktioniert das Routing nicht korrekt. NAT ändert die Quell-IP-Adresse in ein anderes Subnetz und beseitigt so den Konflikt.

• Wenn das Partnernetzwerk nur Datenverkehr von bestimmten IP-Adressen akzeptiert, kann NAT die internen Adressen verbergen und durch einen zulässigen IP-Bereich ersetzen.

• Wenn es nicht möglich ist, korrekte Routen hinzuzufügen, oder wenn eine Seite eine dynamische IP-Adresse verwendet, hilft NAT dabei, den Datenverkehr korrekt durch den VPN-Tunnel zu leiten.

• 1:1-NAT ermöglicht es, den Datenverkehr über eine einzige Quell-IP-Adresse zu leiten. Dies vereinfacht die Verwaltung und Überwachung.

In diesem Artikel betrachten wir einen der häufigsten Anwendungsfälle für 1:1-NAT. Wir erklären, wie man ein Site-to-Site-VPN mit 1:1-NAT auf dem Zyxel USG FLEX H konfiguriert, wenn beide Standorte dasselbe Subnetz verwenden.

Szenario: Sich überschneidende Subnetze

Um Konflikte zu vermeiden, wandelt Standort A (Zentrale) sein LAN in 10.10.10.0/24 um (wird nur innerhalb des VPN verwendet).

Beide Standorte verwenden dasselbe Subnetz.

Ohne 1:1-NAT können Geräte nicht zwischen dem lokalen und dem entfernten 192.168.1.0/24-Netzwerk unterscheiden. Der Datenverkehr wird nicht korrekt weitergeleitet.

Standort A – Konfigurieren Sie ein Site-to-Site-VPN mit NAT auf dem Zyxel USG FLEX H

Konfigurieren Sie zunächst ein einfaches IPSec-VPN zwischen den beiden Geräten.

Gehen Sie zu: Web-GUI → VPN → IPSec-VPN – Site-to-Site-VPN 

Fügen Sie einen neuen Tunnel hinzu und nehmen Sie folgende Einstellungen vor:

• Hinzufügen

• Typ: Site-to-Site
• IKE-Version: IKEv2

Allgemeine Einstellungen

Aktivieren: ✔

IKE-Version: IKEv2

Typ: Richtlinienbasiert

Meine Adresse: WAN-Schnittstelle auswählen

Peer-Gateway-Adresse: Geben Sie die öffentliche IP-Adresse des Gegenübers ein

Authentifizierung: Vorab geteilter Schlüssel (auf beiden Seiten identisch)

Schritt 2 – Einstellungen für Phase 1

• Unter „Einstellungen für Phase 1“:
• Verschlüsselung: AES128 (oder nach Bedarf)
• Authentifizierung/PRF: SHA1 oder SHA256
• DH-Gruppe: DH14 (empfohlen)
• SA-Lebensdauer: Standard oder wie vereinbart

Schritt 3 – Einstellungen für Phase 2

• Klicken Sie unter „Einstellungen für Phase 2“ auf „Hinzufügen“.
• Konfigurieren:
• Lokal: 11.11.11.0/24
• Remote: 10.10.10.0/24
• Protokoll: Beliebig
• PFS: Aktivieren (DH14 empfohlen)

Auch wenn die Subnetze identisch sind, übernimmt NAT die Adressübersetzung.

Schritt 4 – 1:1-NAT konfigurieren (wichtiger Schritt)

Scrollen Sie zu:

Erweiterte Einstellungen → Ziel (die erste Remote-Richtlinie) → NAT-Regel

Klicken Sie auf „Hinzufügen“.

Konfigurieren Sie:

• Quell-IP: 192.168.168.0/24

• Typ: 1:1-NAT

• Zugeordnete IP: 11.11.11.0/24

Übernehmen Sie die Konfiguration.

Dadurch wird sichergestellt, dass der in den VPN-Tunnel eintretende Datenverkehr von:
192.168.168.x → 11.11.11.x

Standort B – Konfigurieren Sie ein Site-to-Site-VPN mit NAT auf dem Zyxel USG FLEX H

Allgemeine Einstellungen

Aktivieren: ✔

IKE-Version: IKEv2

Typ: Richtlinienbasiert

Meine Adresse: WAN-Schnittstelle auswählen

Peer-Gateway-Adresse: Geben Sie die öffentliche IP-Adresse des Gegenübers ein

Authentifizierung: Vorab geteilter Schlüssel (auf beiden Seiten identisch)

Schritt 2 – Einstellungen für Phase 1

• Unter „Einstellungen für Phase 1“:
• Verschlüsselung: AES128 (oder nach Bedarf)
• Authentifizierung/PRF: SHA1 oder SHA256
• DH-Gruppe: DH14 (empfohlen)
• SA-Lebensdauer: Standard oder wie vereinbart

Schritt 3 – Einstellungen für Phase 2

• Klicken Sie unter „Einstellungen für Phase 2“ auf „Hinzufügen“.
• Konfigurieren:
• Lokal: 10.10.10.0/24
• Remote: 11.11.11.0/24
• Protokoll: Beliebig
• PFS: Aktivieren (DH14 empfohlen)

Auch wenn die Subnetze identisch sind, übernimmt NAT die Adressübersetzung.

Schritt 4 – 1:1-NAT konfigurieren (wichtiger Schritt)

Scrollen Sie zu:

Erweiterte Einstellungen → Ziel (die erste Remote-Richtlinie) → NAT-Regel

Klicken Sie auf „Hinzufügen“.

Konfigurieren Sie:

• Quell-IP: 192.168.168.0/24

• Typ: 1:1-NAT

• Zugeordnete IP: 11.11.11.0/24

Übernehmen Sie die Konfiguration.

Dadurch wird sichergestellt, dass der in den VPN-Tunnel eintretende Datenverkehr von:
192.168.168.x → 10.10.10.x

Überprüfung

1. Stellen Sie den VPN-Tunnel her.

1. Führen Sie einen Ping von Standort A zu einem Host auf Standort B durch.

1. Überprüfen Sie an Standort B, ob die Verkehrsquelle als 10.10.10.x angezeigt wird.

2. Überprüfen Sie die VPN- und NAT-Protokolle auf eine erfolgreiche Übersetzung.