Wichtiger Hinweis: |
Szenario:
In größeren Netzwerken kann es bei der Verwendung von VPNs erforderlich sein, ein Quell-Subnetz zu maskieren, um IP-Adressierungskonflikte zu vermeiden. Dies wird als SNAT-Einrichtung bezeichnet.
Dieses Tutorial zeigt Ihnen, wie Sie ein USG-Gerät so konfigurieren, dass es die SNAT-Einrichtung ergänzt!
Schritt für Schritt Anleitung:
In diesem Tutorial erklären wir Ihnen, wie Sie Ihr lokales Subnetz "maskieren" oder Subnetzüberschneidungen vermeiden können, wenn sich das gleiche Subnetz auf der Gegenseite des VPN-Tunnels befindet. Dieses Tutorial setzt voraus, dass Sie Ihr IPsec-Gateway bereits eingerichtet haben (IPsec Phase1):
1. Schließen Sie Ihren Computer direkt an einen der LAN-Ports an und melden Sie sich mit der Standard-IP 192.168.1.1 und den Standard-Zugangsdaten admin/1234 am Webinterface an.
2. Navigieren Sie zu Konfiguration > VPN > IPSec VPN > VPN-Verbindung und fügen Sie über die Schaltfläche "Hinzufügen" eine neue VPN-Verbindung hinzu.
3. Verwenden Sie die Schaltfläche "Neues Objekt erstellen", um ein neues Objekt vom Typ "IPv4-Adresse" zu erstellen.
4. Erstellen Sie Ihr lokales Subnetz-Objekt und Ihr entferntes Subnetz-Objekt
Achten Sie darauf, ein Subnetz zu wählen, das nicht mit einem Subnetz bei Ihnen oder der Gegenstelle in Konflikt steht!
5. Beide erstellten Subnetz-Objekte sollten in der VPN-Verbindung als "Lokale Richtlinie" und "Entfernte Richtlinie" ausgewählt werden.
6. Scrollen Sie zum Ende der Seite und öffnen Sie den "Erweitert"-Pfeil, um den Abschnitt "NAT für eingehenden/ausgehenden Verkehr" zu konfigurieren (damit die erweiterten Einstellungen sichtbar werden, drücken Sie auf "Erweiterte Einstellungen anzeigen"). Aktivieren Sie das Kontrollkästchen "Source NAT", wählen Sie Ihr "echtes" lokales Subnetz als "Source", das entfernte Subnetz als "Destination" und das "fake" Subnetz für das "SNAT".
Aktivieren Sie auch das Kontrollkästchen "Destination NAT", klicken Sie auf "Add" und wählen Sie Ihr "gefälschtes" Subnetz als "Original IP", Ihr lokales Subnetz für die "Mapped IP" und klicken Sie auf "OK", um die VPN-Verbindung herzustellen.
8. Navigieren Sie zu Konfiguration > Netzwerk > Routing > Policy Route und klicken Sie auf "Hinzufügen".
9. Wählen Sie Ihr lokales Subnetz als "Source Address" (Quelladresse), das entfernte Subnetz als "Destination Address" (Zieladresse), wählen Sie unter "Next Hop" (Nächster Sprung) den "Type" (Typ) "VPN Tunnel" (VPN-Tunnel) und wählen Sie die erstellte VPN-Verbindung als "VPN Tunnel" (VPN-Tunnel), bevor Sie auf "OK" klicken.
Nachdem diese Einstellungen vorgenommen wurden, kennt die Gegenstelle Ihr echtes lokales Subnetz nicht, da sie Ihr "gefälschtes" Subnetz als Fernrichtlinie auf ihrer Seite verwendet.
Zusätzlich: Wenn es auf Ihrem und dem entfernten Standort das gleiche echte Subnetz gäbe, würden Routing-Probleme aufgrund von Subnetzüberschneidungen vermieden.
Video:
KB-00026