Site-to-Site-VPN ja NAT Zyxel USG FLEX H -laitteella – Asennusopas

Site-to-Site VPN luo turvallisen ja salatun yhteyden kahden verkon välille Internetin kautta. Sitä käytetään sivukonttoreiden yhdistämiseen, turvallisen pääsyn tarjoamiseen resursseihin ja liikenteen keskitetyn hallinnan mahdollistamiseen. Joissakin tapauksissa tavallinen reititys ei kuitenkaan riitä. Yhden verkon sisäiset IP-osoitteet voivat olla päällekkäisiä toisen verkon osoitteiden kanssa. Lisäksi etäpuolen tietoturvakäytännöt eivät välttämättä salli sisäisten IP-osoitteiden suoraa käyttöä. Näissä tilanteissa sinun on käytettävä Zyxel-laitteen NAT-toimintoa, jotta liikenne kulkee oikein VPN-tunnelin läpi.

Milloin eri NAT-tyyppejä käytetään VPN:ssä

Tilanteesta riippuen Site-to-Site-VPN:ssä voidaan käyttää erilaisia SNAT-menetelmiä:

• SNAT yhteen IP-osoitteeseen – käytetään, kun kaiken liikenteen on näyttävä tulevan yhdestä lähde-IP-osoitteesta etäpaikkaan.

• 1:1 NAT – käytetään yleisesti sivustojen välisissä VPN-yhteyksissä päällekkäisten verkkojen ratkaisemiseksi, uudelleen numeroinnin välttämiseksi, sisäisen osoitteistuksen piilottamiseksi ja organisaatioiden välisen hallitun yhteyden mahdollistamiseksi.

Huomautus: Koko aliverkon kartoittaminen toiseen aliverkkoon katsotaan myös 1:1 NAT -tilanteeksi, ei erilliseksi SNAT-tyypiksi.

Miksi NAT:ta tarvitaan sivustojen välisessä VPN:ssä

• Jos molemmat osapuolet käyttävät samaa tai päällekkäistä aliverkkoa (esimerkiksi 192.168.1.0/24), reititys ei toimi oikein. NAT muuttaa lähde-IP-osoitteen eri aliverkkoon ja poistaa ristiriidan.

• Jos kumppaniverkko hyväksyy vain liikennettä tietyistä IP-osoitteista, NAT voi piilottaa sisäiset osoitteet ja korvata ne sallitulla IP-alueella.

• Jos oikeita reittejä ei ole mahdollista lisätä tai jos toinen osapuoli käyttää dynaamista IP-osoitetta, NAT auttaa lähettämään liikennettä oikein VPN-tunnelin kautta.

• 1:1 NAT mahdollistaa liikenteen käyttämisen yhdellä lähde-IP-osoitteella. Tämä helpottaa hallintaa ja valvontaa.

Tässä artikkelissa tarkastelemme yhtä yleisimmistä 1:1 NAT -käyttötapauksista. Selitämme, kuinka Site-to-Site VPN konfiguroidaan 1:1 NAT:lla Zyxel USG FLEX H:ssa, kun molemmat sivustot käyttävät samaa aliverkkoa.

Skenaario: Päällekkäiset aliverkot

Ristiriitojen välttämiseksi toimipaikka A (pääkonttori) muuntaa LAN-verkonsa muotoon 10.10.10.0/24 (käytetään vain VPN:n sisällä).

Molemmat sivustot käyttävät samaa aliverkkoa.

Ilman 1:1 NAT:ta laitteet eivät pysty erottamaan paikallista ja etäistä 192.168.1.0/24-verkkoa toisistaan. Liikennettä ei reititetä oikein.

Sivusto A – Määritä sivustojen välinen VPN NAT:lla Zyxel USG FLEX H:ssa

Määritä ensin perus-IPSec-VPN kahden laitteen välille.

Siirry kohtaan: Web GUI → VPN → IPSec VPN - Site to Site VPN 

Lisää uusi tunneli ja määritä seuraavat asetukset:

• Lisää

• Tyyppi: Sivusto-sivusto
• IKE-versio: IKEv2

Yleiset asetukset

Ota käyttöön: ✔

IKE-versio: IKEv2

Tyyppi: Käytäntöpohjainen

Oma osoite: Valitse WAN-liitäntä

Vastapuolen yhdyskäytävän osoite: Syötä etäisen julkisen IP-osoitteen

Todennus: Ennalta jaettu avain (sama molemmilla puolilla)

Vaihe 2 – Vaiheen 1 asetukset

• Vaihe 1 -asetukset:
• Salaus: AES128 (tai vaaditun mukainen)
• Todennus/PRF: SHA1 tai SHA256
• DH-ryhmä: DH14 (suositeltava)
• SA:n voimassaoloaika: Oletusarvo tai sovitun mukainen

Vaihe 3 – Vaiheen 2 asetukset

• Napsauta Vaiheen 2 asetuksissa Lisää.
• Määritä:
• Paikallinen: 11.11.11.0/24
• Etä: 10.10.10.0/24
• Protokolla: Mikä tahansa
• PFS: Ota käyttöön (suositus: DH14)

Vaikka aliverkot ovat samat, NAT hoitaa osoitteenmuunnoksen.

Vaihe 4 – Määritä 1:1 NAT (tärkeä vaihe)

Vieritä kohtaan:

Lisäasetukset → Kohde (ensimmäinen etäkäytäntö) → NAT-sääntö

Napsauta Lisää.

Määritä:

• Lähtö-IP: 192.168.168.0/24

• Tyyppi: 1:1 NAT

• Kohdistettu IP: 11.11.11.0/24

Käytä asetuksia.

Tämä varmistaa, että VPN-tunneliin saapuva liikenne muunnetaan muodossa:
192.168.168.x → 11.11.11.x

Sivusto B – Määritä sivustojen välinen VPN NAT:lla Zyxel USG FLEX H:ssa

Yleiset asetukset

Ota käyttöön: ✔

IKE-versio: IKEv2

Tyyppi: Käytäntöpohjainen

Oma osoite: Valitse WAN-liitäntä

Vastapuolen yhdyskäytävän osoite: Syötä etäisen julkisen IP-osoitteen

Todennus: Ennalta jaettu avain (sama molemmilla puolilla)

Vaihe 2 – Vaiheen 1 asetukset

• Vaihe 1 -asetukset:
• Salaus: AES128 (tai vaaditun mukainen)
• Todennus/PRF: SHA1 tai SHA256
• DH-ryhmä: DH14 (suositeltava)
• SA:n voimassaoloaika: Oletusarvo tai sovitun mukainen

Vaihe 3 – Vaiheen 2 asetukset

• Napsauta Vaiheen 2 asetuksissa Lisää.
• Määritä:
• Paikallinen: 10.10.10.0/24
• Etä: 11.11.11.0/24
• Protokolla: Mikä tahansa
• PFS: Ota käyttöön (suositus: DH14)

Vaikka aliverkot ovat samat, NAT hoitaa osoitteenmuunnoksen.

Vaihe 4 – Määritä 1:1 NAT (tärkeä vaihe)

Vieritä kohtaan:

Lisäasetukset → Kohde (ensimmäinen etäkäytäntö) → NAT-sääntö

Napsauta Lisää.

Määritä:

• Lähtö-IP: 192.168.168.0/24

• Tyyppi: 1:1 NAT

• Kohdistettu IP: 11.11.11.0/24

Käytä asetuksia.

Tämä varmistaa, että VPN-tunneliin saapuva liikenne muunnetaan muotoon:
192.168.168.x → 10.10.10.x

Varmistus

1. Muodosta VPN-tunneli.

1. Tee ping-komento sivustolta A sivuston B isäntäkoneelle.

1. Varmista sivustolla B, että liikenteen lähde näkyy muodossa 10.10.10.x.

2. Tarkista VPN- ja NAT-lokit varmistaaksesi, että käännös on onnistunut.