Avis important : |
Un VPN site à site établit une connexion sécurisée et cryptée entre deux réseaux via Internet. Il est utilisé pour connecter des succursales, fournir un accès sécurisé aux ressources et gérer le trafic de manière centralisée. Cependant, dans certains cas, le routage normal ne suffit pas. Les adresses IP internes d'un réseau peuvent chevaucher celles d'un autre réseau. De plus, les politiques de sécurité du côté distant peuvent interdire l'utilisation directe des adresses IP internes. Dans ces situations, vous devez utiliser le NAT sur le dispositif Zyxel pour que le trafic passe correctement par le tunnel VPN.
Quand utiliser différents types de NAT dans un VPN
Selon le scénario, différentes méthodes SNAT peuvent être utilisées dans un VPN site à site :
SNAT vers une seule adresse IP – utilisé lorsque tout le trafic doit provenir d'une seule adresse IP source vers le site distant.
NAT 1:1 – couramment utilisé dans les VPN site à site pour résoudre les chevauchements de réseaux, éviter la renumérotation, masquer l'adressage interne et permettre une connectivité contrôlée entre les organisations.
Remarque : le mappage d'un sous-réseau complet vers un autre sous-réseau est également considéré comme un scénario NAT 1:1, et non comme un type de SNAT distinct.
Pourquoi le NAT est-il nécessaire dans un VPN site à site ?
Si les deux côtés utilisent des sous-réseaux identiques ou qui se chevauchent (par exemple, 192.168.1.0/24), le routage ne fonctionnera pas correctement. Le NAT modifie l'adresse IP source pour l'attribuer à un sous-réseau différent et élimine ainsi le conflit.
Si le réseau partenaire n'accepte que le trafic provenant d'adresses IP spécifiques, le NAT peut masquer les adresses internes et les remplacer par une plage d'adresses IP autorisées.
S'il n'est pas possible d'ajouter des routes correctes, ou si l'une des parties utilise une adresse IP dynamique, le NAT permet d'acheminer correctement le trafic via le tunnel VPN.
Le NAT 1:1 permet au trafic d'utiliser une seule adresse IP source. Cela facilite l'administration et la surveillance.
Dans cet article, nous examinerons l'un des cas d'utilisation les plus courants du NAT 1:1. Nous expliquerons comment configurer un VPN site à site avec NAT 1:1 sur Zyxel USG FLEX H lorsque les deux sites utilisent le même sous-réseau.
Scénario : sous-réseaux qui se chevauchent
|
Site A (succursale) LAN : 192.168.1.0/24 |
Site B (siège social) LAN : 192.168.1.0/24 |
Pour éviter tout conflit, le site A (siège social) traduira son réseau local en 10.10.10.0/24 (utilisé uniquement à l'intérieur du VPN).
Les deux sites utilisent le même sous-réseau.
Sans NAT 1:1, les appareils ne peuvent pas faire la distinction entre les réseaux 192.168.1.0/24 locaux et distants. Le trafic ne sera pas acheminé correctement.
Site A - Configurer un VPN site à site avec NAT sur Zyxel USG FLEX H
Commencez par configurer un VPN IPSec de base entre les deux appareils.
Accédez à : Interface graphique Web → VPN → VPN IPSec - VPN site à site
Ajoutez un nouveau tunnel et définissez les paramètres suivants :
Ajouter
- Type : Site à site
- Version IKE : IKEv2
Paramètres généraux
Activer : ✔
Version IKE : IKEv2
Type : Basé sur des règles
Mon adresse : Sélectionnez l'interface WAN
Adresse de la passerelle homologue : Saisir l'adresse IP publique distante
Authentification : Clé pré-partagée (identique des deux côtés)
Étape 2 – Paramètres de la phase 1
- Sous Paramètres de la phase 1 :
- Chiffrement : AES128 (ou selon les besoins)
- Authentification/PRF : SHA1 ou SHA256
- Groupe DH : DH14 (recommandé)
- Durée de vie de la SA : par défaut ou selon accord
Étape 3 – Paramètres de la phase 2
- Sous Paramètres de la phase 2, cliquez sur Ajouter.
- Configurer :
- Local : 11.11.11.0/24
- À distance : 10.10.10.0/24
- Protocole : N'importe quel
- PFS : Activer (DH14 recommandé)
Même si les sous-réseaux sont identiques, le NAT se chargera de la traduction d'adresses.
Étape 4 – Configurer le NAT 1:1 (étape importante)
Accédez à :
Paramètres avancés → Destination (la première politique distante) → Règle NAT
Cliquez sur Ajouter.
Configurez :
IP d'origine : 192.168.168.0/24
Type : NAT 1:1
IP mappée : 11.11.11.0/24
Appliquez la configuration.
Cela garantit que le trafic entrant dans le tunnel VPN est traduit de :
192.168.168.x → 11.11.11.x
Site B - Configurer un VPN site à site avec NAT sur Zyxel USG FLEX H
Paramètres généraux
Activer : ✔
Version IKE : IKEv2
Type : Basé sur des règles
Mon adresse : Sélectionnez l'interface WAN
Adresse de la passerelle homologue : Saisir l'adresse IP publique distante
Authentification : Clé pré-partagée (identique des deux côtés)
Étape 2 – Paramètres de la phase 1
- Sous Paramètres de la phase 1 :
- Chiffrement : AES128 (ou selon les besoins)
- Authentification/PRF : SHA1 ou SHA256
- Groupe DH : DH14 (recommandé)
- Durée de vie de la SA : par défaut ou selon accord
Étape 3 – Paramètres de la phase 2
- Sous Paramètres de la phase 2, cliquez sur Ajouter.
- Configurer :
- Local : 10.10.10.0/24
- À distance : 11.11.11.0/24
- Protocole : N'importe lequel
- PFS : Activer (DH14 recommandé)
Même si les sous-réseaux sont identiques, le NAT se chargera de la traduction d'adresses.
Étape 4 – Configurer le NAT 1:1 (étape importante)
Accédez à :
Paramètres avancés → Destination (la première politique distante) → Règle NAT
Cliquez sur Ajouter.
Configurez :
IP d'origine : 192.168.168.0/24
Type : NAT 1:1
IP mappée : 11.11.11.0/24
Appliquez la configuration.
Cela garantit que le trafic entrant dans le tunnel VPN est traduit de :
192.168.168.x → 10.10.10.x
Vérification
Établissez le tunnel VPN.
Effectuez une commande ping depuis le site A vers un hôte du site B.
Sur le site B, vérifiez que la source du trafic apparaît comme 10.10.10.x.
Vérifiez les journaux VPN et NAT pour vous assurer que la traduction a bien été effectuée.
Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.