Site-to-Site VPN NAT-tal a Zyxel USG FLEX H eszközön – Beállítási útmutató

A Site-to-Site VPN biztonságos és titkosított kapcsolatot hoz létre két hálózat között az interneten keresztül. Fióktelepek összekapcsolására, az erőforrásokhoz való biztonságos hozzáférés biztosítására és a forgalom központi kezelésére szolgál. Bizonyos esetekben azonban a normál útválasztás nem elegendő. Előfordulhat, hogy az egyik hálózat belső IP-címei átfedésben vannak egy másik hálózat címeivel. Emellett előfordulhat, hogy a távoli oldalon érvényes biztonsági szabályok nem engedélyezik a belső IP-címek közvetlen használatát. Ilyen helyzetekben a Zyxel eszközön NAT-ot kell használni, hogy a forgalom megfelelően haladjon át a VPN-alagúton.

Mikor érdemes különböző NAT-típusokat használni a VPN-ben

A forgatókönyvtől függően különböző SNAT-módszerek használhatók a Site-to-Site VPN-ben:

• SNAT egyetlen IP-címre – akkor használják, amikor az összes forgalomnak egy forrás IP-címről kell érkeznie a távoli helyre.

• 1:1 NAT – általában helyközi VPN-ekben használják az átfedő hálózatok megoldására, az átszámozás elkerülésére, a belső címzés elrejtésére és a szervezetek közötti ellenőrzött kapcsolatok lehetővé tételére.

Megjegyzés: Egy teljes alhálózat másik alhálózatra történő leképezése szintén 1:1 NAT-esetnek minősül, nem pedig külön SNAT-típusnak.

Miért van szükség NAT-ra a Site-to-Site VPN-ben

• Ha mindkét oldal ugyanazt vagy átfedő alhálózatokat használ (például 192.168.1.0/24), az útválasztás nem fog megfelelően működni. A NAT a forrás IP-címet egy másik alhálózatra változtatja, és így megszünteti az ütközést.

• Ha a partnerhálózat csak meghatározott IP-címekről érkező forgalmat fogad el, a NAT elrejtheti a belső címeket, és helyettesítheti azokat egy engedélyezett IP-tartománnyal.

• Ha nem lehet helyes útvonalakat hozzáadni, vagy ha az egyik fél dinamikus IP-címet használ, a NAT segít a forgalom helyes továbbításában a VPN-alagúton keresztül.

• Az 1:1 NAT lehetővé teszi, hogy a forgalom egyetlen forrás IP-címet használjon. Ez megkönnyíti az adminisztrációt és a felügyeletet.

Ebben a cikkben az egyik leggyakoribb 1:1 NAT felhasználási esetet vesszük szemügyre. Elmagyarázzuk, hogyan kell konfigurálni egy Site-to-Site VPN-t 1:1 NAT-tal a Zyxel USG FLEX H-n, amikor mindkét helyszín ugyanazt az alhálózatot használja.

Forgatókönyv: Átfedő alhálózatok

Az ütközés elkerülése érdekében az A helyszín (központi iroda) LAN-ját 10.10.10.0/24-re fordítja (csak a VPN-en belül használható).

Mindkét helyszín ugyanazt az alhálózatot használja.

1:1 NAT nélkül az eszközök nem tudnak különbséget tenni a helyi és a távoli 192.168.1.0/24 hálózatok között. A forgalom nem lesz megfelelően irányítva.

A helyszín – Helyszín-helyszín VPN konfigurálása NAT-tal a Zyxel USG FLEX H-n

Először konfiguráljon egy alapvető IPSec VPN-t a két eszköz között.

Lépjen a következő menüpontra: Web GUI → VPN → IPSec VPN - Site to Site VPN 

Adjon hozzá egy új alagutat, és állítsa be a következőket:

• Hozzáadás

• Típus: Site-to-Site
• IKE verzió: IKEv2

Általános beállítások

Engedélyezés: ✔

IKE verzió: IKEv2

Típus: Szabályalapú

Saját cím: Válassza ki a WAN interfészt

Peer Gateway cím: Adja meg a távoli nyilvános IP-címet

Hitelesítés: Előre megosztott kulcs (mindkét oldalon azonos)

2. lépés – 1. fázis beállításai

• Az 1. fázis beállításai alatt:
• Titkosítás: AES128 (vagy a követelményeknek megfelelően)
• Hitelesítés/PRF: SHA1 vagy SHA256
• DH-csoport: DH14 (ajánlott)
• SA élettartam: Alapértelmezett vagy a megállapodás szerint

3. lépés – 2. fázis beállításai

• A 2. fázis beállításai alatt kattintson a Hozzáadás gombra.
• Konfigurálás:
• Helyi: 11.11.11.0/24
• Távoli: 10.10.10.0/24
• Protokoll: Bármely
• PFS: Engedélyezés (DH14 ajánlott)

Annak ellenére, hogy az alhálózatok megegyeznek, a NAT fogja kezelni a címfordítást.

4. lépés – 1:1 NAT konfigurálása (fontos lépés)

Görgessen a következőhöz:

Speciális beállítások → Cél (az első Távoli szabály) → NAT-szabály

Kattintson a Hozzáadás gombra.

Konfigurálja:

• Helyi IP: 192.168.168.0/24

• Típus: 1:1 NAT

• Térképezett IP: 11.11.11.0/24

Alkalmazza a konfigurációt.

Ez biztosítja, hogy a VPN-alagútba belépő forgalom átalakuljon:
192.168.168.x → 11.11.11.x

B helyszín – Helyszín-helyszín VPN konfigurálása NAT-tal a Zyxel USG FLEX H-n

Általános beállítások

Engedélyezés: ✔

IKE verzió: IKEv2

Típus: Házirend-alapú

Saját cím: Válassza ki a WAN interfészt

Peer Gateway cím: Adja meg a távoli nyilvános IP-címet

Hitelesítés: Előre megosztott kulcs (mindkét oldalon azonos)

2. lépés – 1. fázis beállításai

• Az 1. fázis beállításai alatt:
• Titkosítás: AES128 (vagy a követelményeknek megfelelően)
• Hitelesítés/PRF: SHA1 vagy SHA256
• DH-csoport: DH14 (ajánlott)
• SA élettartam: Alapértelmezett vagy a megállapodás szerint

3. lépés – 2. fázis beállításai

• A 2. fázis beállításai alatt kattintson a Hozzáadás gombra.
• Konfigurálás:
• Helyi: 10.10.10.0/24
• Távoli: 11.11.11.0/24
• Protokoll: Bármely
• PFS: Engedélyezés (DH14 ajánlott)

Annak ellenére, hogy az alhálózatok megegyeznek, a NAT fogja kezelni a címfordítást.

4. lépés – 1:1 NAT konfigurálása (fontos lépés)

Görgessen a következőhöz:

Speciális beállítások → Cél (az első Távoli házirend) → NAT-szabály

Kattintson a Hozzáadás gombra.

Konfigurálja:

• Helyi IP: 192.168.168.0/24

• Típus: 1:1 NAT

• Társított IP: 11.11.11.0/24

Alkalmazza a konfigurációt.

Ez biztosítja, hogy a VPN-alagútba belépő forgalom átalakuljon:
192.168.168.x → 10.10.10.x

Ellenőrzés

1. Hozza létre a VPN-alagutat.

1. Pingeljen az A helyszínről a B helyszínen található gazdagépre.

1. A B helyszínen ellenőrizze, hogy a forgalom forrása 10.10.10.x-ként jelenik-e meg.

2. Ellenőrizze a VPN- és NAT-naplókat a sikeres átalakítás érdekében.