VPN site-to-site con NAT su Zyxel USG FLEX H - Guida alla configurazione

Una VPN site-to-site crea una connessione sicura e crittografata tra due reti su Internet. Viene utilizzata per collegare filiali, fornire un accesso sicuro alle risorse e gestire il traffico in modo centralizzato. Tuttavia, in alcuni casi, il routing normale non è sufficiente. Gli indirizzi IP interni di una rete potrebbero sovrapporsi agli indirizzi di un'altra rete. Inoltre, le politiche di sicurezza sul lato remoto potrebbero non consentire l'uso diretto degli indirizzi IP interni. In queste situazioni, è necessario utilizzare il NAT sul dispositivo Zyxel per far passare correttamente il traffico attraverso il tunnel VPN.

Quando utilizzare diversi tipi di NAT in una VPN

A seconda dello scenario, in una VPN site-to-site è possibile utilizzare diversi metodi SNAT:

• SNAT verso un singolo IP: utilizzato quando tutto il traffico deve provenire da un unico indirizzo IP di origine verso il sito remoto.

• NAT 1:1 – comunemente utilizzato nelle VPN site-to-site per risolvere le reti sovrapposte, evitare la rinumerazione, nascondere l'indirizzamento interno e abilitare la connettività controllata tra le organizzazioni.

Nota: anche la mappatura di una sottorete completa su un'altra sottorete è considerata uno scenario NAT 1:1, non un tipo di SNAT separato.

Perché il NAT è necessario in una VPN site-to-site

• Se entrambe le parti utilizzano sottoreti uguali o sovrapposte (ad esempio, 192.168.1.0/24), il routing non funzionerà correttamente. Il NAT modifica l'indirizzo IP di origine in una sottorete diversa ed elimina il conflitto.

• Se la rete partner accetta solo traffico proveniente da indirizzi IP specifici, il NAT può nascondere gli indirizzi interni e sostituirli con un intervallo di indirizzi IP consentito.

• Se non è possibile aggiungere percorsi corretti, o se una parte utilizza un indirizzo IP dinamico, il NAT aiuta a inviare il traffico correttamente attraverso il tunnel VPN.

• Il NAT 1:1 consente al traffico di utilizzare un unico indirizzo IP di origine. Ciò semplifica l'amministrazione e il monitoraggio.

In questo articolo esamineremo uno dei casi d'uso più comuni del NAT 1:1. Spiegheremo come configurare una VPN Site-to-Site con NAT 1:1 su Zyxel USG FLEX H quando entrambi i siti utilizzano la stessa sottorete.

Scenario: sottoreti sovrapposte

Per evitare conflitti, il sito A (sede centrale) tradurrà la propria LAN in 10.10.10.0/24 (utilizzata solo all'interno della VPN).

Entrambi i siti utilizzano la stessa sottorete.

Senza NAT 1:1, i dispositivi non possono distinguere tra le reti locali e remote 192.168.1.0/24. Il traffico non verrà instradato correttamente.

Sito A - Configurare una VPN da sito a sito con NAT su Zyxel USG FLEX H

Per prima cosa, configurare una VPN IPSec di base tra i due dispositivi.

Vai a: Interfaccia grafica web → VPN → VPN IPSec - VPN da sito a sito 

Aggiungere un nuovo tunnel e impostare quanto segue:

• Aggiungi

• Tipo: Site-to-Site
• Versione IKE: IKEv2

Impostazioni generali

Abilita: ✔

Versione IKE: IKEv2

Tipo: Basato su criteri

Il mio indirizzo: Seleziona l'interfaccia WAN

Indirizzo gateway peer: Inserire l'IP pubblico remoto

Autenticazione: chiave pre-condivisa (uguale su entrambi i lati)

Passaggio 2 – Impostazioni della Fase 1

• In Impostazioni Fase 1:
• Crittografia: AES128 (o come richiesto)
• Autenticazione/PRF: SHA1 o SHA256
• Gruppo DH: DH14 (consigliato)
• Durata SA: Predefinita o come concordato

Passaggio 3 – Impostazioni della Fase 2

• In Impostazioni Fase 2, fare clic su Aggiungi.
• Configurazione:
• Locale: 11.11.11.0/24
• Remoto: 10.10.10.0/24
• Protocollo: Qualsiasi
• PFS: Abilita (consigliato DH14)

Anche se le sottoreti sono le stesse, NAT gestirà la traduzione degli indirizzi.

Passaggio 4 – Configurare il NAT 1:1 (passaggio importante)

Scorrere fino a:

Impostazioni avanzate → Destinazione (la prima politica remota) → Regola NAT

Fare clic su Aggiungi.

Configurare:

• IP di origine: 192.168.168.0/24

• Tipo: NAT 1:1

• IP mappato: 11.11.11.0/24

Applica la configurazione.

Questo garantisce che il traffico in entrata nel tunnel VPN venga tradotto da:
192.168.168.x → 11.11.11.x

Sito B - Configurare una VPN site-to-site con NAT su Zyxel USG FLEX H

Impostazioni generali

Abilita: ✔

Versione IKE: IKEv2

Tipo: Basata su criteri

Il mio indirizzo: Seleziona l'interfaccia WAN

Indirizzo gateway peer: Inserire l'IP pubblico remoto

Autenticazione: chiave pre-condivisa (uguale su entrambi i lati)

Passaggio 2 – Impostazioni della Fase 1

• In Impostazioni Fase 1:
• Crittografia: AES128 (o come richiesto)
• Autenticazione/PRF: SHA1 o SHA256
• Gruppo DH: DH14 (consigliato)
• Durata SA: Predefinita o come concordato

Passaggio 3 – Impostazioni della Fase 2

• In Impostazioni Fase 2, fare clic su Aggiungi.
• Configurazione:
• Locale: 10.10.10.0/24
• Remoto: 11.11.11.0/24
• Protocollo: Qualsiasi
• PFS: Abilita (consigliato DH14)

Anche se le sottoreti sono le stesse, NAT gestirà la traduzione degli indirizzi.

Passaggio 4 – Configurare il NAT 1:1 (passaggio importante)

Scorrere fino a:

Impostazioni avanzate → Destinazione (la prima politica remota) → Regola NAT

Fare clic su Aggiungi.

Configurare:

• IP di origine: 192.168.168.0/24

• Tipo: NAT 1:1

• IP mappato: 11.11.11.0/24

Applica la configurazione.

Questo garantisce che il traffico in entrata nel tunnel VPN venga tradotto da:
192.168.168.x → 10.10.10.x

Verifica

1. Stabilire il tunnel VPN.

1. Eseguire il ping dal sito A a un host sul sito B.

1. Sul sito B, verificare che l'origine del traffico appaia come 10.10.10.x.

2. Controllare i log VPN e NAT per verificare che la traduzione sia avvenuta correttamente.