Avviso importante: |
Scenario:
Nelle reti più grandi, quando si utilizzano le VPN, potrebbe essere necessario mascherare una sottorete di origine per evitare conflitti di indirizzi IP. Questa operazione è nota come configurazione SNAT.
Questa esercitazione mostra come configurare un dispositivo USG per completare la configurazione SNAT!
Guida passo dopo passo:
In questa esercitazione viene spiegato come "mascherare" la subnet locale o evitare la sovrapposizione di subnet, quando la stessa subnet si trova sul sito remoto del tunnel VPN. Questa esercitazione richiede che sia già stato configurato il gateway IPsec (IPsec Phase1):
1. Collegare il computer direttamente a una delle porte LAN e accedere all'interfaccia web con l'IP predefinito 192.168.1.1 utilizzando le credenziali predefinite admin/1234.
2. Navigare in Configurazione > VPN > IPSec VPN > Connessione VPN e aggiungere una nuova connessione VPN utilizzando il pulsante "Aggiungi".
3. Utilizzare il pulsante "Crea nuovo oggetto" per creare un nuovo oggetto di tipo "Indirizzo IPv4".
4. Creare l'oggetto subnet locale e l'oggetto subnet remota
Fare attenzione a scegliere una sottorete che non sia in conflitto con nessuna sottorete del proprio sito o di quello remoto!
5. Entrambi gli oggetti subnet creati devono essere selezionati come "Criterio locale" e "Criterio remoto" nella connessione VPN.
6. Scorrere fino alla fine della pagina e aprire la freccia "Advance" per configurare la sezione "Inbound/Outbound traffic NAT" (per rendere visibili le impostazioni avanzate, premere "Show Advanced Settings"). Spuntate la casella di controllo "Source NAT", scegliete la vostra "vera" subnet locale come "Source", la subnet remota come "Destination" e la subnet "fake" per lo "SNAT".
Spuntare anche la casella di controllo "Destination NAT" (NAT di destinazione), fare clic su "Add" (Aggiungi) e scegliere la subnet "fake" come "Original IP" (IP originale), la subnet locale come "Mapped IP" (IP mappato) e fare clic su "OK" per creare la connessione VPN.
8. Spostarsi su Configurazione > Rete > Routing > Policy Route e fare clic su "Aggiungi".
9. Scegliere la subnet locale come "Indirizzo di origine", la subnet remota come "Indirizzo di destinazione", in "Salto successivo" scegliere il "Tipo" "Tunnel VPN" e scegliere la connessione VPN creata come "Tunnel VPN" prima di fare clic su "OK".
Dopo l'applicazione di queste impostazioni, il sito remoto non conoscerà la vostra vera subnet locale, in quanto utilizzerà la vostra subnet "falsa" come policy remota sul proprio sito.
Inoltre: Se ci fosse la stessa subnet reale sul vostro sito e su quello remoto, si eviterebbero i problemi di routing dovuti alla sovrapposizione delle subnet.
Video:
KB-00026