Belangrijke mededeling: |
Een Site-to-Site VPN zorgt voor een veilige en versleutelde verbinding tussen twee netwerken via het internet. Het wordt gebruikt om filialen met elkaar te verbinden, veilige toegang tot bronnen te bieden en het verkeer centraal te beheren. In sommige gevallen is normale routing echter niet voldoende. De interne IP-adressen van het ene netwerk kunnen overlappen met de adressen van een ander netwerk. Ook is het mogelijk dat het beveiligingsbeleid aan de andere kant het directe gebruik van interne IP-adressen niet toestaat. In deze situaties moet u NAT op het Zyxel-apparaat gebruiken om het verkeer correct door de VPN-tunnel te laten lopen.
Wanneer verschillende NAT-types in VPN gebruiken
Afhankelijk van het scenario kunnen verschillende SNAT-methoden worden gebruikt in een Site-to-Site VPN:
SNAT naar één IP – wordt gebruikt wanneer al het verkeer vanaf één bron-IP-adres naar de externe locatie moet lijken te komen.
1:1 NAT – wordt vaak gebruikt in site-to-site VPN's om overlappende netwerken op te lossen, hernummering te vermijden, interne adressering te verbergen en gecontroleerde connectiviteit tussen organisaties mogelijk te maken.
Opmerking: het toewijzen van een volledig subnet aan een ander subnet wordt ook beschouwd als een 1:1 NAT-scenario, niet als een apart SNAT-type.
Waarom NAT nodig is in een site-to-site VPN
Als beide partijen dezelfde of overlappende subnetten gebruiken (bijvoorbeeld 192.168.1.0/24), werkt de routing niet correct. NAT wijzigt het bron-IP-adres naar een ander subnet en verwijdert het conflict.
Als het partnernetwerk alleen verkeer van specifieke IP-adressen accepteert, kan NAT de interne adressen verbergen en deze vervangen door een toegestaan IP-bereik.
Als het niet mogelijk is om de juiste routes toe te voegen, of als één kant een dynamisch IP-adres gebruikt, helpt NAT om het verkeer correct via de VPN-tunnel te verzenden.
Met 1:1 NAT kan verkeer één enkel bron-IP-adres gebruiken. Dit maakt beheer en monitoring eenvoudiger.
In dit artikel bekijken we een van de meest voorkomende toepassingen van 1:1 NAT. We leggen uit hoe u een Site-to-Site VPN met 1:1 NAT configureert op de Zyxel USG FLEX H wanneer beide locaties hetzelfde subnet gebruiken.
Scenario: overlappende subnetten
|
Locatie A (filiaal) LAN: 192.168.1.0/24 |
Locatie B (hoofdkantoor) LAN: 192.168.1.0/24 |
Om conflicten te voorkomen, vertaalt Locatie A (hoofdkantoor) haar LAN naar 10.10.10.0/24 (alleen gebruikt binnen het VPN).
Beide locaties gebruiken hetzelfde subnet.
Zonder 1:1 NAT kunnen apparaten geen onderscheid maken tussen de lokale en externe 192.168.1.0/24-netwerken. Het verkeer wordt niet correct gerouteerd.
Locatie A - Configureer Site-to-Site VPN met NAT op Zyxel USG FLEX H
Configureer eerst een standaard IPSec VPN tussen de twee apparaten.
Ga naar: Web GUI → VPN → IPSec VPN - Site-to-Site VPN
Voeg een nieuwe tunnel toe en stel het volgende in:
Toevoegen
- Type: Site-to-Site
- IKE-versie: IKEv2
Algemene instellingen
Inschakelen: ✔
IKE-versie: IKEv2
Type: Op beleid gebaseerd
Mijn adres: Selecteer WAN-interface
Peer-gatewayadres: Voer het externe openbare IP-adres in
Verificatie: vooraf gedeelde sleutel (dezelfde aan beide kanten)
Stap 2 – Instellingen fase 1
- Onder Instellingen fase 1:
- Versleuteling: AES128 (of zoals vereist)
- Authenticatie/PRF: SHA1 of SHA256
- DH-groep: DH14 (aanbevolen)
- SA-levensduur: Standaard of zoals overeengekomen
Stap 3 – Instellingen voor fase 2
- Klik onder Instellingen fase 2 op Toevoegen.
- Configureren:
- Lokaal: 11.11.11.0/24
- Extern: 10.10.10.0/24
- Protocol: Elk
- PFS: Inschakelen (DH14 aanbevolen)
Ook al zijn de subnetten hetzelfde, NAT zorgt voor de adresvertaling.
Stap 4 – 1:1 NAT configureren (belangrijke stap)
Scroll naar:
Geavanceerde instellingen → Bestemming (het eerste Remote-beleid) → NAT-regel
Klik op Toevoegen.
Configureer:
Bron-IP: 192.168.168.0/24
Type: 1:1 NAT
Toegewezen IP: 11.11.11.0/24
Pas de configuratie toe.
Dit zorgt ervoor dat verkeer dat de VPN-tunnel binnenkomt, wordt vertaald van:
192.168.168.x → 11.11.11.x
Locatie B - Configureer Site-to-Site VPN met NAT op Zyxel USG FLEX H
Algemene instellingen
Inschakelen: ✔
IKE-versie: IKEv2
Type: Op beleid gebaseerd
Mijn adres: Selecteer WAN-interface
Peer-gatewayadres: Voer het externe openbare IP-adres in
Verificatie: vooraf gedeelde sleutel (dezelfde aan beide kanten)
Stap 2 – Instellingen fase 1
- Onder Instellingen fase 1:
- Versleuteling: AES128 (of zoals vereist)
- Authenticatie/PRF: SHA1 of SHA256
- DH-groep: DH14 (aanbevolen)
- SA-levensduur: Standaard of zoals overeengekomen
Stap 3 – Instellingen voor fase 2
- Klik onder Instellingen fase 2 op Toevoegen.
- Configureren:
- Lokaal: 10.10.10.0/24
- Extern: 11.11.11.0/24
- Protocol: Elk
- PFS: Inschakelen (DH14 aanbevolen)
Hoewel de subnetten hetzelfde zijn, zorgt NAT voor de adresvertaling.
Stap 4 – 1:1 NAT configureren (belangrijke stap)
Scroll naar:
Geavanceerde instellingen → Bestemming (het eerste Remote-beleid) → NAT-regel
Klik op Toevoegen.
Configureer:
Bron-IP: 192.168.168.0/24
Type: 1:1 NAT
Toegewezen IP: 11.11.11.0/24
Pas de configuratie toe.
Dit zorgt ervoor dat verkeer dat de VPN-tunnel binnenkomt, wordt vertaald van:
192.168.168.x → 10.10.10.x
Controle
Breng de VPN-tunnel tot stand.
Ping vanaf locatie A naar een host op locatie B.
Controleer op Locatie B of de bron van het verkeer wordt weergegeven als 10.10.10.x.
Controleer de VPN- en NAT-logs op een succesvolle vertaling.
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.