Site-to-Site VPN med NAT på Zyxel USG FLEX H – Konfigurasjonsveiledning

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å tilby artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis du har spørsmål eller oppdager avvik i nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese den opprinnelige artikkelen her:Originalversjon

Et Site-to-Site VPN oppretter en sikker og kryptert forbindelse mellom to nettverk over Internett. Det brukes til å koble sammen avdelingskontorer, gi sikker tilgang til ressurser og administrere trafikk sentralt. I noen tilfeller er imidlertid normal ruting ikke tilstrekkelig. De interne IP-adressene til ett nettverk kan overlappe med adressene til et annet nettverk. I tillegg kan sikkerhetspolicyer på den eksterne siden forby direkte bruk av interne IP-adresser. I slike situasjoner må du bruke NAT på Zyxel-enheten for å sikre at trafikken passerer korrekt gjennom VPN-tunnelen.

Når skal man bruke forskjellige NAT-typer i VPN

Avhengig av scenariet kan ulike SNAT-metoder brukes i et Site-to-Site VPN:

  • SNAT til en enkelt IP – brukes når all trafikk må vises fra én kilde-IP-adresse til det eksterne nettstedet.

  • 1:1 NAT – brukes ofte i Site-to-Site VPN-er for å løse problemer med overlappende nettverk, unngå omnummerering, skjule intern adressering og muliggjøre kontrollert tilkobling mellom organisasjoner.

Merk: Å tilordne et helt undernett til et annet undernett regnes også som et 1:1 NAT-scenario, ikke en egen SNAT-type.

Hvorfor NAT er nødvendig i et Site-to-Site VPN

  • Hvis begge sider bruker de samme eller overlappende subnettene (for eksempel 192.168.1.0/24), vil rutingen ikke fungere riktig. NAT endrer kilde-IP-adressen til et annet subnett og fjerner konflikten.

  • Hvis partnernettverket bare aksepterer trafikk fra bestemte IP-adresser, kan NAT skjule de interne adressene og erstatte dem med et tillatt IP-område.

  • Hvis det ikke er mulig å legge til riktige ruter, eller hvis den ene siden bruker en dynamisk IP-adresse, hjelper NAT med å sende trafikk riktig gjennom VPN-tunnelen.

  • 1:1 NAT tillater at trafikken bruker en enkelt kilde-IP-adresse. Dette gjør administrasjon og overvåking enklere.

I denne artikkelen skal vi se på et av de vanligste bruksområdene for 1:1 NAT. Vi skal forklare hvordan du konfigurerer et Site-to-Site VPN med 1:1 NAT på Zyxel USG FLEX H når begge nettsteder bruker samme undernett.

Scenario: Overlappende undernett

Sted A (filial)

LAN: 192.168.1.0/24

Sted B (hovedkontor)

LAN: 192.168.1.0/24

For å unngå konflikt vil sted A (hovedkontor) oversette sitt LAN til 10.10.10.0/24 (brukes kun innenfor VPN).

Begge stedene bruker samme undernett.

Uten 1:1 NAT kan enheter ikke skille mellom de lokale og eksterne 192.168.1.0/24-nettverkene. Trafikken vil ikke bli rutet riktig.

Sted A – Konfigurer sted-til-sted-VPN med NAT på Zyxel USG FLEX H

Konfigurer først et grunnleggende IPSec-VPN mellom de to enhetene.

Gå til: Web-GUI → VPN → IPSec VPN – Site-to-Site VPN 

Legg til en ny tunnel og angi følgende:

  • Legg til

  • Type: Site-to-Site
  • IKE-versjon: IKEv2

Generelle innstillinger

Aktiver: ✔

IKE-versjon: IKEv2

Type: Policy-basert

Min adresse: Velg WAN-grensesnitt

Peer-gateway-adresse: Skriv inn den eksterne offentlige IP-adressen

Autentisering: Forhåndsdelte nøkler (samme på begge sider)

Trinn 2 – Innstillinger for fase 1

  • Under innstillinger for fase 1:
  • Kryptering: AES128 (eller etter behov)
  • Autentisering/PRF: SHA1 eller SHA256
  • DH-gruppe: DH14 (anbefalt)
  • SA-levetid: Standard eller etter avtale

Trinn 3 – Innstillinger for fase 2

  • Under Innstillinger for fase 2 klikker du på Legg til.
  • Konfigurer:
  • Lokal: 11.11.11.0/24
  • Fjern: 10.10.10.0/24
  • Protokoll: Alle
  • PFS: Aktiver (DH14 anbefales)

Selv om undernettene er de samme, vil NAT håndtere adresseoversettelsen.

Trinn 4 – Konfigurer 1:1 NAT (viktig trinn)

Bla til:

Avanserte innstillinger → Destinasjon (den første eksterne policyen) → NAT-regel

Klikk på Legg til.

Konfigurer:

  • Opprinnelig IP: 192.168.168.0/24

  • Type: 1:1 NAT

  • Tilordnet IP: 11.11.11.0/24

Bruk konfigurasjonen.

Dette sikrer at trafikk som kommer inn i VPN-tunnelen oversettes fra:
192.168.168.x → 11.11.11.x

Sted B – Konfigurer sted-til-sted-VPN med NAT på Zyxel USG FLEX H

Generelle innstillinger

Aktiver: ✔

IKE-versjon: IKEv2

Type: Policy-basert

Min adresse: Velg WAN-grensesnitt

Peer-gateway-adresse: Skriv inn den eksterne offentlige IP-adressen

Autentisering: Forhåndsdelte nøkler (samme på begge sider)

Trinn 2 – Innstillinger for fase 1

  • Under innstillinger for fase 1:
  • Kryptering: AES128 (eller etter behov)
  • Autentisering/PRF: SHA1 eller SHA256
  • DH-gruppe: DH14 (anbefalt)
  • SA-levetid: Standard eller etter avtale

Trinn 3 – Innstillinger for fase 2

  • Under Innstillinger for fase 2 klikker du på Legg til.
  • Konfigurer:
  • Lokal: 10.10.10.0/24
  • Fjern: 11.11.11.0/24
  • Protokoll: Hvilken som helst
  • PFS: Aktiver (DH14 anbefales)

Selv om undernettene er de samme, vil NAT håndtere adresseoversettelsen.

Trinn 4 – Konfigurer 1:1 NAT (viktig trinn)

Bla til:

Avanserte innstillinger → Destinasjon (den første eksterne policyen) → NAT-regel

Klikk på Legg til.

Konfigurer:

  • Opprinnelig IP: 192.168.168.0/24

  • Type: 1:1 NAT

  • Tilordnet IP: 11.11.11.0/24

Bruk konfigurasjonen.

Dette sikrer at trafikk som kommer inn i VPN-tunnelen oversettes fra:
192.168.168.x → 10.10.10.x

Bekreftelse

  1. Opprett VPN-tunnelen.

 

  1. Ping fra sted A til en vert på sted B.

  1. På sted B må du kontrollere at trafikkilden vises som 10.10.10.x.

  2. Sjekk VPN- og NAT-loggene for å se om oversettelsen er vellykket.

 

 

 

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.