VPN typu site-to-site z NAT na urządzeniu Zyxel USG FLEX H – instrukcja konfiguracji

Sieć VPN typu Site-to-Site tworzy bezpieczne i szyfrowane połączenie między dwiema sieciami przez Internet. Służy do łączenia oddziałów, zapewniania bezpiecznego dostępu do zasobów oraz centralnego zarządzania ruchem. Jednak w niektórych przypadkach zwykłe routowanie nie wystarcza. Wewnętrzne adresy IP jednej sieci mogą pokrywać się z adresami innej sieci. Ponadto zasady bezpieczeństwa po stronie zdalnej mogą nie zezwalać na bezpośrednie używanie wewnętrznych adresów IP. W takich sytuacjach należy użyć NAT na urządzeniu Zyxel, aby ruch przechodził poprawnie przez tunel VPN.

Kiedy stosować różne typy NAT w sieci VPN

W zależności od scenariusza w sieci VPN typu Site-to-Site można stosować różne metody SNAT:

• SNAT do pojedynczego adresu IP – stosowany, gdy cały ruch musi pochodzić z jednego źródłowego adresu IP do zdalnej lokalizacji.

• NAT 1:1 – powszechnie stosowany w sieciach VPN typu site-to-site w celu rozwiązania problemów związanych z nakładaniem się sieci, uniknięcia zmiany numeracji, ukrycia adresowania wewnętrznego oraz umożliwienia kontrolowanej łączności między organizacjami.

Uwaga: Mapowanie pełnej podsieci do innej podsieci jest również uważane za scenariusz NAT 1:1, a nie oddzielny typ SNAT.

Dlaczego NAT jest potrzebny w sieci VPN typu Site-to-Site

• Jeśli obie strony używają tych samych lub nakładających się podsieci (na przykład 192.168.1.0/24), routing nie będzie działał poprawnie. NAT zmienia źródłowy adres IP na inną podsieć i usuwa konflikt.

• Jeśli sieć partnerska akceptuje tylko ruch z określonych adresów IP, NAT może ukryć adresy wewnętrzne i zastąpić je dozwolonym zakresem adresów IP.

• Jeśli nie jest możliwe dodanie poprawnych tras lub jeśli jedna ze stron korzysta z dynamicznego adresu IP, NAT pomaga w prawidłowym przesyłaniu ruchu przez tunel VPN.

• NAT 1:1 pozwala na korzystanie z jednego źródłowego adresu IP. Ułatwia to administrację i monitorowanie.

W tym artykule przyjrzymy się jednemu z najczęstszych przypadków użycia NAT 1:1. Wyjaśnimy, jak skonfigurować VPN typu Site-to-Site z NAT 1:1 na Zyxel USG FLEX H, gdy obie lokalizacje używają tej samej podsieci.

Scenariusz: Nakładające się podsieci

Aby uniknąć konfliktu, lokalizacja A (siedziba główna) przekształci swoją sieć LAN na 10.10.10.0/24 (używaną wyłącznie wewnątrz sieci VPN).

Obie lokalizacje korzystają z tej samej podsieci.

Bez NAT 1:1 urządzenia nie będą w stanie odróżnić lokalnej sieci 192.168.1.0/24 od sieci zdalnej. Ruch nie będzie poprawnie kierowany.

Lokalizacja A — skonfiguruj VPN typu site-to-site z NAT na Zyxel USG FLEX H

Najpierw skonfiguruj podstawową sieć VPN IPSec między dwoma urządzeniami.

Przejdź do: Web GUI → VPN → IPSec VPN – Site to Site VPN 

Dodaj nowy tunel i ustaw następujące parametry:

• Dodaj

• Typ: Site-to-Site
• Wersja IKE: IKEv2

Ustawienia ogólne

Włącz: ✔

Wersja IKE: IKEv2

Typ: Oparty na zasadach

Mój adres: Wybierz interfejs WAN

Adres bramy partnerskiej: Wprowadź zdalny publiczny adres IP

Uwierzytelnianie: Klucz wstępny (taki sam po obu stronach)

Krok 2 – Ustawienia fazy 1

• W sekcji Ustawienia fazy 1:
• Szyfrowanie: AES128 (lub zgodnie z wymaganiami)
• Uwierzytelnianie/PRF: SHA1 lub SHA256
• Grupa DH: DH14 (zalecane)
• Czas życia SA: domyślny lub zgodnie z ustaleniami

Krok 3 – Ustawienia fazy 2

• W sekcji Ustawienia fazy 2 kliknij Dodaj.
• Konfiguracja:
• Lokalny: 11.11.11.0/24
• Zdalne: 10.10.10.0/24
• Protokół: Dowolny
• PFS: Włącz (zalecane DH14)

Mimo że podsieci są takie same, NAT zajmie się translacją adresów.

Krok 4 – Skonfiguruj NAT 1:1 (ważny krok)

Przewiń do:

Ustawienia zaawansowane → Miejsce docelowe (pierwsza polityka zdalna) → Reguła NAT

Kliknij Dodaj.

Skonfiguruj:

• IP źródłowe: 192.168.168.0/24

• Typ: NAT 1:1

• Mapowany adres IP: 11.11.11.0/24

Zastosuj konfigurację.

Gwarantuje to, że ruch wchodzący do tunelu VPN jest przekształcany z:
192.168.168.x → 11.11.11.x

Lokalizacja B — Konfiguracja VPN typu site-to-site z NAT na Zyxel USG FLEX H

Ustawienia ogólne

Włącz: ✔

Wersja IKE: IKEv2

Typ: Oparty na zasadach

Mój adres: Wybierz interfejs WAN

Adres bramy partnerskiej: Wprowadź zdalny publiczny adres IP

Uwierzytelnianie: Klucz wstępny (taki sam po obu stronach)

Krok 2 – Ustawienia fazy 1

• W sekcji Ustawienia fazy 1:
• Szyfrowanie: AES128 (lub zgodnie z wymaganiami)
• Uwierzytelnianie/PRF: SHA1 lub SHA256
• Grupa DH: DH14 (zalecane)
• Czas życia SA: domyślny lub zgodnie z ustaleniami

Krok 3 – Ustawienia fazy 2

• W sekcji Ustawienia fazy 2 kliknij Dodaj.
• Konfiguracja:
• Lokalny: 10.10.10.0/24
• Zdalne: 11.11.11.0/24
• Protokół: Dowolny
• PFS: Włącz (zalecane DH14)

Mimo że podsieci są takie same, NAT zajmie się translacją adresów.

Krok 4 – Skonfiguruj NAT 1:1 (ważny krok)

Przewiń do:

Ustawienia zaawansowane → Miejsce docelowe (pierwsza polityka zdalna) → Reguła NAT

Kliknij Dodaj.

Skonfiguruj:

• IP źródłowe: 192.168.168.0/24

• Typ: NAT 1:1

• Mapowany adres IP: 11.11.11.0/24

Zastosuj konfigurację.

Gwarantuje to, że ruch wchodzący do tunelu VPN zostanie przetłumaczony z:
192.168.168.x → 10.10.10.x

Weryfikacja

1. Ustanów tunel VPN.

1. Wykonaj polecenie ping z lokalizacji A do hosta w lokalizacji B.

1. W lokalizacji B sprawdź, czy źródło ruchu pojawia się jako 10.10.10.x.

2. Sprawdź logi VPN i NAT pod kątem pomyślnego przekształcenia.