Ważna informacja: |
Sieć VPN typu Site-to-Site tworzy bezpieczne i szyfrowane połączenie między dwiema sieciami przez Internet. Służy do łączenia oddziałów, zapewniania bezpiecznego dostępu do zasobów oraz centralnego zarządzania ruchem. Jednak w niektórych przypadkach zwykłe routowanie nie wystarcza. Wewnętrzne adresy IP jednej sieci mogą pokrywać się z adresami innej sieci. Ponadto zasady bezpieczeństwa po stronie zdalnej mogą nie zezwalać na bezpośrednie używanie wewnętrznych adresów IP. W takich sytuacjach należy użyć NAT na urządzeniu Zyxel, aby ruch przechodził poprawnie przez tunel VPN.
Kiedy stosować różne typy NAT w sieci VPN
W zależności od scenariusza w sieci VPN typu Site-to-Site można stosować różne metody SNAT:
SNAT do pojedynczego adresu IP – stosowany, gdy cały ruch musi pochodzić z jednego źródłowego adresu IP do zdalnej lokalizacji.
NAT 1:1 – powszechnie stosowany w sieciach VPN typu site-to-site w celu rozwiązania problemów związanych z nakładaniem się sieci, uniknięcia zmiany numeracji, ukrycia adresowania wewnętrznego oraz umożliwienia kontrolowanej łączności między organizacjami.
Uwaga: Mapowanie pełnej podsieci do innej podsieci jest również uważane za scenariusz NAT 1:1, a nie oddzielny typ SNAT.
Dlaczego NAT jest potrzebny w sieci VPN typu Site-to-Site
Jeśli obie strony używają tych samych lub nakładających się podsieci (na przykład 192.168.1.0/24), routing nie będzie działał poprawnie. NAT zmienia źródłowy adres IP na inną podsieć i usuwa konflikt.
Jeśli sieć partnerska akceptuje tylko ruch z określonych adresów IP, NAT może ukryć adresy wewnętrzne i zastąpić je dozwolonym zakresem adresów IP.
Jeśli nie jest możliwe dodanie poprawnych tras lub jeśli jedna ze stron korzysta z dynamicznego adresu IP, NAT pomaga w prawidłowym przesyłaniu ruchu przez tunel VPN.
NAT 1:1 pozwala na korzystanie z jednego źródłowego adresu IP. Ułatwia to administrację i monitorowanie.
W tym artykule przyjrzymy się jednemu z najczęstszych przypadków użycia NAT 1:1. Wyjaśnimy, jak skonfigurować VPN typu Site-to-Site z NAT 1:1 na Zyxel USG FLEX H, gdy obie lokalizacje używają tej samej podsieci.
Scenariusz: Nakładające się podsieci
|
Lokalizacja A (oddział) LAN: 192.168.1.0/24 |
Lokalizacja B (centrala) LAN: 192.168.1.0/24 |
Aby uniknąć konfliktu, lokalizacja A (siedziba główna) przekształci swoją sieć LAN na 10.10.10.0/24 (używaną wyłącznie wewnątrz sieci VPN).
Obie lokalizacje korzystają z tej samej podsieci.
Bez NAT 1:1 urządzenia nie będą w stanie odróżnić lokalnej sieci 192.168.1.0/24 od sieci zdalnej. Ruch nie będzie poprawnie kierowany.
Lokalizacja A — skonfiguruj VPN typu site-to-site z NAT na Zyxel USG FLEX H
Najpierw skonfiguruj podstawową sieć VPN IPSec między dwoma urządzeniami.
Przejdź do: Web GUI → VPN → IPSec VPN – Site to Site VPN
Dodaj nowy tunel i ustaw następujące parametry:
Dodaj
- Typ: Site-to-Site
- Wersja IKE: IKEv2
Ustawienia ogólne
Włącz: ✔
Wersja IKE: IKEv2
Typ: Oparty na zasadach
Mój adres: Wybierz interfejs WAN
Adres bramy partnerskiej: Wprowadź zdalny publiczny adres IP
Uwierzytelnianie: Klucz wstępny (taki sam po obu stronach)
Krok 2 – Ustawienia fazy 1
- W sekcji Ustawienia fazy 1:
- Szyfrowanie: AES128 (lub zgodnie z wymaganiami)
- Uwierzytelnianie/PRF: SHA1 lub SHA256
- Grupa DH: DH14 (zalecane)
- Czas życia SA: domyślny lub zgodnie z ustaleniami
Krok 3 – Ustawienia fazy 2
- W sekcji Ustawienia fazy 2 kliknij Dodaj.
- Konfiguracja:
- Lokalny: 11.11.11.0/24
- Zdalne: 10.10.10.0/24
- Protokół: Dowolny
- PFS: Włącz (zalecane DH14)
Mimo że podsieci są takie same, NAT zajmie się translacją adresów.
Krok 4 – Skonfiguruj NAT 1:1 (ważny krok)
Przewiń do:
Ustawienia zaawansowane → Miejsce docelowe (pierwsza polityka zdalna) → Reguła NAT
Kliknij Dodaj.
Skonfiguruj:
IP źródłowe: 192.168.168.0/24
Typ: NAT 1:1
Mapowany adres IP: 11.11.11.0/24
Zastosuj konfigurację.
Gwarantuje to, że ruch wchodzący do tunelu VPN jest przekształcany z:
192.168.168.x → 11.11.11.x
Lokalizacja B — Konfiguracja VPN typu site-to-site z NAT na Zyxel USG FLEX H
Ustawienia ogólne
Włącz: ✔
Wersja IKE: IKEv2
Typ: Oparty na zasadach
Mój adres: Wybierz interfejs WAN
Adres bramy partnerskiej: Wprowadź zdalny publiczny adres IP
Uwierzytelnianie: Klucz wstępny (taki sam po obu stronach)
Krok 2 – Ustawienia fazy 1
- W sekcji Ustawienia fazy 1:
- Szyfrowanie: AES128 (lub zgodnie z wymaganiami)
- Uwierzytelnianie/PRF: SHA1 lub SHA256
- Grupa DH: DH14 (zalecane)
- Czas życia SA: domyślny lub zgodnie z ustaleniami
Krok 3 – Ustawienia fazy 2
- W sekcji Ustawienia fazy 2 kliknij Dodaj.
- Konfiguracja:
- Lokalny: 10.10.10.0/24
- Zdalne: 11.11.11.0/24
- Protokół: Dowolny
- PFS: Włącz (zalecane DH14)
Mimo że podsieci są takie same, NAT zajmie się translacją adresów.
Krok 4 – Skonfiguruj NAT 1:1 (ważny krok)
Przewiń do:
Ustawienia zaawansowane → Miejsce docelowe (pierwsza polityka zdalna) → Reguła NAT
Kliknij Dodaj.
Skonfiguruj:
IP źródłowe: 192.168.168.0/24
Typ: NAT 1:1
Mapowany adres IP: 11.11.11.0/24
Zastosuj konfigurację.
Gwarantuje to, że ruch wchodzący do tunelu VPN zostanie przetłumaczony z:
192.168.168.x → 10.10.10.x
Weryfikacja
Ustanów tunel VPN.
Wykonaj polecenie ping z lokalizacji A do hosta w lokalizacji B.
W lokalizacji B sprawdź, czy źródło ruchu pojawia się jako 10.10.10.x.
Sprawdź logi VPN i NAT pod kątem pomyślnego przekształcenia.
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.