Notă importantă: |
O rețea VPN site-to-site creează o conexiune securizată și criptată între două rețele prin Internet. Aceasta este utilizată pentru a conecta sucursalele, pentru a oferi acces securizat la resurse și pentru a gestiona traficul într-un mod centralizat. Cu toate acestea, în unele cazuri, rutarea normală nu este suficientă. Adresele IP interne ale unei rețele se pot suprapune cu adresele unei alte rețele. De asemenea, politicile de securitate de la distanță pot să nu permită utilizarea directă a adreselor IP interne. În aceste situații, trebuie să utilizați NAT pe dispozitivul Zyxel pentru ca traficul să treacă corect prin tunelul VPN.
Când să utilizați diferite tipuri de NAT în VPN
În funcție de scenariu, pot fi utilizate diferite metode SNAT într-un VPN site-to-site:
SNAT către o singură adresă IP – utilizat atunci când tot traficul trebuie să pară că provine de la o singură adresă IP sursă către site-ul la distanță.
NAT 1:1 – utilizat în mod obișnuit în VPN-urile site-to-site pentru a rezolva rețelele care se suprapun, a evita renumerotarea, a ascunde adresarea internă și a permite conectivitatea controlată între organizații.
Notă: Maparea unei subrețele complete la o altă subrețea este, de asemenea, considerată un scenariu NAT 1:1, nu un tip SNAT separat.
De ce este necesar NAT într-o rețea VPN site-to-site
Dacă ambele părți utilizează subrețele identice sau care se suprapun (de exemplu, 192.168.1.0/24), rutarea nu va funcționa corect. NAT schimbă adresa IP sursă într-o subrețea diferită și elimină conflictul.
Dacă rețeaua parteneră acceptă doar traficul de la anumite adrese IP, NAT poate ascunde adresele interne și le poate înlocui cu un interval de adrese IP permise.
Dacă nu este posibilă adăugarea rutelor corecte sau dacă una dintre părți utilizează o adresă IP dinamică, NAT ajută la trimiterea corectă a traficului prin tunelul VPN.
NAT 1:1 permite traficului să utilizeze o singură adresă IP sursă. Acest lucru facilitează administrarea și monitorizarea.
În acest articol, vom analiza unul dintre cele mai comune cazuri de utilizare a NAT 1:1. Vom explica cum se configurează o rețea VPN site-to-site cu NAT 1:1 pe Zyxel USG FLEX H atunci când ambele site-uri utilizează aceeași subrețea.
Scenariu: Subrețele suprapuse
|
Site-ul A (sucursală) LAN: 192.168.1.0/24 |
Site-ul B (sediul central) LAN: 192.168.1.0/24 |
Pentru a evita conflictele, Site-ul A (Sediul central) își va traduce LAN-ul în 10.10.10.0/24 (utilizat doar în interiorul VPN-ului).
Ambele site-uri utilizează aceeași subrețea.
Fără NAT 1:1, dispozitivele nu pot face distincția între rețelele locale și cele la distanță 192.168.1.0/24. Traficul nu va fi rutate corect.
Site-ul A - Configurați VPN site-to-site cu NAT pe Zyxel USG FLEX H
Mai întâi, configurați o rețea VPN IPSec de bază între cele două dispozitive.
Accesați: Interfața grafică web → VPN → VPN IPSec - VPN site-to-site
Adăugați un tunel nou și setați următoarele:
Adăugați
- Tip: Site-to-Site
- Versiune IKE: IKEv2
Setări generale
Activare: ✔
Versiune IKE: IKEv2
Tip: Bazat pe politici
Adresa mea: Selectați interfața WAN
Adresă gateway pereche: Introduceți IP-ul public la distanță
Autentificare: Cheie pre-partajată (identică pe ambele părți)
Pasul 2 – Setări pentru faza 1
- În Setări Faza 1:
- Criptare: AES128 (sau conform cerințelor)
- Autentificare/PRF: SHA1 sau SHA256
- Grup DH: DH14 (recomandat)
- Durata de viață SA: Implicit sau conform acordului
Pasul 3 – Setări pentru faza 2
- În Setări Faza 2, faceți clic pe Adăugare.
- Configurare:
- Local: 11.11.11.0/24
- La distanță: 10.10.10.0/24
- Protocol: Orice
- PFS: Activați (se recomandă DH14)
Chiar dacă subrețelele sunt identice, NAT se va ocupa de traducerea adreselor.
Pasul 4 – Configurarea NAT 1:1 (pas important)
Derulați până la:
Setări avansate → Destinație (prima politică la distanță) → Regulă NAT
Faceți clic pe Adăugare.
Configurați:
IP de origine: 192.168.168.0/24
Tip: NAT 1:1
IP mapat: 11.11.11.0/24
Aplicați configurația.
Acest lucru asigură că traficul care intră în tunelul VPN este tradus de la:
192.168.168.x → 11.11.11.x
Site-ul B - Configurați VPN site-la-site cu NAT pe Zyxel USG FLEX H
Setări generale
Activare: ✔
Versiune IKE: IKEv2
Tip: Bazat pe politici
Adresa mea: Selectați interfața WAN
Adresă gateway pereche: Introduceți IP-ul public la distanță
Autentificare: Cheie pre-partajată (identică pe ambele părți)
Pasul 2 – Setări faza 1
- În Setări Faza 1:
- Criptare: AES128 (sau conform cerințelor)
- Autentificare/PRF: SHA1 sau SHA256
- Grup DH: DH14 (recomandat)
- Durata de viață SA: Implicit sau conform acordului
Pasul 3 – Setări pentru faza 2
- În Setări Faza 2, faceți clic pe Adăugare.
- Configurare:
- Local: 10.10.10.0/24
- La distanță: 11.11.11.0/24
- Protocol: Orice
- PFS: Activați (se recomandă DH14)
Chiar dacă subrețelele sunt identice, NAT se va ocupa de traducerea adreselor.
Pasul 4 – Configurarea NAT 1:1 (pas important)
Derulați până la:
Setări avansate → Destinație (prima politică la distanță) → Regulă NAT
Faceți clic pe Adăugare.
Configurați:
IP de origine: 192.168.168.0/24
Tip: NAT 1:1
IP mapat: 11.11.11.0/24
Aplicați configurația.
Acest lucru asigură că traficul care intră în tunelul VPN este tradus de la:
192.168.168.x → 10.10.10.x
Verificare
Stabiliți tunelul VPN.
Efectuați un ping de la Site-ul A către o gazdă de pe Site-ul B.
Pe Site-ul B, verificați dacă sursa traficului apare ca 10.10.10.x.
Verificați jurnalele VPN și NAT pentru a vedea dacă traducerea s-a realizat cu succes.
Comentarii
0 comentariiVă rugăm să vă autentificați pentru a lăsa un comentariu.