Aviz important: |
Scenariu:
În rețelele mai mari, atunci când se utilizează VPN-uri, ar putea fi necesar să se mascheze o subrețea sursă pentru a evita conflictele de adresare IP. Acest lucru este cunoscut sub numele de configurare SNAT.
Acest tutorial vă va arăta cum să configurați un dispozitiv USG pentru a completa către configurarea SNAT!
Ghid pas cu pas:
În acest tutorial vă explicăm cum să vă "mascați" subrețeaua locală sau să evitați suprapunerea subrețelelor, atunci când aceeași subrețea se află pe site-ul la distanță al tunelului VPN. Acest tutorial presupune că v-ați configurat deja gateway-ul IPsec (IPsec Phase1):
1. Conectați-vă computerul direct la unul dintre porturile LAN și conectați-vă la interfața web cu IP-ul implicit 192.168.1.1.1, utilizând acreditările implicite admin/1234
2. 3. Navigați la Configuration > VPN > IPSec VPN > VPN Connection (Configurație > VPN > VPN IPSec VPN > Conexiune VPN) și adăugați o nouă conexiune VPN utilizând butonul "Add" (Adăugare)
3. Utilizați butonul "Create new Object" (Creare obiect nou) pentru a crea un nou obiect de tip "IPv4 Address" (Adresă IPv4)
4. Creați obiectul subnet local și obiectul subnet la distanță
Aveți grijă să alegeți o subrețea care nu intră în conflict cu nicio subrețea de pe site-ul dvs. sau de la distanță!
5. Ambele obiecte de subrețea create trebuie să fie selectate ca "Local policy" (Politică locală) și "Remote policy" (Politică la distanță) în VPN Connection (Conexiune VPN)
6. Derulați până la sfârșitul paginii și deschideți săgeata "Advance"- pentru a configura secțiunea "Inbound/Outbound traffic NAT" (Pentru ca setările avansate să fie vizibile, apăsați "Show Advanced Settings"). Bifați caseta de selectare "Source NAT" (NAT sursă), alegeți subrețeaua locală "reală" ca "Source" (Sursă), subrețeaua la distanță ca "Destination" (Destinație) și subrețeaua "falsă" pentru "SNAT".
De asemenea, bifați caseta de selectare "Destination NAT" (NAT destinație), faceți clic pe "Add" (Adăugare) și alegeți subrețeaua "falsă" ca "Original IP" (IP original), subrețeaua locală ca "Mapped IP" (IP mapat) și faceți clic pe "OK" pentru a crea conexiunea VPN.
8. Navigați la Configuration > Network > Routing > Policy Route (Configurare > Rețea > Rută > Rută de politică) și faceți clic pe "Add" (Adăugare)
9. Alegeți subrețeaua dvs. locală ca "Source Address" (Adresă sursă), subrețeaua la distanță ca "Destination Address" (Adresă destinație), la "Next Hop" (Următorul salt) alegeți "Type" (Tip) "VPN Tunnel" (Tunel VPN) și alegeți conexiunea VPN creată pentru "VPN Tunnel" (Tunel VPN) înainte de a face clic pe "OK" (OK)
După ce aceste setări au fost aplicate, site-ul la distanță nu va cunoaște subrețeaua dvs. locală reală, deoarece utilizează subrețeaua dvs. "falsă" ca politică la distanță pe site-ul lor.
În plus: Dacă ar exista aceeași subrețea reală pe site-ul dvs. și pe site-ul de la distanță, problemele de rutare datorate suprapunerii subrețelelor ar fi evitate acum.
Video:
KB-00026