VPN «между сайтами» с NAT на Zyxel USG FLEX H — руководство по настройке

VPN «Site-to-Site» создает безопасное и зашифрованное соединение между двумя сетями через Интернет. Оно используется для соединения филиалов, обеспечения безопасного доступа к ресурсам и централизованного управления трафиком. Однако в некоторых случаях обычной маршрутизации бывает недостаточно. Внутренние IP-адреса одной сети могут пересекаться с адресами другой сети. Кроме того, политики безопасности на удаленной стороне могут не разрешать прямое использование внутренних IP-адресов. В таких ситуациях необходимо использовать NAT на устройстве Zyxel, чтобы трафик правильно проходил через VPN-туннель.

Когда использовать различные типы NAT в VPN

В зависимости от сценария в VPN «сайт-к-сайту» можно использовать различные методы SNAT:

• SNAT на один IP-адрес — используется, когда весь трафик должен поступать на удаленный сайт с одного IP-адреса источника.

• 1:1 NAT — обычно используется в VPN «сайт-к-сайту» для решения проблем с пересекающимися сетями, избегания перенумерации, скрытия внутренней адресации и обеспечения контролируемого подключения между организациями.

Примечание: сопоставление полной подсети другой подсети также считается сценарием NAT 1:1, а не отдельным типом SNAT.

Почему NAT необходим в VPN «сайт-к-сайту»

• Если обе стороны используют одинаковые или пересекающиеся подсети (например, 192.168.1.0/24), маршрутизация не будет работать корректно. NAT изменяет исходный IP-адрес на адрес другой подсети и устраняет конфликт.

• Если партнерская сеть принимает трафик только с определенных IP-адресов, NAT может скрыть внутренние адреса и заменить их разрешенным диапазоном IP-адресов.

• Если невозможно добавить правильные маршруты или если одна из сторон использует динамический IP-адрес, NAT помогает правильно отправлять трафик через VPN-туннель.

• NAT 1:1 позволяет трафику использовать один исходный IP-адрес. Это упрощает администрирование и мониторинг.

В этой статье мы рассмотрим один из наиболее распространенных вариантов использования NAT 1:1. Мы объясним, как настроить VPN «сайт-к-сайту» с NAT 1:1 на Zyxel USG FLEX H, когда оба сайта используют одну и ту же подсеть.

Сценарий: пересекающиеся подсети

Чтобы избежать конфликта, сайт A (головной офис) преобразует свою локальную сеть в 10.10.10.0/24 (используется только внутри VPN).

Оба сайта используют одну и ту же подсеть.

Без NAT 1:1 устройства не могут различать локальные и удаленные сети 192.168.1.0/24. Трафик не будет маршрутизироваться правильно.

Участок A — Настройка VPN «участок-участок» с NAT на Zyxel USG FLEX H

Сначала настройте базовую VPN IPSec между двумя устройствами.

Перейдите в: Веб-интерфейс → VPN → IPSec VPN — VPN «сайт-сайт» 

Добавьте новый туннель и установите следующие настройки:

• Добавить

• Тип: «Между сайтами»
• Версия IKE: IKEv2

Общие настройки

Включить: ✔

Версия IKE: IKEv2

Тип: На основе политики

Мой адрес: выберите интерфейс WAN

Адрес шлюза-аналога: введите удаленный публичный IP

Аутентификация: предварительно согласованный ключ (одинаковый с обеих сторон)

Шаг 2 — Настройки фазы 1

• В разделе «Настройки фазы 1»:
• Шифрование: AES128 (или по требованию)
• Аутентификация/PRF: SHA1 или SHA256
• Группа DH: DH14 (рекомендуется)
• Срок действия SA: по умолчанию или по согласованию

Шаг 3 — Настройки фазы 2

• В разделе «Настройки фазы 2» нажмите «Добавить».
• Настройки:
• Локальный: 11.11.11.0/24
• Удаленное: 10.10.10.0/24
• Протокол: Любой
• PFS: Включить (рекомендуется DH14)

Несмотря на то, что подсети одинаковы, NAT будет обрабатывать преобразование адресов.

Шаг 4 — Настройка NAT 1:1 (важный шаг)

Перейдите к:

Дополнительные настройки → Пункт назначения (первая удаленная политика) → Правило NAT

Нажмите «Добавить».

Настройте:

• IP-адрес источника: 192.168.168.0/24

• Тип: NAT 1:1

• Сопоставленный IP: 11.11.11.0/24

Примените настройки.

Это гарантирует, что трафик, поступающий в VPN-туннель, преобразуется из:
192.168.168.x → 11.11.11.x

Сайт B — Настройка VPN «сайт-к-сайту» с NAT на Zyxel USG FLEX H

Общие настройки

Включить: ✔

Версия IKE: IKEv2

Тип: на основе политик

Мой адрес: выбрать интерфейс WAN

Адрес шлюза-аналога: введите удаленный публичный IP

Аутентификация: предварительно согласованный ключ (одинаковый с обеих сторон)

Шаг 2 — Настройки фазы 1

• В разделе «Настройки фазы 1»:
• Шифрование: AES128 (или по требованию)
• Аутентификация/PRF: SHA1 или SHA256
• Группа DH: DH14 (рекомендуется)
• Срок действия SA: по умолчанию или по согласованию

Шаг 3 — Настройки фазы 2

• В разделе «Настройки фазы 2» нажмите «Добавить».
• Настройки:
• Локальный: 10.10.10.0/24
• Удаленный: 11.11.11.0/24
• Протокол: Любой
• PFS: Включить (рекомендуется DH14)

Несмотря на то, что подсети одинаковы, NAT будет обрабатывать преобразование адресов.

Шаг 4 — Настройка NAT 1:1 (важный шаг)

Перейдите к:

Дополнительные настройки → Пункт назначения (первая удаленная политика) → Правило NAT

Нажмите «Добавить».

Настройте:

• IP-адрес источника: 192.168.168.0/24

• Тип: NAT 1:1

• Сопоставленный IP: 11.11.11.0/24

Примените настройки.

Это гарантирует, что трафик, поступающий в VPN-туннель, преобразуется из:
192.168.168.x → 10.10.10.x

Проверка

1. Установите VPN-туннель.

1. Выполните команду ping с сайта A на хост на сайте B.

1. На сайте B убедитесь, что источник трафика отображается как 10.10.10.x.

2. Проверьте журналы VPN и NAT на наличие успешного преобразования.