Как настроить SNAT в VPN-туннеле

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

Сценарий:

В больших сетях при использовании VPN может возникнуть необходимость маскировать подсеть источника, чтобы избежать конфликтов IP-адресов. Это известно как настройка SNAT.
В этом руководстве мы покажем вам, как настроить устройство USG, чтобы дополнить настройку SNAT!

Пошаговое руководство:

В этом руководстве мы объясним вам, как "замаскировать" вашу локальную подсеть или избежать перекрытия подсетей, когда та же подсеть находится на удаленном сайте VPN-туннеля. В данном руководстве требуется, чтобы вы уже настроили IPsec-шлюз (IPsec Phase1):

Перейти к видео

1. Подключите компьютер непосредственно к одному из портов LAN и войдите в веб-интерфейс с IP-адресом по умолчанию 192.168.1.1, используя стандартные учетные данные admin/1234.
mceclip0.png
mceclip1.png

2. Перейдите в раздел Configuration > VPN > IPSec VPN > VPN Connection и добавьте новое VPN-соединение с помощью кнопки "Add".
mceclip2.png

3. С помощью кнопки "Создать новый объект" создайте новый объект типа "IPv4 Address".
mceclip4.png

4. Создайте объект локальной подсети и объект удаленной подсети.
Следите за тем, чтобы выбрать подсеть, не конфликтующую ни с одной подсетью на вашем или удаленном сайте!
mceclip5.png

5. Оба созданных объекта подсети должны быть выбраны в качестве "Локальной политики" и "Удаленной политики" в VPN-подключении.
mceclip8.png

6. Прокрутите страницу до конца и откройте стрелку "Advance" для настройки раздела "Inbound/Outbound traffic NAT" (чтобы расширенные настройки были видны, нажмите "Show Advanced Settings"). Установите флажок "Source NAT", выберите "настоящую" локальную подсеть в качестве "Source", удаленную подсеть в качестве "Destination" и "фальшивую" подсеть в качестве "SNAT".

Также установите флажок "Destination NAT", нажмите "Add" и выберите вашу "фальшивую" подсеть в качестве "Original IP", вашу локальную подсеть в качестве "Mapped IP" и нажмите "OK" для создания VPN-соединения.

8. Перейдите в меню Конфигурация > Сеть > Маршрутизация > Маршрут политики и нажмите кнопку "Добавить".
mceclip11.png

9. Выберите локальную подсеть в качестве "Source Address", удаленную подсеть в качестве "Destination Address", в разделе "Next Hop" выберите "Type" "VPN Tunnel" и выберите созданное VPN-соединение для "VPN Tunnel", после чего нажмите "OK".
mceclip12.png

После применения этих настроек удаленный сайт не будет знать вашу настоящую локальную подсеть, поскольку он использует вашу "поддельную" подсеть в качестве удаленной политики на своем сайте.

Кроме того: Если бы на вашем и удаленном сайте была одна и та же реальная подсеть, то проблем с маршрутизацией из-за перекрытия подсетей теперь можно было бы избежать.

Видео:

KB-00026

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 4 из 4
Поделиться