Чтобы избежать конфликтов IP-адресации в VPN туннелях, появляется необходимость замаскировать исходящую подсеть. Это можно реализовать настройкой SNAT.
Пошаговая инструкция:
Если на обеих сторонах VPN туннеля используется одна и та же подсеть, используя SNAT, подсеть одной из сторон можно "замаскировать", чтобы для удалённой стороны она выглядела иной. Чтобы следовать этой инструкции, нужно предварительно настроить IPSec VPN Gateway (фазу 1).
- Войдите в настройки по IP-адресу устройства и введите учетные данные администратора (по умолчанию, имя пользователя «admin», пароль «1234»).
- Перейдите в Configuration > VPN > IPSec > VPN > VPN Connection и, кнопкой “Add”, добавьте новое VPN-соединение.
- Нажмите “Create new Object”, чтобы создать новый объект "Address" типа “RANGE”. Выберите подсеть, которая не будет конфликтовать с локальными и удалёнными подсетями.
- Выберите эту новую фиктивную подсеть и укажите её в поле “Local policy”.
- Кнопкой “Create new Object”, добавьте объект для подсети удалённой стороны и укажите этот объект в поле "Remote Policy".
- Ниже, в настройке “Inbound/Outbound traffic NAT” включите галку “Source NAT”. Выберите настоящую локальную подсеть в поле "Source", удалённою подсеть в поле "Destination" и новую фиктивную в поле "SNAT".
- Включите “Destination NAT” и нажмите «Add». Выберите "фиктивную" подсеть в поле “Original IP”, настоящую локальную подсеть в поле “Mapped IP” и нажмите "OK".
- Перейдите в Configuration > Network > Routing > Policy Route и нажмите "Add".
- Выберите локальную подсеть в поле “Source Address”, удаленную подсеть в поле “Destination Address” и, в разделе “Next Hop”, выберите “Type” = “VPN Tunnel” и укажите название нужного VPN соединения.
После применения этих настроек, удаленной стороне не будет известна ваша реальная локальная подсеть. Так как для удалённой стороны, ваша локальная подсеть будет замаскированна выдуманной фиктивной подсетью.
С данной настройкой, если на обеих сторонах одинаковые локальный подсети, конфликта IP-адресации не будет.
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.