VPN typu Site-to-Site s NAT na zariadení Zyxel USG FLEX H – Príručka na konfiguráciu

Vytvorené - Aktualizované
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Vážený zákazník, upozorňujeme, že na poskytovanie článkov vo vašom miestnom jazyku používame strojový preklad. Nie všetky texty môžu byť preložené presne. Ak máte otázky alebo zistíte nezrovnalosti v presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu:Pôvodná verzia

VPN typu Site-to-Site vytvára bezpečné a šifrované pripojenie medzi dvoma sieťami cez internet. Používa sa na pripojenie pobočiek, zabezpečenie prístupu k zdrojom a centrálnu správu prevádzky. V niektorých prípadoch však bežné smerovanie nestačí. Vnútorné IP adresy jednej siete sa môžu prekrývať s adresami inej siete. Okrem toho bezpečnostné politiky na vzdialenej strane nemusia priamo povoľovať používanie vnútorných IP adries. V týchto situáciách je potrebné použiť NAT na zariadení Zyxel, aby prevádzka správne prechádzala cez tunel VPN.

Kedy používať rôzne typy NAT vo VPN

V závislosti od scenára sa v VPN typu Site-to-Site môžu použiť rôzne metódy SNAT:

  • SNAT na jednu IP adresu – používa sa, keď musí všetka prevádzka smerovať zo jednej zdrojovej IP adresy na vzdialenú lokalitu.

  • 1:1 NAT – bežne sa používa v sieťach VPN typu Site-to-Site na riešenie prekrývajúcich sa sietí, zabránenie prečíslovaniu, skrytie interného adresovania a umožnenie kontrolovaného pripojenia medzi organizáciami.

Poznámka: Mapovanie celej podsiete na inú podsieť sa tiež považuje za scenár 1:1 NAT, nie za samostatný typ SNAT.

Prečo je NAT potrebný v sieti VPN typu Site-to-Site

  • Ak obe strany používajú rovnaké alebo prekrývajúce sa podsiete (napríklad 192.168.1.0/24), smerovanie nebude fungovať správne. NAT zmení zdrojovú IP adresu na inú podsieť a odstráni konflikt.

  • Ak partnerská sieť prijíma len prevádzku z konkrétnych IP adries, NAT môže skryť interné adresy a nahradiť ich povoleným rozsahom IP adries.

  • Ak nie je možné pridať správne trasy alebo ak jedna strana používa dynamickú IP adresu, NAT pomáha správne odosielať prevádzku cez tunel VPN.

  • 1:1 NAT umožňuje, aby prevádzka používala jedinú zdrojovú IP adresu. To uľahčuje správu a monitorovanie.

V tomto článku sa pozrieme na jeden z najbežnejších prípadov použitia 1:1 NAT. Vysvetlíme, ako nakonfigurovať VPN typu Site-to-Site s 1:1 NAT na Zyxel USG FLEX H, keď obe lokality používajú rovnakú podsieť.

Scenár: Prekrývajúce sa podsiete

Lokalita A (pobočka)

LAN: 192.168.1.0/24

Lokalita B (centrála)

LAN: 192.168.1.0/24

Aby sa predišlo konfliktu, lokalita A (centrála) preloží svoju LAN na 10.10.10.0/24 (používa sa len vnútri VPN).

Obe lokality používajú rovnakú podsieť.

Bez 1:1 NAT zariadenia nedokážu rozlíšiť medzi lokálnymi a vzdialenými sieťami 192.168.1.0/24. Dátový tok nebude správne smerovaný.

Lokalita A – Konfigurácia VPN typu Site-to-Site s NAT na zariadení Zyxel USG FLEX H

Najskôr nakonfigurujte základnú IPSec VPN medzi oboma zariadeniami.

Prejdite na: Webové rozhranie → VPN → IPSec VPN – Site-to-Site VPN 

Pridajte nový tunel a nastavte nasledujúce:

  • Pridať

  • Typ: Site-to-Site
  • Verzia IKE: IKEv2

Všeobecné nastavenia

Povoliť: ✔

Verzia IKE: IKEv2

Typ: Na základe pravidiel

Moja adresa: Vyberte rozhranie WAN

Adresa brány partnera: Zadajte vzdialenú verejnú IP adresu

Overovanie: Predbežne zdieľaný kľúč (rovnaký na oboch stranách)

Krok 2 – Nastavenia fázy 1

  • V nastaveniach fázy 1:
  • Šifrovanie: AES128 (alebo podľa potreby)
  • Overovanie/PRF: SHA1 alebo SHA256
  • Skupina DH: DH14 (odporúčané)
  • Životnosť SA: Predvolené alebo podľa dohody

Krok 3 – Nastavenia fázy 2

  • V časti Nastavenia fázy 2 kliknite na Pridať.
  • Konfigurácia:
  • Lokálne: 11.11.11.0/24
  • Vzdialené: 10.10.10.0/24
  • Protokol: ľubovoľný
  • PFS: Povoliť (odporúča sa DH14)

Hoci sú podsiete rovnaké, NAT sa postará o preklad adries.

Krok 4 – Konfigurácia 1:1 NAT (dôležitý krok)

Prejdite na:

Pokročilé nastavenia → Cieľ (prvá vzdialená politika) → Pravidlo NAT

Kliknite na Pridať.

Nakonfigurujte:

  • Pôvodná IP adresa: 192.168.168.0/24

  • Typ: 1:1 NAT

  • Mapovaná IP adresa: 11.11.11.0/24

Použite konfiguráciu.

Tým sa zabezpečí, že prevádzka vstupujúca do tunela VPN bude preložená z:
192.168.168.x → 11.11.11.x

Lokalita B – Konfigurácia VPN typu Site-to-Site s NAT na Zyxel USG FLEX H

Všeobecné nastavenia

Povoliť: ✔

Verzia IKE: IKEv2

Typ: Na základe pravidiel

Moja adresa: Vyberte rozhranie WAN

Adresa brány partnera: Zadajte vzdialenú verejnú IP adresu

Overovanie: Predbežne zdieľaný kľúč (rovnaký na oboch stranách)

Krok 2 – Nastavenia fázy 1

  • V nastaveniach fázy 1:
  • Šifrovanie: AES128 (alebo podľa potreby)
  • Overovanie/PRF: SHA1 alebo SHA256
  • Skupina DH: DH14 (odporúčané)
  • Životnosť SA: Predvolené alebo podľa dohody

Krok 3 – Nastavenia fázy 2

  • V časti Nastavenia fázy 2 kliknite na Pridať.
  • Konfigurácia:
  • Lokálne: 10.10.10.0/24
  • Vzdialené: 11.11.11.0/24
  • Protokol: ľubovoľný
  • PFS: Povoliť (odporúča sa DH14)

Hoci sú podsiete rovnaké, NAT sa postará o preklad adries.

Krok 4 – Konfigurácia 1:1 NAT (dôležitý krok)

Prejdite na:

Pokročilé nastavenia → Cieľ (prvá vzdialená politika) → Pravidlo NAT

Kliknite na Pridať.

Nakonfigurujte:

  • Pôvodná IP adresa: 192.168.168.0/24

  • Typ: 1:1 NAT

  • Mapovaná IP adresa: 11.11.11.0/24

Použite konfiguráciu.

Tým sa zabezpečí, že prevádzka vstupujúca do tunela VPN bude preložená z:
192.168.168.x → 10.10.10.x

Overenie

  1. Vytvorte tunel VPN.

 

  1. Vykonajte ping zo lokality A na hostiteľa v lokalite B.

  1. Na lokalite B overte, či sa zdroj prevádzky zobrazuje ako 10.10.10.x.

  2. Skontrolujte protokoly VPN a NAT, či prebehlo úspešné preloženie.

 

 

 

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
0 z 0 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.