Site-to-Site VPN med NAT på Zyxel USG FLEX H – Konfigurationsguide

Ett Site-to-Site VPN skapar en säker och krypterad anslutning mellan två nätverk via Internet. Det används för att ansluta filialer, ge säker åtkomst till resurser och hantera trafiken centralt. I vissa fall räcker dock inte normal routning. De interna IP-adresserna i ett nätverk kan överlappa adresserna i ett annat nätverk. Dessutom kan säkerhetspolicyer på fjärrsidan hindra direkt användning av interna IP-adresser. I dessa situationer måste du använda NAT på Zyxel-enheten för att trafiken ska passera korrekt genom VPN-tunneln.

När ska man använda olika NAT-typer i VPN

Beroende på scenariot kan olika SNAT-metoder användas i ett Site-to-Site-VPN:

• SNAT till en enda IP – används när all trafik måste se ut att komma från en enda käll-IP-adress till den fjärranslutna platsen.

• 1:1 NAT – används vanligtvis i Site-to-Site-VPN för att lösa överlappande nätverk, undvika omnumrering, dölja intern adressering och möjliggöra kontrollerad anslutning mellan organisationer.

Obs: Att mappa ett helt subnät till ett annat subnät betraktas också som ett 1:1 NAT-scenario, inte som en separat SNAT-typ.

Varför NAT behövs i ett Site-to-Site VPN

• Om båda sidor använder samma eller överlappande subnät (till exempel 192.168.1.0/24) kommer routningen inte att fungera korrekt. NAT ändrar käll-IP-adressen till ett annat subnät och eliminerar konflikten.

• Om partnernätverket endast accepterar trafik från specifika IP-adresser kan NAT dölja de interna adresserna och ersätta dem med ett tillåtet IP-intervall.

• Om det inte är möjligt att lägga till korrekta rutter, eller om ena sidan använder en dynamisk IP-adress, hjälper NAT till att skicka trafiken korrekt genom VPN-tunneln.

• 1:1 NAT gör det möjligt för trafiken att använda en enda käll-IP-adress. Detta underlättar administration och övervakning.

I den här artikeln tittar vi på ett av de vanligaste användningsfallen för 1:1 NAT. Vi förklarar hur man konfigurerar ett Site-to-Site VPN med 1:1 NAT på Zyxel USG FLEX H när båda platserna använder samma subnät.

Scenario: Överlappande subnät

För att undvika konflikter kommer plats A (huvudkontoret) att översätta sitt LAN till 10.10.10.0/24 (används endast inom VPN).

Båda platserna använder samma subnät.

Utan 1:1 NAT kan enheterna inte skilja mellan det lokala och det fjärranslutna nätverket 192.168.1.0/24. Trafiken kommer inte att dirigeras korrekt.

Plats A – Konfigurera Site-to-Site VPN med NAT på Zyxel USG FLEX H

Konfigurera först ett grundläggande IPSec-VPN mellan de två enheterna.

Gå till: Web GUI → VPN → IPSec VPN – Site-to-Site VPN 

Lägg till en ny tunnel och ställ in följande:

• Lägg till

• Typ: Site-to-Site
• IKE-version: IKEv2

Allmänna inställningar

Aktivera: ✔

IKE-version: IKEv2

Typ: Policybaserad

Min adress: Välj WAN-gränssnitt

Peer-gatewayadress: Ange den fjärranslutna offentliga IP-adressen

Autentisering: Fördelad nyckel (samma på båda sidor)

Steg 2 – Inställningar för fas 1

• Under inställningar för fas 1:
• Kryptering: AES128 (eller enligt behov)
• Autentisering/PRF: SHA1 eller SHA256
• DH-grupp: DH14 (rekommenderas)
• SA-livslängd: Standard eller enligt överenskommelse

Steg 3 – Inställningar för fas 2

• Under Inställningar för fas 2 klickar du på Lägg till.
• Konfigurera:
• Lokal: 11.11.11.0/24
• Fjärr: 10.10.10.0/24
• Protokoll: Valfritt
• PFS: Aktivera (DH14 rekommenderas)

Även om subnäten är desamma kommer NAT att hantera adressöversättningen.

Steg 4 – Konfigurera 1:1 NAT (viktigt steg)

Bläddra till:

Avancerade inställningar → Destination (den första fjärrpolicyn) → NAT-regel

Klicka på Lägg till.

Konfigurera:

• Ursprungs-IP: 192.168.168.0/24

• Typ: 1:1 NAT

• Mappad IP: 11.11.11.0/24

Tillämpa konfigurationen.

Detta säkerställer att trafik som kommer in i VPN-tunneln översätts från:
192.168.168.x → 11.11.11.x

Plats B – Konfigurera Site-to-Site VPN med NAT på Zyxel USG FLEX H

Allmänna inställningar

Aktivera: ✔

IKE-version: IKEv2

Typ: Policybaserad

Min adress: Välj WAN-gränssnitt

Peer-gatewayadress: Ange den fjärranslutna offentliga IP-adressen

Autentisering: Fördelad nyckel (samma på båda sidor)

Steg 2 – Inställningar för fas 1

• Under inställningar för fas 1:
• Kryptering: AES128 (eller enligt behov)
• Autentisering/PRF: SHA1 eller SHA256
• DH-grupp: DH14 (rekommenderas)
• SA-livslängd: Standard eller enligt överenskommelse

Steg 3 – Inställningar för fas 2

• Under Inställningar för fas 2 klickar du på Lägg till.
• Konfigurera:
• Lokal: 10.10.10.0/24
• Fjärr: 11.11.11.0/24
• Protokoll: Valfritt
• PFS: Aktivera (DH14 rekommenderas)

Även om subnäten är desamma kommer NAT att hantera adressöversättningen.

Steg 4 – Konfigurera 1:1 NAT (viktigt steg)

Bläddra till:

Avancerade inställningar → Destination (den första fjärrpolicyn) → NAT-regel

Klicka på Lägg till.

Konfigurera:

• Ursprungs-IP: 192.168.168.0/24

• Typ: 1:1 NAT

• Mappad IP: 11.11.11.0/24

Tillämpa konfigurationen.

Detta säkerställer att trafik som kommer in i VPN-tunneln översätts från:
192.168.168.x → 10.10.10.x

Verifiering

1. Upprätta VPN-tunneln.

1. Pinga från plats A till en värd på plats B.

1. Kontrollera på plats B att trafikkällan visas som 10.10.10.x.

2. Kontrollera VPN- och NAT-loggarna för att se om översättningen lyckades.