Zyxel USG FLEX H'de NAT Özellikli Site-to-Site VPN - Kurulum Kılavuzu

Oluşturma tarihi - Güncellenme
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Başka sorularınız var mı? Bir talep gönder

Önemli Uyarı:
Değerli müşterimiz, makaleleri yerel dilinizde sunmak için makine çevirisi kullandığımızı lütfen unutmayın. Metnin tamamı doğru bir şekilde çevrilemeyebilir. Çevrilmiş versiyondaki bilgilerin doğruluğu ile ilgili sorularınız veya tutarsızlıklar varsa, lütfen orijinal makaleyi buradan inceleyin:Orijinal Versiyon

Site-to-Site VPN, İnternet üzerinden iki ağ arasında güvenli ve şifreli bir bağlantı oluşturur. Şubeleri birbirine bağlamak, kaynaklara güvenli erişim sağlamak ve trafiği merkezi bir şekilde yönetmek için kullanılır. Ancak, bazı durumlarda normal yönlendirme yeterli olmayabilir. Bir ağın dahili IP adresleri, başka bir ağın adresleriyle çakışabilir. Ayrıca, uzak taraftaki güvenlik politikaları, dahili IP adreslerinin doğrudan kullanımına izin vermeyebilir. Bu durumlarda, trafiğin VPN tünelinden doğru şekilde geçmesi için Zyxel cihazında NAT kullanmanız gerekir.

VPN'de Farklı NAT Türleri Ne Zaman Kullanılmalıdır?

Senaryoya bağlı olarak, Site-to-Site VPN'de farklı SNAT yöntemleri kullanılabilir:

  • Tek bir IP'ye SNAT – tüm trafiğin uzak siteye tek bir kaynak IP adresinden gelmesi gerektiğinde kullanılır.

  • 1:1 NAT – genellikle site-to-site VPN'lerde çakışan ağları çözmek, yeniden numaralandırmayı önlemek, dahili adreslemeyi gizlemek ve kuruluşlar arasında kontrollü bağlantı sağlamak için kullanılır.

Not: Tam bir alt ağı başka bir alt ağa eşlemek de ayrı bir SNAT türü değil, 1:1 NAT senaryosu olarak kabul edilir.

Site-to-Site VPN'de NAT Neden Gereklidir?

  • Her iki taraf da aynı veya çakışan alt ağları kullanıyorsa (örneğin, 192.168.1.0/24), yönlendirme doğru şekilde çalışmaz. NAT, kaynak IP adresini farklı bir alt ağa değiştirir ve çakışmayı ortadan kaldırır.

  • Ortak ağ yalnızca belirli IP adreslerinden gelen trafiği kabul ediyorsa, NAT iç adresleri gizleyebilir ve bunları izin verilen bir IP aralığıyla değiştirebilir.

  • Doğru yönlendirmeler eklemek mümkün değilse veya taraflardan biri dinamik IP adresi kullanıyorsa, NAT trafiğin VPN tüneli üzerinden doğru şekilde gönderilmesine yardımcı olur.

  • 1:1 NAT, trafiğin tek bir kaynak IP adresi kullanmasına izin verir. Bu, yönetimi ve izlemeyi kolaylaştırır.

Bu makalede, en yaygın 1:1 NAT kullanım örneklerinden birine bakacağız. Her iki site de aynı alt ağı kullandığında, Zyxel USG FLEX H üzerinde 1:1 NAT ile Site-to-Site VPN'in nasıl yapılandırılacağını açıklayacağız.

Senaryo: Çakışan Alt Ağlar

Site A (Şube)

LAN: 192.168.1.0/24

Site B (Merkez Ofis)

LAN: 192.168.1.0/24

Çakışmayı önlemek için, Site A (Merkez Ofis) LAN'ını 10.10.10.0/24'e çevirecektir (sadece VPN içinde kullanılır).

Her iki site de aynı alt ağı kullanır.

1:1 NAT olmadan, cihazlar yerel ve uzak 192.168.1.0/24 ağları arasında ayrım yapamaz. Trafik doğru şekilde yönlendirilmez.

Site A - Zyxel USG FLEX H'de NAT ile Site-to-Site VPN'i yapılandırma

İlk olarak, iki cihaz arasında temel bir IPSec VPN yapılandırın.

Şuraya gidin: Web GUI → VPN → IPSec VPN - Site-to-Site VPN 

Yeni bir tünel ekleyin ve aşağıdakileri ayarlayın:

  • Ekle

  • Tür: Site-Site
  • IKE Sürümü: IKEv2

Genel Ayarlar

Etkinleştir: ✔

IKE Sürümü: IKEv2

Tür: İlke Tabanlı

Adresim: WAN arayüzünü seçin

Eş Ağ Geçidi Adresi: Uzak genel IP'yi girin

Kimlik Doğrulama: Önceden Paylaşılan Anahtar (her iki tarafta da aynı)

Adım 2 – Aşama 1 Ayarları

  • Aşama 1 Ayarları altında:
  • Şifreleme: AES128 (veya gerektiği gibi)
  • Kimlik Doğrulama/PRF: SHA1 veya SHA256
  • DH Grubu: DH14 (önerilir)
  • SA Ömrü: Varsayılan veya kararlaştırıldığı şekilde

Adım 3 – Aşama 2 Ayarları

  • Aşama 2 Ayarları altında Ekle'yi tıklayın.
  • Yapılandırma:
  • Yerel: 11.11.11.0/24
  • Uzak: 10.10.10.0/24
  • Protokol: Herhangi biri
  • PFS: Etkinleştir (DH14 önerilir)

Alt ağlar aynı olsa da, adres çevirisi NAT tarafından gerçekleştirilecektir.

Adım 4 – 1:1 NAT'ı yapılandırın (Önemli Adım)

Şuraya gidin:

Gelişmiş Ayarlar → Hedef (ilk Uzak ilke) → NAT Kuralı

Ekle'yi tıklayın.

Şu ayarları yapın:

  • Kaynak IP: 192.168.168.0/24

  • Tür: 1:1 NAT

  • Eşlenen IP: 11.11.11.0/24

Yapılandırmayı uygulayın.

Bu, VPN tüneline giren trafiğin şu şekilde çevrilmesini sağlar:
192.168.168.x → 11.11.11.x

Site B - Zyxel USG FLEX H'de NAT ile Site-to-Site VPN'i yapılandırma

Genel Ayarlar

Etkinleştir: ✔

IKE Sürümü: IKEv2

Tür: İlke Tabanlı

Adresim: WAN arayüzünü seçin

Eş Ağ Geçidi Adresi: Uzak genel IP'yi girin

Kimlik Doğrulama: Önceden Paylaşılan Anahtar (her iki tarafta da aynı)

Adım 2 – Aşama 1 Ayarları

  • Aşama 1 Ayarları altında:
  • Şifreleme: AES128 (veya gerektiği gibi)
  • Kimlik Doğrulama/PRF: SHA1 veya SHA256
  • DH Grubu: DH14 (önerilir)
  • SA Ömrü: Varsayılan veya kararlaştırıldığı şekilde

Adım 3 – Aşama 2 Ayarları

  • Aşama 2 Ayarları altında Ekle'yi tıklayın.
  • Yapılandırma:
  • Yerel: 10.10.10.0/24
  • Uzak: 11.11.11.0/24
  • Protokol: Herhangi biri
  • PFS: Etkinleştir (DH14 önerilir)

Alt ağlar aynı olsa da, adres çevirisi NAT tarafından gerçekleştirilecektir.

Adım 4 – 1:1 NAT'ı yapılandırın (Önemli Adım)

Şuraya gidin:

Gelişmiş Ayarlar → Hedef (ilk Uzak ilke) → NAT Kuralı

Ekle'yi tıklayın.

Şu ayarları yapın:

  • Kaynak IP: 192.168.168.0/24

  • Tür: 1:1 NAT

  • Eşlenen IP: 11.11.11.0/24

Yapılandırmayı uygulayın.

Bu, VPN tüneline giren trafiğin şu şekilde çevrilmesini sağlar:
192.168.168.x → 10.10.10.x

Doğrulama

  1. VPN tünelini kurun.

 

  1. Site A'dan Site B'deki bir ana bilgisayara ping atın.

  1. Site B'de, trafik kaynağının 10.10.10.x olarak göründüğünü doğrulayın.

  2. Başarılı çeviri için VPN ve NAT günlüklerini kontrol edin.

 

 

 

Bu bölümdeki makaleler

Daha fazlasını göster
Bu makale yardımcı oldu mu?
0 kişi içerisinden 0 kişi bunun yardımcı olduğunu düşündü
Paylaş

Yorumlar

0 yorum

Yorum yazmak için lütfen oturum açın: oturum aç.