Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-NAT-route-based-IPsec-same-subnets

NAT mit routenbasiertem IPsec, wenn lokale und entfernte Subnetze gleich sind

Sie können Network Address Translation (NAT) für routenbasierte IPsec-VPN-Tunnel konfigurieren, wenn die Subnetze in der lokalen und der Remote-Firewall identisch sind.

Die Konfiguration unterscheidet sich für die beiden Arten von routenbasierten VPN-Tunneln wie folgt:

Dieser Artikel zeigt eine Beispielkonfiguration für Tunnelschnittstellen mit beliebigen Subnetzen.

Site-to-site IPsec NAT network diagram.

  1. Konfigurieren Sie Folgendes:

    1. IPsec-Verbindung
    2. Firewall-Regeln für eingehenden und ausgehenden Datenverkehr
    3. SD-WAN-Route

    Sehen Erstellen Sie ein routenbasiertes VPN (beliebige zu beliebigen Subnetzen)..

  2. Gehen Sie in den Firewalls der Hauptniederlassung und der Zweigstellen wie folgt vor:

    1. Konfigurieren Sie eine DNAT-Regel mit einer reflexiven (SNAT-)Regel.
    2. Lesen Sie die SNAT-Regel.

Firewall des Hauptsitzes

Konfigurieren Sie DNAT- und SNAT-Regeln in der Firewall der Hauptverwaltung (Sophos Firewall 1).

Konfigurieren einer DNAT-Regel

Fügen Sie eine DNAT-Regel hinzu, um eingehenden Datenverkehr, der im NAT-IP-Bereich ankommt, in den IP-Bereich des lokalen Subnetzes zu übersetzen.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.
  2. Klicken NAT-Regel hinzufügen und klicken Neue NAT-Regel.
  3. Geben Sie den Regelnamen ein.
  4. Satz Originalquelle zum NAT-Bereichsobjekt der Zweigstelle (Beispiel: 192.168.3.1 to 192.168.3.255).
  5. Satz Übersetzter Quelltext Zu Original.
  6. Satz Ursprüngliches Ziel zum IP-Bereichsobjekt, das Sie für die Übersetzung erstellt haben (Beispiel: 192.168.1.1 to 192.168.1.255).

  7. Satz Übersetztes Ziel zum eigentlichen lokalen Subnetzobjekt (Beispiel: 192.168.2.1 to 192.168.2.255).

    DNAT translation settings in HO firewall.

  8. Wählen Reflexive Regel erstellen um eine entsprechende SNAT-Regel für ausgehenden Datenverkehr zu erstellen.

  9. Für Lastverteilungsmethode, wählen Eins-zu-eins.

    Reflexive rule and load balancing.

  10. Klicken Speichern.

Überprüfen Sie die SNAT-Regel

Überprüfen Sie die SNAT-Regel für ausgehenden Datenverkehr, um den IP-Bereich des lokalen Subnetzes in das Objekt zu übersetzen, das Sie für die Übersetzung erstellt haben.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.

  2. Klicken Sie auf die von Ihnen erstellte reflexive Regel.

    Beispiel: Reflexive_NAT#_<DNAT rulename>

  3. Überprüfen Sie die Einstellungen für die Quellübersetzung. Die Beispieleinstellungen lauten wie folgt:

    1. Originalquelle: 192.168.2.1 to 192.168.2.255
    2. Übersetzter Quelltext: 192.168.1.1 to 192.168.1.255
    3. Ursprüngliches Ziel: 192.168.3.1 to 192.168.3.255

    4. Übersetztes Ziel: Original

      SNAT translation settings in HO firewall.

    Der ausgehende Datenverkehr wird vom tatsächlichen IP-Adressbereich des Subnetzes in den übersetzten IP-Adressbereich umgerechnet.

Firewall der Zweigstelle

Konfigurieren Sie DNAT- und SNAT-Regeln in der Firewall der Zweigstelle (Sophos Firewall 2).

Konfigurieren einer DNAT-Regel

Fügen Sie eine DNAT-Regel hinzu, um eingehenden Datenverkehr, der im NAT-IP-Bereich ankommt, in den IP-Bereich des lokalen Subnetzes zu übersetzen.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.
  2. Klicken NAT-Regel hinzufügen und klicken Neue NAT-Regel.
  3. Geben Sie den Regelnamen ein.
  4. Satz Originalquelle zum NAT-Bereichsobjekt der Hauptniederlassung (Beispiel: 192.168.1.1 to 192.168.1.255).
  5. Satz Übersetzter Quelltext Zu Original.
  6. Satz Ursprüngliches Ziel zum IP-Bereichsobjekt, das Sie für die Übersetzung erstellt haben (Beispiel: 192.168.3.1 to 192.168.3.255).

  7. Satz Übersetztes Ziel zum eigentlichen lokalen Subnetzobjekt (Beispiel: 192.168.2.1 to 192.168.2.255).

    DNAT translation settings in BO firewall.

  8. Wählen Reflexive Regel erstellen um eine entsprechende SNAT-Regel für ausgehenden Datenverkehr zu erstellen.

  9. Für Lastverteilungsmethode, wählen Eins-zu-eins.

    Reflexive rule and load balancing.

  10. Klicken Speichern.

Überprüfen Sie die SNAT-Regel

Überprüfen Sie die SNAT-Regel für ausgehenden Datenverkehr, um den IP-Bereich des lokalen Subnetzes in das Objekt zu übersetzen, das Sie für die Übersetzung erstellt haben.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.

  2. Klicken Sie auf die von Ihnen erstellte reflexive Regel.

    Beispiel: Reflexive_NAT#_<DNAT rulename>

  3. Überprüfen Sie die Einstellungen für die Quellübersetzung. Die Beispieleinstellungen lauten wie folgt:

    1. Originalquelle: 192.168.2.1 to 192.168.2.255
    2. Übersetzter Quelltext: 192.168.3.1 to 192.168.3.255
    3. Ursprüngliches Ziel: 192.168.1.1 to 192.168.1.255

    4. Übersetztes Ziel: Original

      SNAT translation settings in BO firewall.

    Der ausgehende Datenverkehr wird vom tatsächlichen IP-Adressbereich des Subnetzes in den übersetzten IP-Adressbereich umgerechnet.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen