NAT mit routenbasiertem IPsec, wenn lokale und Remote-Subnetze identisch sind
Sie können Network Address Translation (NAT) für routenbasierte IPsec-VPN-Tunnel konfigurieren, wenn die Subnetze in der lokalen und der Remote-Firewall identisch sind.
Die Konfiguration unterscheidet sich für die beiden Arten von routenbasierten VPN-Tunneln wie folgt:
- Für Any-to-Any-Subnetze: Sie müssen SNAT- und DNAT-Regeln konfigurieren.
- Bei Verkehrsselektoren: Sie müssen die NAT-Einstellungen konfigurieren auf Site-to-Site-VPN > IPsec-Verbindungen. Sehen NAT mit richtlinienbasiertem IPsec, wenn lokale und Remote-Subnetze identisch sind.
Dieser Artikel zeigt eine Beispielkonfiguration für Tunnelschnittstellen mit Any-to-Any-Subnetzen.
-
Konfigurieren Sie Folgendes:
- IPsec-Verbindung
- Firewallregeln für eingehenden und ausgehenden Datenverkehr
- SD-WAN-Route
Sehen Erstellen Sie ein routenbasiertes VPN (von jedem zu jedem Subnetz).
-
Gehen Sie in den Firewalls der Zentrale und der Zweigstellen wie folgt vor:
- Konfigurieren Sie eine DNAT-Regel mit einer reflexiven (SNAT) Regel.
- Überprüfen Sie die SNAT-Regel.
Firewall der Zentrale
Konfigurieren Sie DNAT- und SNAT-Regeln in der Firewall der Zentrale (Sophos Firewall 1).
Konfigurieren einer DNAT-Regel
Fügen Sie eine DNAT-Regel hinzu, um eingehenden Datenverkehr, der im NAT-IP-Bereich ankommt, in den IP-Bereich des lokalen Subnetzes zu übersetzen.
- Gehe zu Regeln und Richtlinien > NAT-Regeln.
- Klicken NAT-Regel hinzufügen und klicken Sie auf Neue NAT-Regel.
- Geben Sie den Regelnamen ein.
- Satz Originalquelle zum NAT-Bereichsobjekt der Zweigstelle (Beispiel:
192.168.3.1 to 192.168.3.255
). - Satz Übersetzte Quelle Zu Original.
- Satz Ursprüngliches Ziel zum IP-Bereichsobjekt, das Sie für die Übersetzung erstellt haben (Beispiel:
192.168.1.1 to 192.168.1.255
). -
Satz Übersetztes Ziel zum tatsächlichen lokalen Subnetzobjekt (Beispiel:
192.168.2.1 to 192.168.2.255
). -
Wählen Reflexive Regel erstellen um eine entsprechende SNAT-Regel für ausgehenden Datenverkehr zu erstellen.
-
Für Lastausgleichsmethode, wählen Einzelunterricht.
-
Klicken Speichern.
Überprüfen Sie die SNAT-Regel
Überprüfen Sie die SNAT-Regel für ausgehenden Datenverkehr, um den IP-Bereich des lokalen Subnetzes in das Objekt zu übersetzen, das Sie für die Übersetzung erstellt haben.
- Gehe zu Regeln und Richtlinien > NAT-Regeln.
-
Klicken Sie auf die reflexive Regel, die Sie erstellt haben.
Beispiel:
Reflexive_NAT#_<DNAT rulename>
-
Überprüfen Sie die Einstellungen für die Quellübersetzung. Die Beispieleinstellungen lauten wie folgt:
- Originalquelle:
192.168.2.1 to 192.168.2.255
- Übersetzte Quelle:
192.168.1.1 to 192.168.1.255
- Ursprüngliches Ziel:
192.168.3.1 to 192.168.3.255
-
Übersetztes Ziel: Original
Ausgehender Datenverkehr wird vom tatsächlichen IP-Bereich des Subnetzes in den übersetzten IP-Bereich übersetzt.
- Originalquelle:
Firewall für Zweigstellen
Konfigurieren Sie DNAT- und SNAT-Regeln in der Firewall der Zweigstelle (Sophos Firewall 2).
Konfigurieren einer DNAT-Regel
Fügen Sie eine DNAT-Regel hinzu, um eingehenden Datenverkehr, der im NAT-IP-Bereich ankommt, in den IP-Bereich des lokalen Subnetzes zu übersetzen.
- Gehe zu Regeln und Richtlinien > NAT-Regeln.
- Klicken NAT-Regel hinzufügen und klicken Sie auf Neue NAT-Regel.
- Geben Sie den Regelnamen ein.
- Satz Originalquelle zum NAT-Range-Objekt der Zentrale (Beispiel:
192.168.1.1 to 192.168.1.255
). - Satz Übersetzte Quelle Zu Original.
- Satz Ursprüngliches Ziel zum IP-Bereichsobjekt, das Sie für die Übersetzung erstellt haben (Beispiel:
192.168.3.1 to 192.168.3.255
). -
Satz Übersetztes Ziel zum eigentlichen lokalen Subnetzobjekt (Beispiel:
192.168.2.1 to 192.168.2.255
). -
Wählen Reflexive Regel erstellen um eine entsprechende SNAT-Regel für ausgehenden Datenverkehr zu erstellen.
-
Für Lastausgleichsmethode, wählen Einzelunterricht.
-
Klicken Speichern.
Überprüfen Sie die SNAT-Regel
Überprüfen Sie die SNAT-Regel für ausgehenden Datenverkehr, um den IP-Bereich des lokalen Subnetzes in das Objekt zu übersetzen, das Sie für die Übersetzung erstellt haben.
- Gehe zu Regeln und Richtlinien > NAT-Regeln.
-
Klicken Sie auf die reflexive Regel, die Sie erstellt haben.
Beispiel:
Reflexive_NAT#_<DNAT rulename>
-
Überprüfen Sie die Einstellungen der Quellübersetzung. Die Beispieleinstellungen lauten wie folgt:
- Originalquelle:
192.168.2.1 to 192.168.2.255
- Übersetzte Quelle:
192.168.3.1 to 192.168.3.255
- Ursprüngliches Ziel:
192.168.1.1 to 192.168.1.255
-
Übersetztes Ziel: Original
Ausgehender Datenverkehr wird vom tatsächlichen IP-Bereich des Subnetzes in den übersetzten IP-Bereich übersetzt.
- Originalquelle: