Zur Startseite gehen
0,00 €*

NAT mit routenbasiertem IPsec, wenn lokale und Remote-Subnetze identisch sind

Sie können Network Address Translation (NAT) für routenbasierte IPsec-VPN-Tunnel konfigurieren, wenn die Subnetze in der lokalen und der Remote-Firewall identisch sind.

Die Konfiguration unterscheidet sich für die beiden Arten von routenbasierten VPN-Tunneln wie folgt:

Dieser Artikel zeigt eine Beispielkonfiguration für Tunnelschnittstellen mit Any-to-Any-Subnetzen.

Site-to-site IPsec NAT network diagram.

  1. Konfigurieren Sie Folgendes:

    1. IPsec-Verbindung
    2. Firewallregeln für eingehenden und ausgehenden Datenverkehr
    3. SD-WAN-Route

    Sehen Erstellen Sie ein routenbasiertes VPN (von jedem zu jedem Subnetz).

  2. Gehen Sie in den Firewalls der Zentrale und der Zweigstellen wie folgt vor:

    1. Konfigurieren Sie eine DNAT-Regel mit einer reflexiven (SNAT) Regel.
    2. Überprüfen Sie die SNAT-Regel.

Firewall der Zentrale

Konfigurieren Sie DNAT- und SNAT-Regeln in der Firewall der Zentrale (Sophos Firewall 1).

Konfigurieren einer DNAT-Regel

Fügen Sie eine DNAT-Regel hinzu, um eingehenden Datenverkehr, der im NAT-IP-Bereich ankommt, in den IP-Bereich des lokalen Subnetzes zu übersetzen.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.
  2. Klicken NAT-Regel hinzufügen und klicken Sie auf Neue NAT-Regel.
  3. Geben Sie den Regelnamen ein.
  4. Satz Originalquelle zum NAT-Bereichsobjekt der Zweigstelle (Beispiel: 192.168.3.1 to 192.168.3.255).
  5. Satz Übersetzte Quelle Zu Original.
  6. Satz Ursprüngliches Ziel zum IP-Bereichsobjekt, das Sie für die Übersetzung erstellt haben (Beispiel: 192.168.1.1 to 192.168.1.255).

  7. Satz Übersetztes Ziel zum tatsächlichen lokalen Subnetzobjekt (Beispiel: 192.168.2.1 to 192.168.2.255).

    DNAT translation settings in HO firewall.

  8. Wählen Reflexive Regel erstellen um eine entsprechende SNAT-Regel für ausgehenden Datenverkehr zu erstellen.

  9. Für Lastausgleichsmethode, wählen Einzelunterricht.

    Reflexive rule and load balancing.

  10. Klicken Speichern.

Überprüfen Sie die SNAT-Regel

Überprüfen Sie die SNAT-Regel für ausgehenden Datenverkehr, um den IP-Bereich des lokalen Subnetzes in das Objekt zu übersetzen, das Sie für die Übersetzung erstellt haben.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.

  2. Klicken Sie auf die reflexive Regel, die Sie erstellt haben.

    Beispiel: Reflexive_NAT#_<DNAT rulename>

  3. Überprüfen Sie die Einstellungen für die Quellübersetzung. Die Beispieleinstellungen lauten wie folgt:

    1. Originalquelle: 192.168.2.1 to 192.168.2.255
    2. Übersetzte Quelle: 192.168.1.1 to 192.168.1.255
    3. Ursprüngliches Ziel: 192.168.3.1 to 192.168.3.255

    4. Übersetztes Ziel: Original

      SNAT translation settings in HO firewall.

    Ausgehender Datenverkehr wird vom tatsächlichen IP-Bereich des Subnetzes in den übersetzten IP-Bereich übersetzt.

Firewall für Zweigstellen

Konfigurieren Sie DNAT- und SNAT-Regeln in der Firewall der Zweigstelle (Sophos Firewall 2).

Konfigurieren einer DNAT-Regel

Fügen Sie eine DNAT-Regel hinzu, um eingehenden Datenverkehr, der im NAT-IP-Bereich ankommt, in den IP-Bereich des lokalen Subnetzes zu übersetzen.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.
  2. Klicken NAT-Regel hinzufügen und klicken Sie auf Neue NAT-Regel.
  3. Geben Sie den Regelnamen ein.
  4. Satz Originalquelle zum NAT-Range-Objekt der Zentrale (Beispiel: 192.168.1.1 to 192.168.1.255).
  5. Satz Übersetzte Quelle Zu Original.
  6. Satz Ursprüngliches Ziel zum IP-Bereichsobjekt, das Sie für die Übersetzung erstellt haben (Beispiel: 192.168.3.1 to 192.168.3.255).

  7. Satz Übersetztes Ziel zum eigentlichen lokalen Subnetzobjekt (Beispiel: 192.168.2.1 to 192.168.2.255).

    DNAT translation settings in BO firewall.

  8. Wählen Reflexive Regel erstellen um eine entsprechende SNAT-Regel für ausgehenden Datenverkehr zu erstellen.

  9. Für Lastausgleichsmethode, wählen Einzelunterricht.

    Reflexive rule and load balancing.

  10. Klicken Speichern.

Überprüfen Sie die SNAT-Regel

Überprüfen Sie die SNAT-Regel für ausgehenden Datenverkehr, um den IP-Bereich des lokalen Subnetzes in das Objekt zu übersetzen, das Sie für die Übersetzung erstellt haben.

  1. Gehe zu Regeln und Richtlinien > NAT-Regeln.

  2. Klicken Sie auf die reflexive Regel, die Sie erstellt haben.

    Beispiel: Reflexive_NAT#_<DNAT rulename>

  3. Überprüfen Sie die Einstellungen der Quellübersetzung. Die Beispieleinstellungen lauten wie folgt:

    1. Originalquelle: 192.168.2.1 to 192.168.2.255
    2. Übersetzte Quelle: 192.168.3.1 to 192.168.3.255
    3. Ursprüngliches Ziel: 192.168.1.1 to 192.168.1.255

    4. Übersetztes Ziel: Original

      SNAT translation settings in BO firewall.

    Ausgehender Datenverkehr wird vom tatsächlichen IP-Bereich des Subnetzes in den übersetzten IP-Bereich übersetzt.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung