Verwenden Sie NAT-Regeln in einem vorhandenen IPsec-Tunnel, um eine Verbindung zu einem Remote-Netzwerk herzustellen
Angenommen, Sie möchten einen IPsec-Tunnel verwenden, um lokale Hosts mit Remote-Verkehrsselektoren zu verbinden, und Sie möchten diese Hosts nicht in der IPsec-Konfiguration angeben. Sie können IPsec-Routen und NAT-Regeln verwenden, um den Verkehr durch den Tunnel zu leiten.
Im Beispielszenario haben Sie bereits eine IPsec-Verbindung zwischen dem lokalen Subnetz und den Remote-Subnetzen in den Firewalls der Zentrale und der Zweigstelle konfiguriert. Siehe Erstellen Sie ein richtlinienbasiertes IPsec-VPN mit einem vorinstallierten Schlüssel.
Sie müssen jetzt den Datenverkehr zwischen einem lokalen Server und dem Remote-Subnetz über die IPsec-Verbindung zulassen.
Gehen Sie auf der Firewall der Zentrale wie folgt vor:
- Fügen Sie eine IPsec-Route vom lokalen Server zur IPsec-Verbindung hinzu.
- Fügen Sie eine DNAT-Regel mit einer reflexiven (SNAT) Regel hinzu. Wenn Datenverkehr aus dem Remote-Subnetz an der LAN-Schnittstelle (ursprüngliches Ziel) eintrifft, übersetzt die DNAT-Regel dieses Ziel in den lokalen Server (übersetztes Ziel).
- Bearbeiten Sie die SNAT-Regel (Quell-NAT), um den lokalen Server (ursprüngliche Quelle) in einen LAN-Host (übersetzte Quelle) zu übersetzen, der der LAN-Schnittstelle entspricht. Sie müssen den LAN-Host im Voraus erstellen, da eine Übersetzung in Schnittstellen nicht möglich ist.
Die Konfigurationsdetails sind Beispiele, die auf dem folgenden Netzwerkdiagramm basieren:
Hinzufügen einer IPsec-Route
Konfigurieren Sie das Sophos Firewall-Gerät in der Zentrale so, dass der Datenverkehr vom lokalen Server an die LAN-Schnittstelle weitergeleitet wird, die dem lokalen Subnetz in der IPsec-Verbindung entspricht.
- Gehen Sie zur CLI.
- Eingeben 4 für Gerätekonsole.
-
Geben Sie den folgenden Befehl ein:
system ipsec_route add net <remote subnet> tunnelname <ipsec_tunnel>
Der Befehl für das Beispielnetzwerk:
system ipsec_route add net 192.168.3.0/255.255.255.0 tunnelname HO_to_Branch
Hinzufügen einer DNAT-Regel
Fügen Sie eine DNAT-Regel für eingehenden Datenverkehr aus dem Remote-Subnetz hinzu, um den LAN-Host auf den lokalen Server zu übersetzen.
- Gehe zu Regeln und Richtlinien > NAT-Regeln.
- Klicken NAT-Regel hinzufügen und klicken Sie auf Neue NAT-Regel.
- Geben Sie den Regelnamen ein.
- Satz Originalquelle zum Remote-Subnetz (
192.168.3.0
). - Satz Übersetzte Quelle Zu
Original
. - Satz Ursprüngliches Ziel an die LAN-Schnittstelle (
192.168.2.1
). Die IP-Adresse gehört zum lokalen Subnetz, das in der IPsec-Verbindung angegeben ist. In diesem Beispiel wurde diese IP-Adresse Port2, einem LAN-Port, zugewiesen. - Satz Übersetztes Ziel zum lokalen Server (
172.16.16.10
). - Wählen Reflexive Regel erstellen um eine entsprechende SNAT-Regel zu erstellen.
-
Klicken Speichern.
Hier ist ein Beispiel:
Bearbeiten der reflexiven (SNAT) Regel
Bearbeiten Sie die SNAT-Regel für ausgehenden Datenverkehr, um den lokalen Server mit der IP-Adresse der LAN-Schnittstelle in den LAN-Host zu übersetzen.
- Gehe zu Regeln und Richtlinien > NAT-Regeln.
- Klicken Sie auf die reflexive Regel, die Sie erstellt haben.
Beispiel:Reflexive_NAT#_<DNAT rulename>
- Satz Übersetzte Quelle zum LAN-Host (
192.168.2.1
) durch die IP-Adresse der LAN-Schnittstelle.
Um den LAN-Host auswählen zu können, müssen Sie für diese Adresse einen IP-Host anlegen. -
Klicken Speichern.
Hier ist ein Beispiel:
Sie haben eine IPsec-Route und NAT-Regeln konfiguriert, um den Datenverkehr zwischen dem lokalen Server und dem Remote-Subnetz über die IPsec-Verbindung zu ermöglichen.