Verwenden Sie NAT-Regeln in einem vorhandenen IPsec-Tunnel, um eine Verbindung zu einem Remote-Netzwerk herzustellen

Angenommen, Sie möchten einen IPsec-Tunnel verwenden, um lokale Hosts mit Remote-Verkehrsselektoren zu verbinden, und Sie möchten diese Hosts nicht in der IPsec-Konfiguration angeben. Sie können IPsec-Routen und NAT-Regeln verwenden, um den Verkehr durch den Tunnel zu leiten.

Im Beispielszenario haben Sie bereits eine IPsec-Verbindung zwischen dem lokalen Subnetz und den Remote-Subnetzen in den Firewalls der Zentrale und der Zweigstelle konfiguriert. Siehe Erstellen Sie ein richtlinienbasiertes IPsec-VPN mit einem vorinstallierten Schlüssel.

Sie müssen jetzt den Datenverkehr zwischen einem lokalen Server und dem Remote-Subnetz über die IPsec-Verbindung zulassen.

Gehen Sie auf der Firewall der Zentrale wie folgt vor:

• Fügen Sie eine IPsec-Route vom lokalen Server zur IPsec-Verbindung hinzu.
• Fügen Sie eine DNAT-Regel mit einer reflexiven (SNAT) Regel hinzu. Wenn Datenverkehr aus dem Remote-Subnetz an der LAN-Schnittstelle (ursprüngliches Ziel) eintrifft, übersetzt die DNAT-Regel dieses Ziel in den lokalen Server (übersetztes Ziel).
• Bearbeiten Sie die SNAT-Regel (Quell-NAT), um den lokalen Server (ursprüngliche Quelle) in einen LAN-Host (übersetzte Quelle) zu übersetzen, der der LAN-Schnittstelle entspricht. Sie müssen den LAN-Host im Voraus erstellen, da eine Übersetzung in Schnittstellen nicht möglich ist.

Die Konfigurationsdetails sind Beispiele, die auf dem folgenden Netzwerkdiagramm basieren:

Hinzufügen einer IPsec-Route

Konfigurieren Sie das Sophos Firewall-Gerät in der Zentrale so, dass der Datenverkehr vom lokalen Server an die LAN-Schnittstelle weitergeleitet wird, die dem lokalen Subnetz in der IPsec-Verbindung entspricht.

1. Gehen Sie zur CLI.
2. Eingeben 4 für Gerätekonsole.

3. Geben Sie den folgenden Befehl ein:
   system ipsec_route add net <remote subnet> tunnelname <ipsec_tunnel>

   Der Befehl für das Beispielnetzwerk:
   system ipsec_route add net 192.168.3.0/255.255.255.0 tunnelname HO_to_Branch

Hinzufügen einer DNAT-Regel

Fügen Sie eine DNAT-Regel für eingehenden Datenverkehr aus dem Remote-Subnetz hinzu, um den LAN-Host auf den lokalen Server zu übersetzen.

1. Gehe zu Regeln und Richtlinien > NAT-Regeln.
2. Klicken NAT-Regel hinzufügen und klicken Sie auf Neue NAT-Regel.
3. Geben Sie den Regelnamen ein.
4. Satz Originalquelle zum Remote-Subnetz (192.168.3.0).
5. Satz Übersetzte Quelle Zu Original.
6. Satz Ursprüngliches Ziel an die LAN-Schnittstelle (192.168.2.1). Die IP-Adresse gehört zum lokalen Subnetz, das in der IPsec-Verbindung angegeben ist. In diesem Beispiel wurde diese IP-Adresse Port2, einem LAN-Port, zugewiesen.
7. Satz Übersetztes Ziel zum lokalen Server (172.16.16.10).
8. Wählen Reflexive Regel erstellen um eine entsprechende SNAT-Regel zu erstellen.

9. Klicken Speichern.

   Hier ist ein Beispiel:

   

Bearbeiten der reflexiven (SNAT) Regel

Bearbeiten Sie die SNAT-Regel für ausgehenden Datenverkehr, um den lokalen Server mit der IP-Adresse der LAN-Schnittstelle in den LAN-Host zu übersetzen.

1. Gehe zu Regeln und Richtlinien > NAT-Regeln.
2. Klicken Sie auf die reflexive Regel, die Sie erstellt haben.
   Beispiel: Reflexive_NAT#_<DNAT rulename>
3. Satz Übersetzte Quelle zum LAN-Host (192.168.2.1) durch die IP-Adresse der LAN-Schnittstelle.
   Um den LAN-Host auswählen zu können, müssen Sie für diese Adresse einen IP-Host anlegen.

4. Klicken Speichern.

   Hier ist ein Beispiel:

   

Sie haben eine IPsec-Route und NAT-Regeln konfiguriert, um den Datenverkehr zwischen dem lokalen Server und dem Remote-Subnetz über die IPsec-Verbindung zu ermöglichen.