Zur Startseite gehen
0,00 €*

Routing und NAT für IPsec-Tunnel

Die Firewall bietet verschiedene Routing- und Network Address Translation (NAT)-Konfigurationen für IPsec VPN.

Wählen Sie den Konfigurationstyp basierend auf Ihrer IPsec-Verbindung und dem Datenverkehr, den Sie durch den Tunnel senden möchten.

Routing-Konfigurationen

NAT-Regeln ändern nicht die Routing-Entscheidung der Firewall. Die Firewall benötigt eine Route zum Ziel.

Sie können die Route mit einer der folgenden Konfigurationen angeben:

  • VPN-Routen: Die Firewall erstellt diese Routen automatisch im Backend für richtlinienbasierte IPsec-Verbindungen.
  • Statische, SD-WAN- und dynamische Routen.
  • Der ipsec_route Befehl auf der CLI.

Die in der CLI festgelegte Routing-Priorität bestimmt, welche Art von Route die Firewall zuerst zuordnen möchte. Siehe Routenplanung.

NAT-Konfigurationen

Sie können NAT mit einer der folgenden Konfigurationen konfigurieren:

  • IPsec-Verbindungen: Dazu gehören NAT-Einstellungen.
  • NAT-Regeln.
  • Der sys-traffic-nat Befehl in der CLI: Sie müssen diesen Befehl für systemgenerierten Datenverkehr verwenden. Es handelt sich um den von der Firewall selbst generierten Datenverkehr, z. B. Authentifizierung und DHCP.

Anwendungsfälle

Notiz

Sie müssen sowohl Routing- als auch NAT-Konfigurationen hinzufügen, um den in der Tabelle angezeigten Datenverkehr durch einen IPsec-Tunnel zu senden.

In der folgenden Tabelle finden Sie die Routing- und NAT-Konfigurationstypen, die Sie hinzufügen müssen:

Routenbasiertes VPN

(von jedem zu jedem Subnetz)

 Richtlinienbasiertes VPN
Datenverkehr zu einem Host durch vorhandenen IPsec-Tunnel
  1. Statische, SD-WAN- und dynamische Routen
  2. DNAT-Regel und optionale SNAT-Regel (MASQ).
Sehen Senden Sie den Datenverkehr des Remote-Netzwerks durch den vorhandenen IPsec-Tunnel an bestimmte Hosts.
  1. ipsec_route Befehl
  2. DNAT-Regel
Sehen Verwenden Sie NAT-Regeln in einem vorhandenen IPsec-Tunnel, um eine Verbindung zu einem Remote-Netzwerk herzustellen.
Vom System generierter Verkehr: Authentifizierung
  1. SD-WAN-Strecke mit Quellnetzwerke eingestellt auf Beliebig.
  2. sys-traffic-nat Befehl
Sehen Routenauthentifizierungsabfragen.
  1. ipsec_route Befehl
  2. sys-traffic-nat Befehl
Sehen Routenauthentifizierungsabfragen.
Vom System generierter Verkehr: DHCP-Relay Derzeit sendet die Firewall keine DHCP-Relay-Informationen über routenbasierte VPNs.
  1. ipsec_route Befehl
  2. sys-traffic-nat Befehl
Sehen HO-Firewall als DHCP-Server und BO-Firewall als Relay-Agent.

Sehen Senden Sie DHCP-Verkehr über richtlinienbasiertes IPsec-VPN an Server.
Gleiche Subnetze auf der lokalen und Remote-Firewall
  1. Statische, SD-WAN- und dynamische Routen
  2. DNAT-Regel und SNAT-Regel
Sehen NAT mit routenbasiertem IPsec, wenn lokale und Remote-Subnetze identisch sind.
  1. VPN-Route im Backend
  2. NAT-Einstellung in der IPsec-Konfiguration
Sehen NAT mit richtlinienbasiertem IPsec, wenn lokale und Remote-Subnetze identisch sind.
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung