Routing und NAT für IPsec-Tunnel
Die Firewall bietet verschiedene Routing- und Network Address Translation (NAT)-Konfigurationen für IPsec VPN.
Wählen Sie den Konfigurationstyp basierend auf Ihrer IPsec-Verbindung und dem Datenverkehr, den Sie durch den Tunnel senden möchten.
Routing-Konfigurationen
NAT-Regeln ändern nicht die Routing-Entscheidung der Firewall. Die Firewall benötigt eine Route zum Ziel.
Sie können die Route mit einer der folgenden Konfigurationen angeben:
- VPN-Routen: Die Firewall erstellt diese Routen automatisch im Backend für richtlinienbasierte IPsec-Verbindungen.
- Statische, SD-WAN- und dynamische Routen.
- Der
ipsec_route
Befehl auf der CLI.
Die in der CLI festgelegte Routing-Priorität bestimmt, welche Art von Route die Firewall zuerst zuordnen möchte. Siehe Routenplanung.
NAT-Konfigurationen
Sie können NAT mit einer der folgenden Konfigurationen konfigurieren:
- IPsec-Verbindungen: Dazu gehören NAT-Einstellungen.
- NAT-Regeln.
- Der
sys-traffic-nat
Befehl in der CLI: Sie müssen diesen Befehl für systemgenerierten Datenverkehr verwenden. Es handelt sich um den von der Firewall selbst generierten Datenverkehr, z. B. Authentifizierung und DHCP.
Anwendungsfälle
Notiz
Sie müssen sowohl Routing- als auch NAT-Konfigurationen hinzufügen, um den in der Tabelle angezeigten Datenverkehr durch einen IPsec-Tunnel zu senden.
In der folgenden Tabelle finden Sie die Routing- und NAT-Konfigurationstypen, die Sie hinzufügen müssen:
Routenbasiertes VPN (von jedem zu jedem Subnetz) | Richtlinienbasiertes VPN | |
---|---|---|
Datenverkehr zu einem Host durch vorhandenen IPsec-Tunnel |
|
|
Vom System generierter Verkehr: Authentifizierung |
|
|
Vom System generierter Verkehr: DHCP-Relay | Derzeit sendet die Firewall keine DHCP-Relay-Informationen über routenbasierte VPNs. |
Sehen Senden Sie DHCP-Verkehr über richtlinienbasiertes IPsec-VPN an Server. |
Gleiche Subnetze auf der lokalen und Remote-Firewall |
|
|