NAT über eine Standort-zu-Standort-IPsec-VPN-Verbindung konfigurieren

Einleitung

Wie man NAT über ein IPsec-VPN konfiguriert, um zwischen lokalen Subnetzen hinter jeder XG Firewall zu unterscheiden, wenn sich die lokalen Subnetze überlappen.

Themen:

  • XG Firewall 1 konfigurieren.
  • XG Firewall 2 konfigurieren.
  • IPsec-Verbindung herstellen.
  • Verkehrsfluss bestätigen.
  • Weitere Informationen.

Alle Konfigurationsdetails basieren auf dem Netzwerk in der Abbildung unten.


Diagramm des Standort-zu-Standort-IPsec-NAT-Netzwerks

XG Firewall 1 konfigurieren

Konfigurieren Sie die erste XG Firewall so, dass NAT-Datenverkehr über die Standort-zu-Standort-Verbindung übersetzt wird.

  1. Gehen Sie zu Hosts und Dienste > IP-Host, wählen Sie Hinzufügen aus und erstellen Sie das lokale LAN.

    Konfiguration des lokalen LAN-IP-Hosts XG Eins
  2. Gehen Sie zu Hosts und Dienste > IP-Host, wählen Sie Hinzufügen aus und erstellen Sie das lokale NAT-übersetzte LAN.

    Konfiguration des lokalen, mit NAT übersetzten LAN-IP-Hosts XG Eins
  3. Gehen Sie zu Hosts und Dienste > IP-Host, wählen Sie Hinzufügen aus und erstellen Sie das entfernte, mit NAT übersetzte LAN.

    Entfernte, mit NAT übersetzte LAN-IP-Hostkonfiguration XG Eins
  4. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
  5. Konfigurieren Sie die IPsec-Verbindung mithilfe der folgenden Parameter:

    XG Eins IPsec-Konfiguration
  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf die Statusanzeige (Inaktiv-Statusanzeige), um die Verbindung zu aktivieren.

    XG Eins IPsec-Verbindung aktivieren
  8. Gehen Sie zu Regeln und Richtlinien > Firewallregeln und klicken Sie auf Firewallregel hinzufügen.
  9. Erstellen Sie zwei Regeln, wie unten gezeigt:

    Eine Regel, die eingehenden Datenverkehr zulässt.


    Eingehende Firewallregel XG Eins

    Eine Regel, die ausgehenden Datenverkehr zulässt.


    Ausgehende Firewallregel XG Eins
    Anmerkung Stellen Sie sicher, dass die VPN-Regeln der Firewall ganz oben in der Liste der Firewallregeln stehen.

XG Firewall 2 konfigurieren

Konfigurieren Sie die zweite XG Firewall so, dass NAT-Datenverkehr über die Standort-zu-Standort-Verbindung übersetzt wird.

  1. Gehen Sie zu Hosts und Dienste > IP-Host, wählen Sie Hinzufügen aus und erstellen Sie das lokale LAN.

    Konfiguration des lokalen LAN-IP-Hosts XG Zwei
  2. Gehen Sie zu Hosts und Dienste > IP-Host, wählen Sie Hinzufügen aus und erstellen Sie das lokale NAT-übersetzte LAN.

    Konfiguration des lokalen, mit NAT übersetzten LAN-IP-Hosts XG Zwei
  3. Gehen Sie zu Hosts und Dienste > IP-Host, wählen Sie Hinzufügen aus und erstellen Sie das entfernte, mit NAT übersetzte LAN.

    Entfernte, mit NAT übersetzte LAN-IP-Hostkonfiguration XG Zwei
  4. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
  5. Konfigurieren Sie die IPsec-Verbindung mithilfe der folgenden Parameter:

    XG Zwei IPsec-Konfiguration
  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf die Statusanzeige (Inaktiv-Statusanzeige), um die Verbindung zu aktivieren.

    XG Zwei IPsec-Verbindung aktivieren
  8. Gehen Sie zu Regeln und Richtlinien > Firewallregeln und klicken Sie auf Firewallregel hinzufügen.
  9. Erstellen Sie zwei Regeln, wie unten gezeigt:

    Eine Regel, die eingehenden Datenverkehr zulässt.


    Eingehende Firewallregel XG Zwei

    Eine Regel, die ausgehenden Datenverkehr zulässt.


    Ausgehende Firewallregel XG Zwei
    Anmerkung Stellen Sie sicher, dass die VPN-Regeln der Firewall ganz oben in der Liste der Firewallregeln stehen.

IPsec-Verbindung herstellen

Sobald beide XG Firewall Appliances an der Zentrale und der Zweigstelle konfiguriert sind, müssen Sie die IPsec-Verbindung herstellen.

  1. Gehen Sie zu VPN > IPsec-Verbindungen.
  2. Klicken Sie auf die Statusanzeige (Inaktiv-Statusanzeige), um die Verbindung zu aktivieren.

    Aktive IPsec-Verbindung
    Die Anzeige wird grün, wenn die Verbindung aufgebaut ist.

    IPsec-Verbindung hergestellt

Verkehrsfluss bestätigen

  1. Erzeugen Sie Datenverkehr über die VPN-Verbindung.
  2. Gehen Sie zu Regeln und Richtlinien > Firewallregeln.
  3. Überprüfen Sie, ob die zuvor erstellten Firewallregeln den Datenverkehr in beide Richtungen zulassen.

    Bestätigen, dass die Firewallregeln Datenverkehr zulassen
  4. Gehen Sie zu Berichte > VPN und bestätigen Sie die IPsec-Verwendung.

    IPsec-Berichtsverkehr
  5. Klicken Sie auf den Verbindungsnamen, um weitere Details anzuzeigen.

    IPsec-Bericht: Verbindungsinformationen

Weitere Informationen

In einer Konfiguration mit Zentrale und Zweigstelle initiiert die XG Firewall in der Zweigstelle den Tunnel und die XG Firewall in der Zentrale antwortet aus den folgenden Gründen:

  • Wenn die Zweigstellen-Appliance mit einer dynamischen IP-Adresse konfiguriert ist, kann die Appliance in der Zentrale die Verbindung nicht initiieren.
  • Da die Anzahl der Zweigstellen variiert, empfehlen wir, dass jede Zweigstelle selbst versucht sich zu verbinden, anstatt dass die Zentrale versucht, sich mit allen Zweigstellen zu verbinden.

Das Beispielszenario in dieser Anleitung zeigt ein 1:1 NAT. Je nach Netzwerkanforderungen ist es auch möglich, ein 1:n NAT (SNAT) oder ein Full NAT zu konfigurieren.