Как да приложите NAT през Site-to-Site IPsec VPN връзка?

Тази статия описва стъпките за конфигурация на NAT през IPsec VPN, с цел разграничаване локалните подмрежи зад всяка защитна стена Sophos XG, в случаи когато тези локални подмрежи се припокриват. 

Отнася се за следните продукти и версии на Sophos  
Sophos Firewall 

Open

Конфигурация на защитна стена Sophos 1 

Добавяне на локална и дистанционна LAN мрежа

Отворете секцията Hosts and Services → IP Host и изберете Add, за да създадете локална LAN мрежа

Open

Отворете секцията Hosts and Services → IP Host и изберете Add, за да създадете локална NAT мрежа

Отворете секцията Hosts and Services → IP Host и изберте Add, за да създадете отдалечна NAT мрежa

Създаване на IPsec VPN връзка

Отворете секциятаа VPN → IPsec Connections и изберете Add. Създайте връзка със следните параметри: 

След като изберете Save, ще се появи прозорец, показващ създадената връзка.

Натиснете под  Status (Active), за да активириате връзката 

Добавяне на две правила към защитната стена, позволяващи VPN трафик 

Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте две потребителски/мрежови правила, както е показано тук

Конфигурация на защитна стена Sophos 2 

Добавяне на локална и дистанционна LAN мрежа

Отворете секцията Hosts and Services → IP Host и изберете Add, за да създадете локална LAN мрежа

Отворете секцията Hosts and Services → IP Host и изберете Add, за да създадете локална NAT мрежа

Отворете секцията Hosts and Services → IP Host и изберте Add, за да създадете отдалечна NAT мрежa

Създайте  IPsec VPN връзка 

Отворете секциятаа VPN → IPsec Connections и изберете Add. Създайте връзка със следните параметри: 

След като изберете Save, ще се появи прозорец, показващ създадената връзка.

Натиснете под  Status (Active), за да активирате връзката 

Добавяне на две правила към защитната стена, позволяващи VPN трафик 

Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте две потребителски/мрежови правила, както е показано тук

Установяване на IPsec връзката

След като успешно са конфигурирани двете устройства (защитни стени Sophos 1 и Sophos 2) , установете IPsec връзката между тях.

Отворете секцията VPN → IPsec Connections и кликнете под Status (Connection)

Резултати  

Генерирайте някакъв трафик, след което отворете секцията Firewall и проверете дали VPN правилата пропускат входящ и изходящ трафик.

 Отворете секцията Reports > VPN и потвърдете че IPsec връзката се ползва  

Кликнете върху името на връзката за повече детайли 

 Бележка: 

• Уверете се,че VPN правилата на защитната стена са в горната част на списъка с правила на защитната стена (Firewall Rule list) 

• В конфигурациите на главния офис и клон-офиса, защитната стена Sophos в клон-офиса обикновено действа като инциатор на тунела, а защитната стена Sophos в главния офис като отговорник поради следните причини: 
  Когато устройството в клон офиса е конфигурирано с динамичен IP адрес, устройството на главния офис не може да инициира връзката. 
  Тъй като броя на клон-офисите варира, препоръчително е всеки клон отново да се опита да се свърже с главния офис, вместо той да прави опити, пробвайки всички връзки към клон-офисите.

• В тази статия, описаният сценарий показва NAT 1:1. В зависимост от изискванията на мрежата може да се конфигурира 1:n NAT (SNAT) или Full NAT.

Ръководство на английски език: Sophos XG Firewall: How to apply NAT over a Site-to-Site IPsec VPN connection

Related articles