(!) Пример использования NAT over IPSec в ZyWALL USG

Имеется IPSec VPN-туннель между аппаратным шлюзом ZyWALL UTM и ZyWALL USG. Как настроить NAT over IPSec в аппаратном шлюзе ZyWALL USG для направления трафика в VPN-туннель из разных локальных подсетей?


При создании IPSec-туннеля между аппаратными шлюзами серии ZyWALL UTM (ZyWALL 2Plus/2WG/5/35/70W) и шлюзами безопасности ZyWALL USG можно использовать гибкие настройки NAT на ZyWALL USG для решения задачи доступа через VPN-туннель до удаленных подсетей с разными локальными диапазонами.

Приведем пример.
Настройки в данной статье приведены для следующей топологии сети:



ZyWALL 2 Plus: LAN IP - 192.168.1.1; WAN IP - 10.0.0.1
ZyWALL USG 20: LAN IP - 172.16.1.1; WAN IP - 10.0.0.2
В локальной подсети за ZyWALL USG 20 находится роутер для маршрутизации подсетей 172.16.1.0/24 и 192.168.8.0/24.
Router: LAN IP - 192.168.8.1; WAN IP - 172.16.1.100


Задача состоит в том, чтобы через IPSec VPN-туннель между шлюзами, не объединяя в один диапазон подсети 172.16.1.0/24 и 192.168.8.0/24, получить доступ из подсети 192.168.8.0/24 в подсеть за ZyWALL 2 Plus 192.168.1.0/24 и наоборот.


Решается данная задача настройкой Outbound Traffic Source NAT для доступа из подсети 192.168.8.0/24 в подсеть за ZyWALL 2 Plus 192.168.1.0/24.
Для доступа из подсети 192.168.1.0/24 на хосты из подсети 192.168.8.0/24 по виртуальным адресам из подсети 172.16.2.0/24 настраивается Inbound Traffic Destination NAT внутри VPN-туннеля.


Настройки ZyWALL USG 20


Настройки интерфейсов шлюза (меню Dashboard).



Настройка VPN-шлюза (меню Configuration > VPN > IPSec VPN > VPN Gateway).



Настройка VPN-подключения (меню Configuration > VPN > IPSec VPN > VPN Connection).



Обращаем ваше внимание на настройки раздела Inbound/Outbound traffic NAT.
Для доступа из подсети 192.168.8.0/24 в подсеть за ZyWALL 2 Plus 192.168.1.0/24 нужно настроить Source NAT.
Для доступа из подсети 192.168.1.0/24 на хосты из подсети за роутером 192.168.8.0/24 по виртуальным адресам из подсети 172.16.2.0/24 настраивается Destination NAT внутри VPN-туннеля. Правила в Destination NAT необходимо создавать для каждого IP-адреса (подсеть указать нельзя).


Настройка политики маршута (меню Configuration > Network > Routing > Policy Route).



Настройка статического маршрута (меню Configuration > Network > Routing > Static Route).



Настройки ZyWALL 2 Plus


Настройки интерфейсов шлюза (меню Home).



Настройки VPN-подключения (меню SECURITY > VPN).


KB-2177

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0