(!) Использование IPSec через NAT в ZyWALL 5/35/70

Как мне настроить VPN-туннель между двумя ZyWALL'ами, если между ними находится маршрутизатор с трансляцией IP-адресов (NAT)?

Имеется следующая схема сети:



Ниже приведены рекомендации по настройке VPN-туннеля, в случае если на пути туннеля находится маршрутизатор с включенным на нем NAT.


1. VPN vs. NAT 

Поскольку на пути туннеля находится маршрутизатор с NAT, то для его построения нужно использовать протокол ESP и туннельный режим (Tunnel). Транспортный режим, как и протокол AH, в данном случае использовать нельзя.


2. Настройка маршрутизатора с NAT для пересылки VPN-соединения 

Если  ZyWALL A отвечающий (отвечает на инициализацию VPN-соединения), то вам нужно настроить маршрутизатор с NAT для пересылки входящего VPN-соединения до ZyWALL A.
Маршрутизатор должен пропускать через себя IP-пакеты. Если используется маршрутизатор ZyXEL, то в таблице SUA/NAT настройте сервер по умолчанию (Default Server) прописав IP-адрес ZyWALL A.


3. Настройки IP в правилах VPN 

Значение полей Address Type должны совпадать на обоих ZyWALL'ах.


Address Type может принимать 3 значения: Одиночный (Single), Подсеть (Subnet) и Диапазон (Range). 

Приведем краткие настройки протокола IPSec в ZyWALL:

Для ZyWALL A:

My IP Address = IP-адрес WAN-порта ZyWALL'а A
Secure Gateway = глобальный IP-адрес ZyWALL'а B 

Для  ZyWALL B:

My IP Address = глобальный IP-адрес ZyWALL'а B
Secure Gateway = IP-адрес WAN-порта маршрутизатора с NAT (введите 0.0.0.0 если используется динамический IP-адрес, при этом соединение должно быть инициализировано с ZyWALL A, но не с ZyWALL B).
При использовании динамического IP-адреса на WAN-порту VPN-туннель может быть установлен только со стороны ZyWALL'а A, но не состороны ZyWALL'а B.


В меню VPN > GATEWAY POLICY > Authentication Key в полях Local ID Type и Peer ID Type указать формат значения DNS или E-mail. На обоих устройствах необходимо в заданном формате указать любые значения, при этом Local ID на одном ZyWALL должен совпадать с Peer ID на другом.


4. Настройки IKE 

Все настройки IKE на обоих ZyWALL'ах должны совпадать.

KB-1434

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0