(!) Virtual Address Mapping (NAT over IPSec) в ZyWALL 5/35/70

Что такое функция Virtual Address Mapping или NAT over IPSec в ZyWALL 5/35/70?

Начиная с версии микропрограммы 4.03 для аппаратных шлюзов ZyWALL 5/35/70 появилась поддержка функции Virtual Address Mapping или NAT over IPsec. Использование этой функции позволяет маскировать локальную (Private) подсеть, т.е. менять IP-адреса источника в пакете приходящих с устройств вашей локальной сети на виртуальные (Virtual) IP-адреса и затем их отправлять через VPN-туннель. Virtual Address Mapping служит для предотвращения конфликтов IP-адресов, в случае если по обе стороны VPN-туннеля находятся одинаковые подсети. Таким образом, можно избежать перекрытия локальных и удаленных сетевых IP-адресов.

Ниже показан пример использования Virtual Address Mapping. Вы можете установить Virtual Address Mapping на обоих IPSec-маршрутизаторах, что позволит компьютерам сети X и сети Y иметь доступ к компьютерам удаленной сети (за VPN-туннелем), при том что эти компьютеры имеют одинаковые IP-адреса.



• ZyWALL A будет менять в пакетах IP-адреса источников из локальной сети X (192.168.1.2 - 192.168.1.4) на виртуальные IP-адреса 10.0.0.2 - 10.0.0.4 перед отправкой их через VPN-туннель.
• ZyWALL B будет менять в пакетах IP-адреса источников из локальной сети Y (192.168.1.2 - 192.168.1.27) на виртуальные IP-адреса 172.21.2.2 - 172.21.2.27 перед отправкой их через VPN-туннель. 
• На ZyWALL A в настройках удаленной сети (Remote Network) нужно установить 172.21.2.2 - 172.21.2.27. 
• На ZyWALL B в настройках удаленной сети (Remote Network) нужно установить 10.0.0.2 - 10.0.0.4.


Настройка Virtual Address Mapping


Настройку функции Virtual Address Mapping (NAT over IPSec) нужно выполнять в меню SECURITY > VPN > VPN Rules (IKE) > Edit Network Policy.



В поле Type выберите One-to-One для преобразования одного статического IP-адреса вашей локальной сети на один виртуальный IP-адрес.
Выберите Many-to-One для преобразования диапазона статических IP-адресов вашей локальной сети на один виртуальный IP-адрес. Правило Many-to-Оne применяется для исходящего трафика вашей локальной сети, который направляется через VPN-туннель в удаленную сеть. Настройте правила перенаправления портов (Port Forwarding Rules), для того чтобы разрешить входящий трафик из удаленной сети. Настройка правил Port Forwarding позволит ZyWALL'у перенаправлять трафик, приходящий через VPN-туннель, на определенный IP-адрес. 
Выберите Many One-to-One для преобразования диапазона статических IP-адресов вашей локальной сети на диапазон виртуальных IP-адресов.


Примечание: Для работы функции Virtual Address Mapping (NAT over IPSec) необходимо, чтобы в ZyWALL на WAN-порту был включен NAT.

 

KB-1564

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0