Маршрутизация VPN-трафика, когда клиент VPN находится за NAT-роутером и имеет "серый" IP-адрес

Как настроить маршрутизацию VPN-трафика, когда удаленный офис, к локальной сети которого требуется настроить доступ, находится за NAT-роутером провайдера и имеет "серый" IP-адрес?


Если удаленный офис, к локальной сети которого требуется настроить доступ, находится за NAT-роутером (маршрутизатором) провайдера и имеет "серый" (локальный) IP-адрес, то доступ к его локальной сети можно осуществлять только через VPN-туннель.


Рассмотрим пример. Здесь будет показано, как, установив VPN-туннель до шлюза центрального офиса, можно, подключаясь другими аппаратными VPN-шлюзами или программным VPN-клиентом, получить через Интернет доступ к локальной сети удаленного офиса, которая находится за NAT-роутером провайдера.


Задача: Удаленному клиенту, на компьютере которого установлен программный VPN-клиент, обеспечить доступ к локальным сетям центрального и удаленного офисов. При этом удаленный офис подключен к Интернету через NAT-роутер провайдера и имеет "серый" (локальный) IP-адрес.


Схема подключения:



Приведенная в нашем примере схема является масштабируемой. Можно объединить локальные сети удаленных офисов, которые находятся за NAT-роутерами провайдера и имеют "серые" (частные) IP-адреса, не имея при этом "белых" глобальных IP-адресов.
Используя программный VPN-клиент (например, ZyWALL IPSec VPN Client) можно через Интернет получить доступ к удаленной локальной сети с любого подключения, не блокирующего IPSec-порты и протоколы (500 и ESP или 500+4500).


Настройка аппаратного шлюза ZyWALL 2 Plus


Провайдером для доступа в Интернет был предоставлен "серый" (локальный) IP-адрес (в нашем примере IP-адрес 10.0.1.2). На ZyWALL 2 Plus установлен WAN IP-адрес 10.0.1.2 и прописана LAN-подсеть 192.168.1.0/24.



Перейдем к настройке IPSec VPN-туннеля между двумя аппаратными шлюзами ZyWALL 2 Plus и ZyWALL 35 для создания подключения между удаленным и центральным офисами.


В меню VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создайте политику шлюза для создаваемого VPN-туннеля.
В поле Name впишите название политики (например, "test"). Так как глобальный IP-адрес, через который ZyWALL 2 Plus будет осуществлять выход в Интернет, неизвестен, то в поле My Address укажите 0.0.0.0.  В поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере указан IP-адрес 10.0.0.2, а в действительности это будет глобальный IP-адрес на WAN-порту аппаратного шлюза ZyWALL 35).
В поле Pre-Shared Key укажите предварительно согласованный ключ, который должен совпадать на обеих сторонах VPN-туннеля. В разделе IKE Proposal значения параметров установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится. Нажмите Apply для сохранения настроек.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создайте правило для установки защищенного VPN-туннеля между двумя ZyWALL’ами.
Включите правило (установите галочку в поле Active) и в поле Name введите название VPN-правила (например, "testloc"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере "test"). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.1.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите значение Range Address, в поле Starting IP Address - 192.168.1.1 и в поле Ending IP Address - 192.168.3.1 (указываем диапазон объединяемых локальных подсетей).
В разделе IPSec Proposal нужно установить Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также указать используемые алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном ZyWALL. Нажмите Apply для сохранения настроек.



В меню VPN - Global Setting в поле Local and Remote IP Address Conflict Resolution укажите значение The Local Network для отправки локального трафика в локальную сеть, в случае когда адрес назначения принадлежит к локальной и удаленной сети.



Настройка аппаратного шлюза ZyWALL 35


В нашем примере на ZyWALL 35 указан WAN IP-адрес 10.0.0.2 (в действительности это будет глобальный IP-адрес) и прописана LAN-подсеть 192.168.2.0/24.



Настроим VPN-туннель между двумя аппаратными шлюзами ZyWALL 35 и ZyWALL 2 Plus для создания подключения между центральным и удаленным офисами. 


В меню VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создайте политику шлюза для создаваемого VPN-туннеля.
В поле Name впишите название политики (например, "test"). В нашем примере создадим динамический VPN-туннель, т.к. IP-адреса VPN-клиентов, подключающихся к сети центрального офиса заранее неизвестны и могут постоянно меняться. В поле My Address укажите 0.0.0.0 (или глобальный WAN IP-адрес), в поле Primary Remote Gateway также укажите в качестве IP-адреса удаленного шлюза 0.0.0.0.
В поле Pre-Shared Key укажите предварительно согласованный ключ, который должен совпадать на обеих сторонах VPN-туннеля. В разделе IKE Proposal значения установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится. Нажмите Apply для сохранения настроек.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создайте правило для установки защищенного VPN-туннеля между двумя ZyWALL’ами.
Включите правило (установите галочку в поле Active) и в поле Name введите название VPN-правила (например, "testLoc"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере "test"). В разделе Local Network в поле Address Type укажите Range Address, в поле Starting IP Address - 192.168.1.1, Ending IP Address - 192.168.3.1 (диапазон объединяемых локальных сетей). В разделе Remote Network в поле Address Type установите Single Address, а в поле Starting IP Address значение 0.0.0.0.
В разделе IPSec Proposal нужно установить Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также указать используемые алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном ZyWALL. Нажмите Apply для сохранения настроек.



В меню VPN - Global Setting в поле Local and Remote IP Address Conflict Resolution укажите значение The Remote Network (via VPN Tunnel) для отправки трафика в удаленную подсеть (через VPN-туннель), в случае когда адрес назначения принадлежит к локальной и удаленной сети.



Настройка программного клиента ZyWALL VPN Client


При использовании данного ПО настройки VPN-туннеля с ZyWALL во много раз проще по сравнению со встроенными средствами Windows. Рассмотрим пример установки VPN-туннеля между компьютером с установленным на нем ZyWALL IPSec VPN Client и аппаратным шлюзом ZyWALL 35.


Запустите ZyWALL VPN Client и выберите Root для создания настроек туннеля VPN с ZyWALL.


Сначала создайте Новую Фазу 1 и затем выполните настройки в разделе Фаза 1 (Аутентификация). В поле Интерфейс выберите значение Любой, а в поле Удаленный шлюз укажите IP-адрес удаленного устройства, с которым будет установлен туннель VPN (в нашем примере указан IP-адрес 10.0.0.2, а в действительности это будет глобальный IP-адрес на WAN-порту шлюза ZyWALL 35). В поле ключ PSK укажите предварительно согласованный ключ и в поле Подтвердите еще раз введите ключ.
Для настроек Фазы 1 в разделе IKE укажите алгоритм кодирования, метод аутентификации и ключ группы. При необходимости для настроек дополнительных параметров Фазы 1 нажмите кнопку Ф1 Дополнительно...
Обязательно нажмите кнопку Сохранить & Применить для сохранения настроек.



Добавьте Фазу 2 и затем выполните настройки в разделе Фаза 2 (Конфигурация IPSec). В поле Адрес VPN клиента укажите IP-адрес компьютера на котором установлен ZyWALL VPN Client (в нашем примере указан IP-адрес 192.168.3.1). В поле Тип адреса выберите Область адресов (Range Address) и укажите диапазон объединяемых подсетей. В нашем примере указан Начальный адрес: 192.168.1.1 и Конечный адрес: 192.168.3.1.
В разделе ESP укажите алгоритм кодирования, метод аутентификации и режим работы. При необходимости, для настроек дополнительных параметров Фазы 2 нажмите кнопку Ф2 Дополнительно...
Обязательно нажмите кнопку Сохранить & Применить для сохранения настроек.



Нажмите кнопку Открыть Туннель для построения IPSec VPN-туннеля.

Обращаем ваше внимание, что значения параметров в настройках Фаза 1 (Phase 1) и Фаза 2 (Phase 2) должны совпадать с аналогичными настройками на другой стороне VPN-туннеля (в данном случае на ZyWALL 35), в противном случае VPN-соединение не установится.

C компьютера, на котором установлен ZyWALL VPN Client, выполним пинг компьютеров, находящихся в локальных сетях удаленного (192.168.1.0/24) и центрального офисов (192.168.2.0/24).



Мы видим, что маршрутизация VPN-трафика работает успешно и возможен доступ через Интернет (через VPN) к удаленной локальной сети, находящейся за NAT-роутером провайдера и имеющей при этом для доступа в Интернет "серый" IP-адрес.

KB-2059

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 2

Комментарии

0 комментариев