Branch Office VPN > 在整个 Branch Office VPN 隧道中使用 1-to-1 NAT

在整个 Branch Office VPN 隧道中使用 1-to-1 NAT

当您在使用同一专用 IP 地址范围的两个网络之间创建 Branch Office VPN (BOVPN) 隧道时,会出现 IP 地址冲突。 要创建没有冲突的隧道,则两个网络都必须对 VPN 应用 1-to-1 NAT。 1-to-1 NAT 可在流量流经 VPN 时,使计算机的 IP 地址显示得不同于其真实 IP 地址。

1-to-1 NAT 可将一个范围内的一个或多个 IP 地址映射到另一个同样大小的 IP 地址范围中。 第一个范围中的每个 IP 地址都映射到另一个范围中的另一个 IP 地址。 在本文档中,我们称第一个范围为真实 IP 地址,称第二个范围为伪装 IP 地址。 有关 1-to-1 NAT 的详细信息,请参阅关于 1-to-1 NAT

1-to-1 NAT 和 VPN

当您在 BOVPN 隧道上使用 1-to-1 NAT 时:

VPN 中的 1-to-1 NAT 仅影响通过该 VPN 的流量。 您在 Fireware XTM Web UI网络 > NAT 中看到的规则不会影响通过 VPN 的流量。

在 VPN 中使用 1-to-1 NAT 的其他原因

除了上述情况之外,当您希望与其建立 VPN 的网络已经与另一个网络建立了 VPN,且另一个网络与您的网络使用同一专用 IP 地址时,您也可以在 VPN 上使用 1-to-1 NAT。 当两个不同的远程网络使用同一专用 IP 地址时,IPSec 设备便无法向这两个网络路由流量。 您可以在 VPN 中使用 1-to-1 NAT,以便您网络中的计算机显示出另外的(伪装)IP 地址。 但是与本主题最开始所描述的情况不同的是,您只需要在自己这一端的 VPN 中使用 NAT,而不需要在两端都使用 NAT。

当两个远程机构使用同一专用 IP 地址,且这两个机构都希望与您的 Firebox 建立 VPN 时也存在类似情况。 在这种情况下,其中一个远程机构必须在其通向您 Firebox 的 VPN 中使用 NAT,以解决 IP 地址冲突。

使用 NAT 之外的备选方案

如果您的机构使用 192.168.0.x 或 192.168.1.x 等常见的专用 IP 地址范围,您在将来非常有可能会遇到 IP 地址冲突问题。 宽带路由器和其他家庭及小型机构的电子设备都经常使用这些 IP 地址范围。 您应当考虑将地址范围更改为相对不常见的专用 IP 地址范围,例如 10.x.x.x 或 172.16.x.x。

如何设置 VPN

  1. 选择当流量从您的网络经过 BOVPN 前往远程网络时,您的计算机显示为源 IP 地址的 IP 地址范围。 与网络管理员就其他网络进行协商,以选择未使用的 IP 地址范围。 请不要使用来自以下项的任何 IP 地址: 
  1. 配置网关
  2. 在网关端点之间创建隧道。 在每个 XTM 设备的隧道路由设置对话框中,选中 1:1 NAT 复选框,并在相邻的文本框中输入其伪装 IP 地址范围。

此文本框中的 IP 地址数字必须与对话框顶部本地文本框中的 IP 地址数字完全相同。 例如,如果您使用斜线记法来表示子网,则两个文本框中斜线后面的值必须完全一样。 有关详细信息,请参阅关于 斜线记法

您不需要在 Fireware XTM Web UI网络 > NAT 设置中定义任何设置。  这些设置不会影响 VPN 流量。

示例

假设站点 A 和站点 B 两家公司希望在双方的可信任网络之间建立 Branch Office VPN。 两家公司都使用拥有 Fireware XTM 的 WatchGuard XTM 设备。 两家公司为其可信任网络使用相同的 IP 地址:192.168.1.0/24。 两家公司的 XTM 设备使用通过 VPN 的 1-to-1 NAT。 站点 A 向站点 B 的伪装地址范围发送流量,且该流量从站点 A 的本地子网流出。 而站点 B 也向站点 A 使用的伪装地址范围发送流量。 本解决方案解决了双方网络间的 IP 地址冲突。 两家公司同意:

在每台 XTM 设备上定义分支机构网关

第一步是创建能够标识远程 IPSec 设备的网关。 当您创建网关后,它将显示在 Fireware XTM Web UI 的网关列表中。 要从 Fireware XTM Web UI 中查看网关列表,请选择 VPN > Branch Office VPN

配置本地隧道

  1. 选择 VPN > Branch Office VPN
    将显示分支机构 VPN 页面。
  1. BOVPN 页面的隧道部分中单击添加
    将显示隧道设置页面。
  1. 为隧道输入描述性名称。 示例中所用名称为“TunnelTo_SiteB”。
  2. 网关下拉列表中选择指向远程机构 IPSec 设备的网关。 示例所用的网关为“SiteB”。
  3. 选择第 2 阶段设置选项卡。 确保第 2 阶段设置与远程机构为第 2 阶段所使用的设置相匹配。
  4. 选择地址选项卡。 单击添加以添加本地-远程对。
    此时将显示隧道路由设置对话框。
  1. 本地 IP 部分中,从选择类型下拉列表中选择网络 IP。  在网络 IP 文本框中,输入使用此 VPN 的本地计算机的真实 IP 地址范围。 本示例使用 192.168.1.0/24。
  2. 远程部分中,从选择类型下拉列表中选择网络 IP。 在网络 IP 文本框中,输入本地计算机向其发送流量的专用 IP 地址范围。 

在本示例中,远程机构站点 B 在 VPN 中使用 1-to-1 NAT。 这使站点 B 的计算机显示为来自站点 B 的伪装范围 192.168.200.0/24。 站点 A 的本地计算机向站点 B 的伪装 IP 地址范围发送流量。 如果远程网络不在 VPN 中使用 NAT,请在远程文本框中输入真实 IP 地址范围。

  1. 选择 NAT 选项卡。 选中 1-to-1 NAT 复选框,并输入本机构的伪装 IP 地址范围。 该 IP 地址范围就是受 Firebox 保护的计算机在从此 Firebox 向 VPN 的另一端发送流量时,显示为源 IP 地址的地址范围。 (在地址选项卡上的本地文本框中输入有效的主机 IP 地址、网络 IP 地址或主机 IP 地址范围后,即可启用 1:1 NAT 复选框。) 站点 A 使用 192.168.100.0/24 作为其伪装 IP 地址范围。
  1. 单击确定。 设备将添加新的隧道到 BOVPN-Allow.out 和 BOVPN-Allow.in 策略中。

如果您只需要在您这一端的 VPN 中使用 1-to-1 NAT,您的操作就完成了。 VPN 另一端的设备必须配置其 VPN,以接受来自您的伪装地址范围的流量。

配置远程隧道

  1. 遵循之前过程中的步骤 1-6 以在远程 XTM 设备上添加隧道。 确保第 2 阶段的设置匹配。
  2. 本地 IP 部分中,从选择类型下拉列表中选择网络 IP。  在网络 IP 文本框中,输入使用此 VPN 的本地计算机的真实 IP 地址范围。  本示例使用 192.168.1.0/24。
  3. 本地 IP 部分中,从选择类型下拉列表中选择网络 IP。  在网络 IP 文本框中,输入远程机构计算机向其发送流量的专用 IP 地址范围。 在我们提供的示例中,站点 A 在 VPN 中应用 1-to-1 NAT, 这使站点 A 的计算机显示为来自其伪装范围 192.168.100.0/24。 站点 B 的本地计算机向站点 A 的伪装 IP 地址范围发送流量。
  1. 选择 NAT选项卡。 选中 1-to-1 NAT 复选框,并输入本站点的伪装 IP 地址范围。 该 IP 地址范围就是 Firebox 的计算机在从该 Firebox 向 VPN 另一端发送流量时,显示为源 IP 地址的地址范围。 站点 B 使用 192.168.200.0/24 作为其伪装 IP 地址范围。
  1. 单击确定。 Firebox 将新隧道添加到 BOVPN-Allow.out 和 BOVPN-Allow.in 策略中。

请参阅

关于 1-to-1 NAT

关于手动分支机构 VPN 隧道

提供反馈  •   获得支持  •   全部产品文件  •   知识库