带/不带 NAT 的 IPSec 站点到站点

网络工程 虚拟专用网 网络安全 拓扑
2021-07-04 10:03:55

我正在通过 IPSec 将我的办公室连接到客户的网络。我需要直接连接到他们网络上的内部 IP;他们不需要连接到我内部网络上的任何服务。我宁愿不向对方透露我的办公网络,建议使用 NAT。(所有IP都是假的。)

     -----------
  --/           \--          +--------------+
 /                 \     /---+              |
(   11.11.11.0/16   )----    | 11.11.11.1   |
 \                 /         +------==------+
  --\           /--              === 
     -----------              ===             MY OFFICE
     CLIENT        Internet ==              -----------
                         ===             --/           \--
                      ===               /                 \
             +------==-------+      /--(    10.1.1.0/24    )
             |               |  /---    \                 /
             | 22.22.22.1/30 +--  NAT    --\           /--
             +---------------+              -----------

为此,似乎我可以从(比如)10.1.1.23 连接到 11.11.11.45,但仍然是“11”。网络看到来自 22.22.22.1 的所有连接。我有一个单地址静态子网 (22.22.22.1/30),所以我相信我可以将我的加密域设置为 22.22.22.0/30 并在我端使用 NAT。(远端没有使用 NAT。)

我从https://networkengineering.stackexchange.com/a/45107/43748 的理解是 NAT 对它有轻微的惩罚(并不奇怪),但它并没有说它不能完成。https://networkengineering.stackexchange.com/a/41503建议 NAT 可用于解决子网范围重叠的问题。两者(和其他人)都告诉我站点到站点配置中的 NAT 可以正常工作。

但是远程管理员“坚持”他们必须知道我的办公室内部子网才能正常运行。我认为他们需要知道我的加密域是 22.22.22.0/30,加密网关 22.22.22.1,没有定义内部网络。

我对这个网络拓扑有什么误解?

(具体型号,如果重要的话:我的端 CheckPoint-790;远程端是 Cisco ASA 或 SonicWall,具体取决于客户端。)

1个回答

如果一个站点的内部地址空间为 11.11.0.0/16,而另一个站点的内部地址空间为 10.1.1.0/24,那么从技术上讲,您在 VPN 隧道的任一侧都没有重叠网络

如果您希望 11.11.0.0/16 网络直接与 10.1.1.0/24 网络通话,那么您不需要任何类型的 NAT。

如果您希望 11.11.0.0/16 网络与另一个网络通信,但要将另一个网络转换为 10.1.1.0/24,那么您需要设置一个Policy NAT

例如,如果您想将 10.1.1.0/24 网络隐藏为 22.1.1.0/24 网络,您可以在 10.1.1.0/24网络上的路由器/防火墙设置一个策略 NAT,它本质上说:

当 10.1.1.0/24 与 11.11.0.0/16 通话时,将 10.1.1.0/24 网络转换为 22.1.1.0/24。

如果您希望 10.1.1.0/24 中的每个 IP 映射到 22.1.1.0/24 网络中唯一的某些内容,您可以使用静态 NAT或者,如果您希望整个 10.1.1.0/24 网络显示为单个地址(又名 22.1.1.200),则可以使用动态 PAT

无论哪种方式,另一方只需要了解 22.1.1.x 网络——他们不必了解您的内部 10.1.1.0/24 网络。

其它你可能感兴趣的问题
上一篇OSPFv3(较新的命令)在 Cisco Packet Tracer 中不起作用 下一篇跨不同交换机的中继使得