Configurer 1-to-1 NAT via un Tunnel Branch Office VPN

Lorsque vous créez un tunnel Branch Office VPN (BOVPN) entre deux réseaux utilisant la même plage d'adresses IP privées, il y a conflit d'adresses. Pour créer un tunnel sans conflit, les deux réseaux doivent appliquer une traduction d'adresses réseau 1-to-1 NAT au réseau VPN. Avec 1-to-1 NAT, les adresses IP de vos ordinateurs semblent différentes de leur véritable adresse lorsque le trafic transite par VPN.

Ce paramètre crée une correspondance entre une ou plusieurs adresses IP d'une plage et une autre plage d'adresses de même taille. À chaque adresse IP de la première plage correspond une adresse IP de la seconde plage. Dans cette rubrique, nous appelons la première plage les adresses IP réelles et la seconde plage les fausses adresses IP. Pour plus d'informations sur 1-to-1 NAT, consultez À propos de 1-to-1 NAT.

1-to-1 NAT et réseaux VPN

Quand vous utilisez 1-to-1 NAT via un tunnel BOVPN :

  • Quand un ordinateur de votre réseau envoie du trafic à un ordinateur du réseau distant, le Firebox remplace l'adresse IP source du trafic par une adresse IP de la plage des fausses adresses IP. Le réseau distant voit les fausses adresses IP comme source du trafic.
  • Quand un ordinateur du réseau distant envoie du trafic à un ordinateur de votre réseau par VPN, le bureau distant envoie les données à la plage de fausses adresses IP. Le Firebox remplace l'adresse IP de destination par la bonne adresse dans la plage des adresses IP réelles puis achemine les données vers leur destination prévue.

1-to-1 NAT via VPN affecte uniquement le trafic qui transite par ce réseau VPN. Les règles que vous voyez quand vous sélectionnez Réseau > NAT n'affectent pas le trafic passant par un VPN.

Dans Fireware v12.4 et versions ultérieures, dans les paramètres du portail VPN, si vous sélectionnez Adresses IPv6 comme famille d'adresses, les paramètres NAT ne sont pas disponibles dans la configuration de tunnel. Pour configurer un NAT 1-à-1 via un tunnel BOVPN, vous devez sélectionner Adresses IPv4 comme famille d'adresses.

Autres raisons d'utiliser 1-to-1 NAT via un réseau VPN

Vous pouvez aussi utiliser 1-to-1 NAT via un VPN lorsque le réseau auquel vous souhaitez vous relier par VPN dispose déjà d'un VPN vers un réseau ayant les mêmes adresses IP privées que celles de votre réseau. Un périphérique IPSec ne peut pas envoyer du trafic vers deux réseaux distants différents lorsque ces deux réseaux utilisent les mêmes adresses IP privées. Vous utilisez 1-to-1 NAT via VPN pour permettre aux ordinateurs de votre réseau de sembler avoir des adresses IP différentes (fausses). Toutefois, contrairement à la situation décrite au début de cette rubrique, la traduction d'adresses réseau (NAT) ne doit être utilisée que de votre extrémité du réseau VPN et non aux deux extrémités.

Une situation similaire existe lorsque deux bureaux distants utilisent les mêmes adresses IP privées et qu'ils veulent tous les deux ouvrir une liaison VPN avec votre Firebox. Dans ce cas, l'un des bureaux distants doit utiliser la traduction d'adresses réseau (NAT) pour établir le réseau VPN avec le Firebox afin de résoudre le conflit d'adresses IP.

Alternative à la Traduction d'Adresses Réseau (NAT)

Si votre bureau utilise une plage d'adresses IP privées courante (par exemple 192.168.0.x ou 192.168.1.x), il existe de fortes probabilités que vous soyez confrontés à des problèmes de conflits d'adresses IP à l'avenir. Ces plages d'adresses IP sont souvent utilisées par les routeurs large bande ou d'autres périphériques électroniques à domicile et dans les petits bureaux. Nous vous recommandons de la modifier pour une plage d'adresses IP privées moins courante (par exemple 10.x.x.x ou 172.16.x.x).

Configuration du réseau VPN

Ces étapes et l'exemple suivant concernent un Branch Office VPN qui n'est pas configuré comme interface virtuelle BOVPN. Pour une interface virtuelle BOVPN, vous configurez le 1-to-1 NAT de la même manière que pour une interface physique. Pour plus d'informations, consultez Configurer 1-to-1 NAT pour le Pare-feu.

  1. Sélectionnez une plage d'adresses IP que les ordinateurs utiliseront comme adresses IP source pour l'acheminement du trafic de votre réseau vers le réseau distant via BOVPN. Assurez-vous de consulter l'administrateur réseau de l'autre réseau pour sélectionner une plage d'adresses IP non utilisée.
    N'utilisez pas les adresses IP des réseaux suivants :
    • Le réseau approuvé, facultatif ou externe connecté à votre Firebox
    • Un réseau secondaire connecté à une interface approuvée, facultative ou externe de votre Firebox
    • Un réseau routé configuré dans votre stratégie de Firebox (Réseau > Routes)
    • Réseaux auxquels vous êtes déjà reliés par un tunnel BOVPN
    • Pools d'adresses IP virtuelles pour Mobile VPN
    • Réseaux que le périphérique IPSec distant peut atteindre via ses interfaces, routes réseaux ou routes VPN
  2. Configurer des Passerelles BOVPN Manuelles pour les Fireboxes locaux et distants.
  3. Configurer des Tunnels BOVPN Manuels.
    Dans la boîte de dialogue Paramètres de Route de Tunnel de chaque Firebox, cochez la case 1:1 NAT et entrez la plage de fausses adresses IP dans la zone de texte adjacente.

Le nombre d'adresses IP notées dans cette zone de texte doit être rigoureusement identique au nombre d'adresses IP de la zone de texte Local en haut de la boîte de dialogue. Par exemple, si vous utilisez la notation de barre oblique pour spécifier un sous-réseau, la valeur après la barre oblique doit être identique dans les deux zones de texte. Pour plus d'informations, consultez À propos de la Notation de Barre Oblique.

Il n'est pas nécessaire de définir de paramètre dans les paramètres Réseau > NAT. Ces paramètres n'ont pas d'incidence sur le trafic VPN.

Exemple

Imaginons que deux sociétés, Site A et Site B, souhaitent établir un réseau Branch Office VPN entre leurs réseaux approuvés. Les deux sociétés utilisent un WatchGuard Firebox avec Fireware. Elles ont les mêmes adresses IP pour leurs réseaux approuvés, 192.168.1.0/24. Les deux Firebox utilisent 1-to-1 NAT via le VPN. Le Site A envoie du trafic à la fausse plage du Site B et le trafic passe à l'extérieur du sous-réseau local du Site A. Le Site B envoie également du trafic à la fausse plage utilisée par le Site A. Cette solution résout le conflit d'adresses IP dans les deux réseaux. Les deux sociétés décident d'un commun accord que :

  • Le réseau approuvé du site A est configuré pour qu'il paraisse provenir de la plage 192.168.100.0/24 lorsque le trafic transite par le VPN. Ceci est la plage de fausses adresses du Site A pour ce VPN.
  • Le réseau approuvé du site B est configuré pour qu'il paraisse provenir de la plage 192.168.200.0/24 lorsque le trafic transite par VPN. Ceci est la plage de fausses adresses du Site B pour ce VPN.

Configurez vos serveurs DNS internes pour résoudre correctement les noms d'hôtes pour les ressources du réseau situées sur le site distant. Par exemple, vous pouvez avoir un serveur web intranet.example.com situé sur le Site A. Avec les adresses IP de notre exemple, si un utilisateur du Site A va sur http://intranet.example.com, votre serveur DNS résout le nom de domaine en 192.168.1.80. Si un utilisateur du Site B va sur http://intranet.example.com, votre serveur DNS doit résoudre le nom de domaine en 192.168.200.80, qui est la fausse adresse IP donnée par NAT.

Définir une Passerelle Branch Office sur Chaque Périphérique

Vous devez tout d'abord ajouter une passerelle qui identifie le périphérique IPSec distant. Lorsque vous ajoutez la passerelle, celle-ci apparaît dans la liste des passerelles.

Pour voir la liste des passerelles depuis Policy Manager, sélectionnez VPN > Passerelles Branch Office.

Capture d'écran de la boîte de dialogue Passerelles vide

Pour voir la liste des passerelles depuis Fireware Web UI, sélectionnez VPN > Branch Office VPN.

Capture d'écran de la liste Passerelles sur la page BOVPN

Configurer le Tunnel du Site A

Activez le 1-to-1 NAT dans la configuration du tunnel local du Firebox du Site A afin que le trafic du réseau approuvé du Site A semble provenir de la plage 192.168.100.0/24 quand il passe par le VPN vers le Site B.

Si 1-to-1 NAT doit uniquement être configuré d'un côté du VPN vous n'avez pas à effectuer les procédures suivantes. Le VPN sur le Firebox à l'autre extrémité du tunnel doit être configuré de sorte qu'il accepte le trafic en provenance de votre fausse plage d'adresses IP.

Configurer le Tunnel au Site B

Pour configurer le 1-to-1 NAT du Site B vers le Site A, activez le 1-to-1 NAT dans la configuration de la route de tunnel sur le périphérique du Site B. Avec cette configuration, le trafic en provenance du réseau approuvé du Site B semble provenir de la plage d'adresses 192.168.200.0/24 quand il passe par le VPN vers le Site A.

Voir Également

À propos de 1-to-1 NAT

À propos des Tunnels Branch Office VPN IPSec Manuels