Bouclage NAT pour Utilisateurs Mobile VPN
Le bouclage NAT permet à un utilisateur des réseaux approuvés ou facultatifs de se connecter à un serveur public avec le nom de domaine ou l'adresse IP publique du serveur si le serveur se trouve sur la même interface physique du Firebox. Si les utilisateurs Mobile VPN se connectent à vos réseaux approuvé ou facultatif et acheminent le trafic Internet par le tunnel VPN, vous pouvez configurer un bouclage NAT du trafic émanant des clients Mobile VPN.
Vous pouvez configurer le bouclage NAT avec une traduction d'adresses réseau statique ou avec la règle 1-to-1 NAT.
- Mobile VPN with IKEv2, L2TP et SSL — Vous pouvez utiliser un NAT statique ou avec un 1-to-1 NAT pour configurer le bouclage NAT à partir des clients Mobile VPN.
- Mobile VPN with IPSec — Vous devez utiliser la règle 1-to-1 NAT pour activer le bouclage NAT pour le trafic émanant des clients Mobile VPN, car les stratégies Mobile VPN with IPSec ne prennent pas en charge les actions NAT statiques.
Pour autoriser les utilisateurs Mobile VPN à utiliser le bouclage NAT, les stratégies VPN et utilisateur mobile qui permettent le trafic depuis les clients VPN doivent répondre à ces exigences.
- Le client doit utiliser le VPN pour acheminer le trafic vers l'adresse IP du serveur.
- Si le bouclage NAT est configuré comme une action NAT statique, le client doit utiliser le VPN pour acheminer le trafic vers l'adresse IP utilisée dans l'action NAT statique
- Si le bouclage NAT est configuré avec la règle 1-to-1 NAT, le client doit utiliser le VPN pour acheminer le trafic vers l'adresse IP de base NAT.
- Les ressources autorisées configurées dans les paramètres VPN doivent comprendre l'adresse IP ou le sous-réseau pour la NAT statique ou la règle 1-to-1 NAT de l'adresse IP de base.
- Pour Mobile VPN with IPSec, la ressource VPN autorisée dans le profil Mobile VPN with IPSec et la stratégie Mobile VPN doit contenir l'adresse IP de base NAT ou un sous-réseau qui comprendre l'adresse IP de base NAT configurée dans les paramètres 1-to-1 NAT.
- La stratégie avec l'adresse IP de base NAT ou NAT statique ou dans la liste À doit comprendre l'un des éléments suivants dans la liste De pour que le trafic depuis un utilisateur Mobile VPN corresponde à la stratégie :
- Le nom d'un utilisateur Mobile VPN.
- Le nom d'un groupe dont l'utilisateur Mobile VPN est membre.
- Une adresse IP, un sous-réseau ou un alias qui comprend ou correspond à l'adresse IP virtuelle attribuée à l'utilisateur Mobile VPN. L'adresse IP virtuelle attribuée à l'utilisateur dépend du pool d'adresses IP configuré pour le VPN.
- L'alias Tout.
S'il n'est pas possible de répondre à chacune de ces exigences, l'utilisateur peut utiliser l'adresse IP privée interne de l'hôte interne pour se connecter à celui-ci, si l'accès à cet hôte est autorisé par la configuration et la stratégie du VPN. Si le client n'utilise pas Mobile VPN pour acheminer à l'adresse IP publique utilisée dans la NAT statique ou l'adresse IP de base 1-to-1 NAT, le client peut utiliser la connexion Internet standard pour se connecter à l'adresse IP publique du serveur si ce trafic entrant est autorisé par une stratégie configurée.