Configurer la Traduction d'Adresses Réseau (NAT) Dynamique pour le Trafic Sortant via un Tunnel Branch Office VPN

Vous pouvez utiliser la traduction d'adresses réseau dynamique (DNAT) via les tunnels Branch Office VPN (BOVPN). La traduction d'adresses réseau (NAT) dynamique fait office de traduction d'adresses réseau unidirectionnelle et garde le tunnel VPN ouvert dans un seul sens. Cela peut s'avérer utile lorsque vous créez un tunnel BOVPN vers un site distant où tout le trafic VPN provient d'une adresse IP publique.

Par exemple, supposons que vous souhaitez créer un tunnel BOVPN vers un partenaire commercial pour pouvoir accéder à son serveur de base de données, mais qu'en revanche vous ne souhaitez pas que cette entreprise ait accès à vos ressources. Votre partenaire commercial accepte de vous accorder un accès, mais uniquement à partir d'une seule adresse IP de manière à pouvoir surveiller la connexion.

Vous avez besoin de connaître l'adresse IP externe et l'adresse réseau approuvée de chaque endpoint VPN pour effectuer cette procédure. Si vous activez la NAT dynamique via un tunnel BOVPN, vous ne pouvez pas utiliser la fonction de basculement VPN pour ce tunnel VPN.

Les instructions pas à pas ci-dessous fonctionnent pour tout réseau BOVPN utilisant la traduction d'adresses réseau (NAT) dynamique afin que tout le trafic issu d'un endpoint semble provenir d'une seule adresse IP. N'importe quelle adresse IP routable peut être une adresse DNAT : l'adresse IP publique du Site A, par exemple, ou encore une adresse IP privée sur le réseau approuvé du Site A. Les images suivantes montrent les paramètres d'un réseau BOVPN où tout le trafic du Site A doit provenir de l'adresse IP publique du Site A.

Site A

Adresse IP Publique — 203.0.113.2

Réseau Approuvé — 10.0.1.0/24

Site B

Adresse IP Publique — 198.51.100.2

Réseau Approuvé — 10.50.1.0/24

Dans Fireware v12.4 et versions ultérieures, si vous sélectionnez les Adresses IPv6 comme Famille d'Adresses, vous ne pouvez pas configurer de NAT. La NAT n'est pas prise en charge pour les passerelles BOVPN IPv6.

Configurer l'endpoint où tout le trafic doit sembler venir de la même adresse (site A)

Configurez la passerelle BOVPN du périphérique du Site A. Pour plus d'informations, consultez Configurer des Passerelles BOVPN Manuelles. Suivez ensuite les étapes ci-dessous pour configurer la NAT dynamique dans les paramètres de route du tunnel.

  1. Sélectionnez VPN > Branch Office VPN.
  2. Cliquez sur Ajouter à côté de la liste Tunnels pour ajouter un nouveau tunnel, ou sélectionnez un tunnel et cliquez sur Modifier.
    La page Paramètres de configuration des tunnels s'affiche.
  3. Sélectionnez la passerelle correspondante dans la liste déroulante Passerelle.
  4. Sous l'onglet Adresses, cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de Route de tunnel, onglet Adresses

  1. Dans la section IP locale, sélectionnez le type de l'adresse locale dans la liste déroulante Choisir le type. Entrez ensuite la valeur dans la zone de texte en dessous. Vous pouvez saisir une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS.
  2. Dans la section IP distante, sélectionnez le type de l'adresse distante dans la liste déroulante Choisir le type. Entrez ensuite la valeur dans la zone de texte en dessous. Vous pouvez saisir une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS.
  3. Dans la liste déroulante Direction, sélectionnez local-vers-distant.

Vous devez définir le sens du trafic transitant par le tunnel avant de pouvoir activer la NAT dynamique pour le tunnel.

  1. Cliquez sur l'onglet NAT. Cochez la case Traduction d'adresses réseau dynamique. Dans la zone de texte adjacente, entrez l'adresse IP que le réseau distant doit voir comme source de tout le trafic transitant par le tunnel.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel - onglet NAT

  1. Cliquez sur OK.
    La route du tunnel est ajoutée.

Capture d'écran de la page de paramètres de tunnel

  1. Enregistrez les modifications dans le Firebox.
  1. Sélectionnez VPN > Tunnels Branch Office.
  2. Cliquez sur Ajouter pour ajouter un nouveau tunnel ou sélectionnez un tunnel et cliquez sur Modifier.
    La boîte de dialogue Ajouter un Tunnel ou Modifier un Tunnel s'affiche.
  3. Sélectionnez la passerelle correspondante dans la liste déroulante Passerelle.
  4. Sous l'onglet Adresses, cliquez sur Ajouter.

    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel avec les paramètres de DNAT réglés sur l'IP publique

  1. Dans la liste déroulante Local, sélectionnez l'adresse locale souhaitée.
    Vous pouvez également cliquer sur le bouton en regard de la liste déroulante Local pour spécifier une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS.
  2. Dans la zone Distant, tapez l'adresse du réseau distant.
    Vous pouvez également cliquer sur le bouton adjacent pour spécifier une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS.
  3. Dans la liste déroulante Direction , sélectionnez la deuxième option, avec la flèche pointant vers Distant.
  4. Cochez la case DNAT. Dans la zone de texte adjacente, entrez l'adresse IP que le réseau distant doit voir comme source de tout le trafic transitant par le tunnel.
  5. Cliquez sur OK.
    La route du tunnel est ajoutée.

Capture d'écran de la boîte de dialogue Modifier un tunnel avec les paramètres définis pour l'exemple de DNAT sur le tunnel SiteB_Network

  1. Enregistrez les modifications dans le Firebox.

Configurer l'endpoint qui s'attend à ce que tout le trafic provienne d'une seule adresse IP (Site B).

Configurez la passerelle BOVPN pour le périphérique du Site B. Pour plus d'informations, consultez Configurer des Passerelles BOVPN Manuelles. Suivez ensuite les étapes ci-dessous pour configurer la NAT dynamique dans les paramètres de route du tunnel.

  1. Sélectionnez VPN > BOVPN.  Cliquez sur Ajouter sous la liste Tunnels pour ajouter un tunnel, ou sélectionnez un tunnel et cliquez sur Modifier.
    Les paramètres de tunnel s'affichent.
  2. Sélectionnez la passerelle correspondante dans la liste déroulante Passerelles.
  3. Sous l'onglet Adresses, cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel

  1. Dans la section IP locale, sélectionnez le type de l'adresse locale dans la liste déroulante Choisir le type. Entrez ensuite la valeur dans la zone de texte adjacente. Vous pouvez saisir une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS. Elle doit correspondre à l'adresse distante configurée sur la route de tunnel du site A.
  2. Dans la section IP distante, sélectionnez le type de l'adresse distante dans la liste déroulante Choisir le type. Saisissez la valeur dans la zone de texte adjacente. Vous pouvez saisir une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS. Elle doit correspondre à l'adresse DNAT configurer sur le site A.
  3. Dans la liste déroulante Direction, sélectionnez distant-vers-local.
  4. Ne sélectionnez rien dans l'onglet NAT.
  5. Cliquez sur OK.
    La route du tunnel est ajoutée.

Capture d'écran de la page des paramètres de tunnel Branch Office VPN

  1. Enregistrez les modifications dans le Firebox.
  1. Dans Policy Manager, configurez la passerelle du réseau BOVPN. Pour plus d'informations, consultez Configurer des Passerelles BOVPN Manuelles.
  2. Sélectionnez VPN > Tunnels Branch Office.  Cliquez sur Ajouter pour ajouter un nouveau tunnel ou sélectionnez un tunnel existant et cliquez sur Modifier.
    La boîte de dialogue Ajouter un Tunnel ou Modifier un Tunnel s'affiche.
  3. Sélectionnez la passerelle correspondante dans la liste déroulante Passerelles.
  4. Sous l'onglet Adresses, cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel

  1. Dans la liste déroulante Local, sélectionnez l'adresse locale souhaitée.
    Vous pouvez également cliquer sur le bouton en regard de la liste déroulante Local pour spécifier une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS. Elle doit correspondre à l'adresse distante configurée sur la route de tunnel du site A.
  2. Dans la zone de texte Distant, entrez l'adresse IP distante. Vous pouvez également cliquer sur le bouton adjacent pour spécifier une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom d'hôte. Elle doit correspondre à l'adresse DNAT configurer sur le site A.
  3. Dans la liste déroulante Direction, sélectionnez la troisième option avec la flèche orientée vers Local.
  4. Ne sélectionnez rien dans la zone Paramètres NAT.
  5. Cliquez sur OK.
    La route du tunnel est ajoutée.

Capture d'écran de la boîte de dialogue Modifier un tunnel avec les paramètres de DNAT du endpoint distant

  1. Enregistrez les modifications dans le Firebox.

Lorsque le périphérique du Site B redémarre, les deux périphériques négocient un tunnel VPN. Le périphérique du Site A applique la NAT dynamique à tout le trafic envoyé vers le réseau approuvé du périphérique du Site B. Lorsque le trafic atteint le Site B, il est considéré comme provenant de l'adresse IP de la DNAT.

Voir Également

À propos de la Traduction d'Adresses Réseau (NAT) Dynamique

Configurer 1-to-1 NAT via un Tunnel Branch Office VPN