Cấu hình Site-to-site VPN Translation cho các mạng có cùng Subnet

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi binhduong, 5/4/23.

  1. binhduong

    binhduong New Member

    TỔNG QUAN:

    - Trong quá trình triển khai phân tán các đơn vị được kết nối thông qua VPN site-to-site, admin có thể cần thực hiện phiên dịch địa chỉ trên traffic truy cập qua VPN site-to-site. Bản dịch subnet 1:1 cần được sử dụng trong trường hợp nhiều nơi có cùng một subnet, nhưng cả hai đều cần phải tham gia vào VPN site-to-site. Để tiết kiệm không gian IP, NAT 1:M có thể được sử dụng để dịch toàn bộ subnet thành một địa chỉ IP duy nhất được xuất qua VPN site-to-site.

    - Lưu ý : Tính năng này chỉ được hỗ trợ cho Auto VPN và không nhằm mục đích hoạt động với các VPN không phải Meraki MX ngang hàng.

    PHÊN DỊCH SUBNET VPN:
    - Phiên dịch Subnet VPN cho phép một subnet được phép trong VPN site-to-site được dịch sang một subnet khác có kích thước bằng nhau. Tùy chọn này lý tưởng cho các triển khai trong đó cùng một subnet được sử dụng ở nhiều nơi và mỗi subnet đó cần có quyền truy cập vào VPN site-to-site.

    Cấu hình:
    - Thực hiện cấu hình Phiên dịch Subnet VPN:
    Bước 1: Trên trang Dashboard Meraki, điều hướng đến Security & SD-WAN > Configure > Site-to-site VPN.

    Bước 2: Đặt VPN subnet translation thành Enable. Điều này sẽ khiến một VPN subnet mới xuất hiện cho các mạng local.

    Bước 3: Đối với Local subnet phải được phiên dịch, đặt VPN participationVPN on with translation

    Bước 4: Trong cột VPN subnet nhập một subnet có cùng kích thước với Local subnet.

    Bước 5: Chọn Save changes.

    Hoạt động:
    - Hãy xem xét ví dụ sau:
    • Subnet 192.168.128.0/24 tồn tại ở hai nơi
    • Các thiết bị và người dùng trong subnet này ở cả hai nơi cần truy cập tài nguyên qua kết nối VPN site-to-site.
    • Để tránh xung đột địa chỉ và định tuyến trên VPN site-to-site, 192.168.128.0/24 đã được định cấu hình để dịch sang 10.15.30.0/24
    • Host trên VLAN công ty có địa chỉ IP là 192.168.128.44 đang giao tiếp với Web server qua VPN site-to-site có địa chỉ là 172.16.30.8.
    • Web server cũng được kết nối cục bộ với một thiết bị bảo mật Meraki MX khác. MX này là một phần của VPN site-to-site.

    [​IMG]
    - Khi dịch Subnet VPN được cấu hình, MX sẽ kiểm tra địa chỉ IP nguồn dựa trên bảng dịch địa chỉ. Khi 192.168.128.44 cố gắng gửi traffic đến Web server thông qua VPN, địa chỉ IP nguồn được đánh giá là nằm trong mạng con cục bộ của 192.168.128.0/24, yêu cầu thực hiện dịch. Sau đó, MX sẽ gán IP của client thành IP tương đương trong subnet đã dịch. Khi traffic của client đi ra VPN site-to-site, nó sẽ có địa chỉ IP là 10.15.30.44.


    - Nếu dịch VPN subnet được cấu hình, subnet được dịch sẽ tự động được quảng bá cho tất cả những người tham gia VPN site-to-site từ. Trong ví dụ này, để Web server tại 172.16.30.8 giao tiếp với client, traffic phải được gửi tới 10.15.30.44 (phần bù IP tương đương trong subnet đã dịch). Khi traffic của web server được gửi đến 10.15.30.44 và được nhận bởi local MX, nó sẽ được định tuyến đến MX từ xa thích hợp và địa chỉ IP đích sẽ được dịch trở lại 192.168.128.44 trước khi đi ra mạng LAN của MX.

    - Khi cấu hình dịch subnet VPN cho local subnet tồn tại ở nhiều nơi, subnet trùng lặp phải được dịch tại mỗi mạng được cấu hình để cho phép truy cập VPN.

    VPN NAT 1-TO-MANY (1:M):
    - 1:M NAT cho VPN để một subnet được cho phép trong VPN site-to-site được dịch sang một địa chỉ IP duy nhất. Tùy chọn này lý tưởng cho các mô hình triển khai lớn trong đó các địa chỉ IP trong VPN site-to-site phải được bảo toàn.

    Cấu hình:
    - Để cấu hình 1:M NAT cho VPN:

    Bước 1: Trên trang Dashboard Meraki, điều hướng đến Security & SD-WAN > Configure > Site-to-site VPN.

    Bước 2. Đặt VPN subnet translation thành Enabled . Điều này sẽ khiến một cột Subnet VPN mới xuất hiện cho các local network.

    Bước 3. Đối với Local subnet phải được dịch, hãy bật VPN participation sang VPN on with translation.

    Bước 4. Trong cột VPN subnet, nhập một địa chỉ IP đơn theo ký hiệu CIDR (/32) cho Local subnet.

    Bước 5. Click Save changes.

    Hoạt động:
    - Hãy xem xét ví dụ sau:
    • Subnet 192.168.128.0/24 được cho phép trong VPN site-to-site
    • Để tiết kiệm không gian IP trên VPN site-to-site, 192.168.128.0/24 đã được cấu hình để dịch sang 10.15.30.18
    • Host trên VLAN công ty có địa chỉ IP là 192.168.128.44 đang liên lạc với Web server qua VPN site-to-site có địa chỉ là 172.16.30.8
    • Web server cũng được kết nối cục bộ với một thiết bị bảo mật MX khác. MX này là một phần của VPN site-to-site.
    [​IMG]
    - Khi NAT 1:M cho VPN site-to-site được định cấu hình, Meraki MX sẽ kiểm tra địa chỉ IP nguồn dựa trên bảng dịch địa chỉ. Khi 192.168.128.44 cố gắng gửi traffic đến Web server qua VPN, địa chỉ IP nguồn được đánh giá là nằm trong mạng con cục bộ của 192.168.128.0/24, yêu cầu thực hiện dịch. Sau đó, MX sẽ gán địa chỉ IP nguồn tới địa chỉ IP được chỉ định trong VPN subnet . Khi traffic của client đi ra VPN site-to-site, nó sẽ có địa chỉ IP là 10.15.30.18.

    - Nếu NAT 1:M cho VPN được cấu hình, subnet đã dịch (10.15.30.18 trong ví dụ này) sẽ tự động được quảng bá tới tất cả những người tham gia VPN site-to-site từ xa. Ở đây, traffic phản hồi từ Web server phải được gửi đến client bằng địa chỉ IP đích là 10.15.30.18. Khi lưu lượng truy cập của máy chủ web được gửi đến 10.15.30.18 và được nhận bởi local MX, nó sẽ được định tuyến đến MX từ xa thích hợp.

    - Nếu traffic của Web server phản hồi lại luồng VPN được thiết lập trước đó bắt nguồn từ client, thì traffic đó sẽ được cho phép thông qua VPN, địa chỉ IP đích sẽ được dịch trở lại địa chỉ IP của client ban đầu và traffic sẽ được chuyển tiếp về client IP ban đầu. Nếu traffic không đáp ứng với luồng hiện tại do client khởi tạo, traffic đó sẽ bị loại bỏ. Thực tế, khi NAT 1:M cho VPN được sử dụng, NAT có trạng thái và lưu lượng truy cập vào không mong muốn sẽ không được phép, ngay cả khi các quy tắc Firewall VPN site-to-site cho phép điều đó.

    Cân nhắc cho các Site-to-Site Firewall Rules:
    - Khi sử dụng Dịch VPN site-to-site, bất kỳ Site-to-Site Firewall Rules đã cấu nào sẽ phải được cấu hình thêm vào để sử dụng subnet nguồn được dịch từ trước, thay vì subnet đã được dịch. Điều này dành cho traffic đang được lọc tại MX nguồn (đang thực hiện dịch).

    - Đối với lưu lượng truy cập được xử lý tại một MX từ xa, không thực hiện dịch, subnet đã dịch sẽ phải được sử dụng thay thế khi định cấu hình Site-to-site firewall rules.

    - Lấy ví dụ: nếu MX A có subnet 192.168.128.0/24, được dịch sang 10.0.0.0/24, để từ chối lưu lượng truy cập (từ việc rời khỏi subnet đó) sang remote subnet, thì subnet nguồn (trong site-to-site firewall rule) sẽ phải được định cấu hình là 192.168.128.0/24.
    [​IMG]
    - Tuy nhiên, nếu cần phải chặn lưu lượng truy cập từ một remote subnet, để không đạt được 192.168.128.0/24 trên MX A, thì subnet đích sẽ phải được định cấu hình là 10.0.0.0/24.
    [​IMG]
     
    binhduong, 5/4/23
    #1

trang này