Snažím se pochopit potřebu Nat-t v důvěryhodné nebo nedůvěryhodné zóně. Proč potřebujeme nat-t a jak souvisí se zónami nedůvěryhodnou a důvěryhodnou v jakékoliv bráně?
jestli myslíš nat t pro VPN, nemá to nic společného s důvěryhodnými a nedůvěryhodnými zónami, děláš to, když tvé zařízení nemá přímé připojení k internetu a je natranslováno jiným zařízením, v podstatě nat t zapouzdřuje pakety do UDP, aby je bylo možné natransportovat
Dám příklad z reálného života. Můj klient je lékařská společnost, která má kliniky na mezinárodních letištích, aby mohli kontrolovat lidi z určitých zemí, kde může být problém s nakažlivými nemocemi. Jsou integrovány na letišti a nesmějí přinést obvodové zařízení. Mají přístup pouze k LAN pro IPsec a musí používat internet letiště. Takže prochází soukromou sítí s adresou RFC1918, pak NAT na veřejný internet. IPsec se snaží být “bezpečný protokol” a jako takový nerad mění hlavičku v přenosu. NAT průchod říká, aby si s tím poradilo a nechalo to být.
VPN zařízení za bránou potřebuje dokončit dvě fáze. Navážu spojení na portu 500 na protějšku přes internet. VPN protějšek pak zahájí vyjednávání, ale nemůže ho dokončit, protože zpětný přenos nemůže projít NAT. To je omezení protokolu. Pak se protějšek VPN přesune na port 4500, což je port NAT t, tento aspekt protokolu zapouzdří provoz, aby mohl projít NAT.
Promiňte, co je Nat-t? Znám jen DNat, sNAT, NoNAt, uTurnNAt… prosím, vzdělávejte mě
Nat-T je opravdu užitečný, když jste za jiným bodem NAT.
Představte si, že máte hlavní bránu, která nese vaši veřejnou IP, označme ji jako vnější brána.
Pak rozběhnete vrstvené rozhraní a na vnitřní straně máte další bránu (v této konfiguraci obě brány provádějí směrování a NAT). Vaše vnitřní brána iniciuje tunel IPSec a aby se vyhnula problémům spojeným s NAT, zapnete Nat-T. Nyní brána ví, že jste za NATem a nejste přímo NATováni, což významně pomáhá komunikaci IPSec.
Mám těžký čas to pochopit, omlouvám se. Jaký je účel nat-t? Jaký scénář ho povolí? Znamená to, že mám fw2 za fw1 a fw2 má VPN tunel s jiným místem. Mám povolit nat-t na fw2 nebo na fw1?
Avšak pokud máte bránu, která nemá veřejné IP adresy, ale navazuje VPN za routerem nebo něčím, co NATuje předchozí zařízení, povolíte nat t v bráně s VPN a bez veřejné IP.
To je vše
Povolil by se na fw2 a na tom druhém zařízení
Příklad je, když vytváříte IPsec tunel ze síťového místa do brány v Azure. Alespoň to je jediný případ, kdy to používám.
Logy brány by měly zobrazovat. Můžete také udělat paketové zachycení na vnější rozhraní.
Naprosto rozumím, když je mezi tím dalším NAT zařízením, které pouze inspekčně překládá záhlaví vnější UDP paket, ponechává vnitřní paket nedotčený. Jak toto zakrývání funguje? Dělá NAT zařízení něco, když se dívá na provoz na portu UDP 500?
Důvodem pro NAT-T je, že VPN IPSec používá dva protokoly pro dvě různé fáze. Fáze 1 používá UDP 500 (protokol 17) a fáze 2 používá IPSec ESP nebo IPSec AH (protokoly 50 a 51 respektive), i když většina VPN používá ESP. Problém je, že ESP/AH nepodporují NAT, takže jakékoli zařízení NAT způsobí selhání komunikace ve fázi 2.
NAT-T tento problém řeší zapouzdřením paketů ESP/AH uvnitř UDP paketů, které používají UDP 4500/4501. Zapouzdřením paketů ESP do UDP umožňuje VPN provoz projít NAT zařízeními. Když je NAT-T povolen na VPN, jsou NAT zařízení detekována během výměny fáze 1 a fáze 2 se automaticky přepne na zapouzdření paketů ESP/AH.
Abych odpověděl na původní otázku, jak již zmínila RoseRoja, nemá to nic společného s zónami, dokud VPN neukončujete na svých důvěryhodných rozhraních a VPN pakety musely procházet z nedůvěryhodných do důvěryhodných (nebo naopak), což by nebylo doporučené.
To je skvělé. Pokud je za NAT zařízením, používáme veřejnou IP toho NAT zařízení nebo FW2, který je VPN? FW2 bude mít nyní LAN IP/privátní IP, že?
Pokud vaše nastavení vypadá takto:
FW1 ------- Internet ------- NAT -------- FW2
Pak:
- FW1 použije veřejnou IP NAT zařízení.
- FW2 použije veřejnou IP FW1
- Budete moci iniciovat spojení pouze z FW2, pokud na NAT zařízení nemáte obousměrnou NAT konfiguraci.