bintec Router-Serien und be.IP-Serie - Hinweise zu NAT (Network Address Translation) im IPSec-Tunnel mit N:N-Übersetzung der Quell-IP-Adressen

Version vom 7. August 2017, 16:24 Uhr von Klaus Stavemann (Diskussion | Beiträge)

bintec Router-Serien und be.IP-Serie - Hinweise zu NAT (Network Address Translation) im IPSec-Tunnel mit N:N-Übersetzung der Quell-IP-Adressen

Inhaltsverzeichnis

Vorbemerkungen

  • Für IP-Traffic, der über ein IPSec-Interface ausgehend gesendet wird, sollen die Quell-IP-Adressen aus
    einem ursprünglichen IP-Subnetzbereich in einen gleich großen neuen IP-Subnetzbereich übersetzt werden.
  • Vorausgesetzt wird eine bereits vorhandene IPSec-Verbindung, im Beispiel bezeichnet mit "IPSec-Tunnel1".
  • Im vorliegenden Beispiel wird ein bintec RS353jw mit Software-Version 10.1.27 verwendet, die Konfiguration erfolgt mittels GUI.
  • Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Die grundsätzliche Funktion von NAT (Network Address Translation) ist sehr gut in der Online-Hilfe und im Manual beschrieben:
"Network Address Translation (NAT) ist eine Funktion Ihres Geräts, um Quell- und Zieladressen von IP-Paketen definiert umzusetzen.
Mit aktiviertem NAT werden weiterhin IP-Verbindungen standardmäßig nur noch in einer Richtung, ausgehend (forward) zugelassen (=Schutzfunktion).
Ausnahmeregeln können konfiguriert werden (in NAT-Konfiguration )."

Vorgehensweise

Im vorliegenden Beispiel sollen die ursprünglichen Absende-IP-Adressen des Nutz-Traffics aus dem lokalen Netz 192.168.178.0/24 des Routers stammen
und aufgrund von (strukturellen) Anforderungen der IPSec-Gegenseite N:N durch IP-Adressen aus dem vorgegebenen Netz 10.11.11.0/24 ersetzt werden.
Die lokale IP-Adresse des Routers sei 192.168.178.115 und soll demzufolge übersetzt werden auf die neue IP-Adresse 10.11.11.115. Die dafür notwendige
Konfiguration erfolgt in vier wesentlichen Schritten:

  1. NAT am IPSec-Interface aktiveren
  2. Neue lokale IP-Adresse festlegen im IPSec-Peer
  3. Neues Quellnetz an das LAN-Interface anbinden
  4. Quelladressumsetzung am IPSec-Interface festlegen

Schritt 1: NAT am IPSec-Interface aktiveren

Die Aktivierung von NAT für die IPSec-Schnittstelle "IPSec-Tunnel1" erfolgt im GUI-Menü "Netzwerk" unter "NAT" auf dem Tab "NAT-Schnittstellen".

Beispiel für das GUI-Menü zur Aktivierung von NAT auf dem IPSec-Interface "IPSec-Tunnel1":

NAT-Aktivierung auf dem IPSec-Tunnel

Bild 1: GUI-Menü mit NAT-Aktivierung auf dem IPSec-Interface "IPSec-Tunnel1" (hier den abschließenden Klick auf "OK" nicht vergessen!)

Schritt 2: Neue lokale IP-Adresse festlegen im IPSec-Peer

Zur Festlegung der neuen lokalen IP-Adresse des IPSec-Peers setzt man im GUI-Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" im Konfigurations-Menü des IPSec-Peers die
"Lokale IP-Adresse" des Routers (im Beispiel 192.168.178.115) auf den zugeordneten Austauschwert, im Beispiel 10.11.11.115. Für das Gegenstellennetz ("entfernte IP-Adresse")
sei hier die 10.10.10.0/24 vorgegeben.

Beispiel für das GUI-Menü zur Festlegung der "Lokalen IP-Adresse" innerhalb der IPSec-Peer-Konfiguration:

Festlegung der "Lokalen IP-Adresse"

Bild 2: GUI-Menü mit Festlegung der "Lokalen IP-Adresse" innerhalb der IPSec-Peer-Konfiguration (hier den abschließenden Klick auf "OK" nicht vergessen!)

Schritt 3: Neues Quellnetz an das LAN-Interface anbinden

Aus Sicht des IPSec soll das neue Subnetz (hier 10.11.11.0/24) ähnlich wie ein lokales Netz des Routers fungieren. Damit das IPSec ordungsgemäß damit arbeiten kann, benötigt
es deshalb auch eine (vorzugsweise lokale) Route bezüglich des neuen Subnetzes. Zu diesem Zweck fügt man (vorzugsweise) beim LAN-Interface das neue Subnetz hinzu, und
zwar im GUI-Menü "LAN" unter "IP-Konfiguration", "Schnittstellen" im Edit-Menü der LAN-Schnittstelle durch zusätzliche Eingabe von eigener neuer IP-Adresse / Netzmaske
(hier 10.11.11.115/24) im Abschnitt "Grundlegende IPv4-Parameter".

Beispiel für das GUI-Menü zum Hinzufügen des neuen Subnetzes zum LAN-Interface:

LAN-Interface mit zusätzlichem neuem Subnetz

Bild 3: GUI-Menü des LAN-Interfaces mit zusätzlich hinzugefügtem neuem Subnetz (hier den abschließenden Klick auf "OK" nicht vergessen!)

Schritt 4: Quelladressumsetzung am IPSec-Interface festlegen

Zur Festlegung der gewünschten N:N-Quelladressumsetzung des in den IPSec-Tunnel ausgehend gesendeten Traffics genügt ein einziger zusätzlicher "NAT-Mapping"-Eintrag
für die IPSec-Schnittstelle - hier "IPSec-Tunnel1" - mit den Angaben für originales Quellnetz (hier 192.168.178.0/24) und gleich großes neues Quellnetz (hier 10.11.11.0/24).
Die Konfiguration erfolgt im GUI-Menü "Netzwerk" unter "NAT" auf dem Tab "NAT-Konfiguration" nach Klick auf "NEU".

Beispiel für das GUI-Menü zur Konfiguration der N:N-Übersetzung von Quell-IP-Adressen auf einem IPSec-Interface, hier "IPSec-Tunnel1":

N:N-Übersetzung von Quell-IP-Adressen

Bild 4: GUI-Menü mit konfigurierter N:N-Übersetzung von Quell-IP-Adressen auf dem IPSec-Interface "IPSec-Tunnel1" (hier den abschließenden Klick auf "OK" nicht vergessen!)

Noch zwei Hinweise:
Beachten Sie, dass hier für die Netzmasken von originalem Quellnetz und neuem Quellnetz zwingend gleiche Werte erforderlich sind.
Beachten Sie die defaultmäßige Sperrfunktion von NAT bezüglich eingehener IP-Verbindungen, für die bei Bedarf Ausnahmeregeln einzurichten wären.

Kontrolle der Funktion der konfigurierten N:N-Quell-IP-Adressübersetzung

Eine einfache Kontrolle der gewünschten Funktion der Quelladressübersetzung ermöglichen die Ausgaben des Kommandos "debug all&" am Prompt der Router-Konsole.

Beispielausgaben mit Traffic von drei verschiedenen Ursprungs-IP-Adressen:

rs353jw_ks:> debug all&
13:09:23 DEBUG/INET: NAT: new outgoing session on ifc 38100001 prot 1 192.168.178.100:13/10.11.11.100:13 -> 10.10.10.110:0
13:09:30 DEBUG/INET: NAT: new outgoing session on ifc 38100001 prot 1 192.168.178.101:13/10.11.11.101:13 -> 10.10.10.110:0
13:09:35 DEBUG/INET: NAT: new outgoing session on ifc 38100001 prot 1 192.168.178.102:13/10.11.11.102:13 -> 10.10.10.110:0

Hierbei bezeichnet "ifc 38100001" das IPSec-Interface und mit "192.168.178.100/10.11.11.100 ->" wird die Quelladressübersetzung angezeigt.

Abschlußbemerkung

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis

Erstellt: 7.8.2017
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.1.27
KW: 37/2017
kst