VPN с маршрутизатором NAT

Что такое обход NAT?

Обход трансляции сетевых адресов (NAT-T) – это техника установления и поддержания соединений Интернет-протокола через шлюзы, которые реализуют трансляцию сетевых адресов (NAT). В частности, IPsec с обходом NAT позволяет установить IPsec-соединение через NAT-маршрутизатор. Метод определяет, используется ли NAT при установлении соединений и поддерживают ли сайты обход NAT. В этом случае NAT-Traversal упаковывает ESP-трафик в UDP-пакеты и предоставляет им UDP-порт, который может быть переведен через NAT. Как правило, используется UDP-порт 4500. Вы находитесь на безопасной стороне с портами UDP 500, UDP 4500 и TCP 10 000 и если IP-протокол ESP открыт между партнерами VPN.

NAT Traversal и VPN Passthrough (NAT vs. IPsec) стремятся к одному и тому же решению проблемы. Однако IPsec passthrough работает только в управляемых рамках. По сравнению с NAT-T, метод passthrough должен быть реализован в маршрутизаторах NAT.

Могу ли я использовать VPN с маршрутизатором NAT?

В принципе, любой может настроить VPN-туннель через NAT-устройство. Вам нужно только соответствующим образом настроить маршрутизатор WLAN. Текущая операционная система Windows позволяет использовать встроенную трансляцию сетевых адресов для виртуальной сети. Mac OS также требует специальной конфигурации.

Клиент IPsec

В VPN-клиенте активируйте опцию Включить прозрачное туннелирование в настройках. Выберите либо IPSec через UDP (NAT/PAT), либо, если это невозможно, IPSec через TCP с TCP портом 10,000.

Внимание: За NAT-маршрутизатором, как правило, только один пользователь может установить VPN-туннелирование одновременно, так как локальный адрес выполняется через NAT на IP-адрес доступа в Интернет. Два пользователя VPN могут работать с одним маршрутизатором через IPSec по TCP с TCP портом 10000, при условии, что есть два разных логина.

Клиент AnyConnect

AnyConnect Client использует протоколы TCP и UDP, оба порта 443 для VPN-соединения. И TCP, и UDP могут обрабатываться маршрутизаторами NAT.

В чем разница между режимом маршрутизации и NAT в конфигурации VPN?

При настройке VPN site-to-site (LAN to LAN) между двумя местоположениями, есть выбор между режимами Route или NAT.

Режим маршрутизации в сравнении с режимом NAT

Разница между режимом маршрутизации и режимом NAT заключается в возможностях доступа: В режиме маршрутизации клиенты обеих конечных точек могут связаться друг с другом. При использовании маршрутизатора с коммутируемым доступом в качестве удаленного шлюза, оба компьютера могут получить доступ к Интернету в этом случае.

Это невозможно в режиме NAT: только клиенты на стороне dial-out могут получить доступ к сети на стороне dial-in. Режим NAT предотвращает доступ другого клиента к собственной сети. Он используется при установлении соединения с сервисом VPN.