8 удаленный dns-сервер, Таб. 82 взаимодействие vpn и nat – Инструкция по эксплуатации Zyxel P-2602H
Страница 247
Руководство пользователя cерии P-2602H/HW EE
Глава 17 Экраны VPN
247
Чтобы использовать прослеживание NAT, необходимо:
• Использовать протокол ESP (в транспортном или в туннельном режиме).
• Использовать протокол ключей IKE.
• Включить прослеживание NAT в обеих оконечных точках туннеля IPSec.
• Настроить NAT-маршрутизатор, разрешив пересылку пакетов для UDP-порта 500
на IPSec-маршрутизатор А.
В результате обеспечивается совместимость NAT и ESP в туннельном режиме, так как
проверка целостности производится для совокупности исходного заголовка и исходной
полезной нагрузки, а оба этих параметра не изменяются при прохождении NAT-
устройства. Совместимость AH и ESP с NAT в туннельных и транспортных режимах
отражена в следующей таблице.
Да* - этот режим поддерживается в P-2602, если включено прослеживание NAT.
17.8 Удаленный DNS-сервер
В тех случаях, когда обращение к интранет-серверам в удаленной сети с DNS-сервером
осуществляется по доменным именам, необходимо указать адрес этого DNS-сервера.
DNS-серверы локальной сети или поставщика услуг Интернета (ISP) использовать
нельзя, поскольку они не могут преобразовывать доменные имена к частным IP-адресам
в удаленной сети
На следующем рисунке приведен пример создания трех туннелей VPN из сети P-2602 A:
к филиалу 2, к филиалу 3 и к штаб-квартире. Чтобы получить доступ к компьютерам,
которые используют частные доменные имена сети штаб-квартиры (HQ), P-2602 в
филиале 1 использует DNS-сервер в интранете штаб-квартиры. Функция DNS-сервера
для VPN не работает с Windows 2000 и Windows XP.
Таб. 82 Взаимодействие VPN и NAT
ПРОТОКОЛ
БЕЗОПАСНОСТИ
РЕЖИМ
NAT
AH
Транспортный Нет
AH
Туннельный
Нет
ESP
Транспортный Да*
ESP
Туннельный
Да