8 удаленный dns-сервер, Таб. 82 взаимодействие vpn и nat – Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

Глава 17 Экраны VPN

247

Чтобы использовать прослеживание NAT, необходимо:

• Использовать протокол ESP (в транспортном или в туннельном режиме).
• Использовать протокол ключей IKE.
• Включить прослеживание NAT в обеих оконечных точках туннеля IPSec.
• Настроить NAT-маршрутизатор, разрешив пересылку пакетов для UDP-порта 500

на IPSec-маршрутизатор А.

В результате обеспечивается совместимость NAT и ESP в туннельном режиме, так как
проверка целостности производится для совокупности исходного заголовка и исходной
полезной нагрузки, а оба этих параметра не изменяются при прохождении NAT-
устройства. Совместимость AH и ESP с NAT в туннельных и транспортных режимах
отражена в следующей таблице.

Да* - этот режим поддерживается в P-2602, если включено прослеживание NAT.

17.8 Удаленный DNS-сервер

В тех случаях, когда обращение к интранет-серверам в удаленной сети с DNS-сервером
осуществляется по доменным именам, необходимо указать адрес этого DNS-сервера.
DNS-серверы локальной сети или поставщика услуг Интернета (ISP) использовать
нельзя, поскольку они не могут преобразовывать доменные имена к частным IP-адресам
в удаленной сети

На следующем рисунке приведен пример создания трех туннелей VPN из сети P-2602 A:
к филиалу 2, к филиалу 3 и к штаб-квартире. Чтобы получить доступ к компьютерам,
которые используют частные доменные имена сети штаб-квартиры (HQ), P-2602 в
филиале 1 использует DNS-сервер в интранете штаб-квартиры. Функция DNS-сервера
для VPN не работает с Windows 2000 и Windows XP.

Таб. 82 Взаимодействие VPN и NAT

ПРОТОКОЛ
БЕЗОПАСНОСТИ

РЕЖИМ

NAT

AH

Транспортный Нет

AH

Туннельный

Нет

ESP

Транспортный Да*

ESP

Туннельный

Да