Il presente documento descrive l'impostazione che rende possibile la connessione di una rete locale che utilizzi il protocollo NAT per la condivisione di un unico indirizzo IP fornito dal provider Internet a una rete remota che utilizzi Novell BorderManager Enterprise Server per la connettività VPN.
In conformità a quanto enunciato nel file README.TXT, fornito sul dischetto di installazione di Novell BorderManager VPN Client,
“Non è possibile utilizzare NAT nel percorso tra un client e un server VPN, perché quando i pacchetti IP e IPX vengono incapsulati e crittografati sul client VPN, l'indirizzo IP di origine utilizzato per l'incapsulazione è lo stesso l'indirizzo del client VPN. Il calcolo dell'intestazione di autenticazione IPSEC del pacchetto si basa infatti su questo indirizzo e sull'indirizzo del server VPN di destinazione. Pertanto, se uno dei due indirizzi (quello del client o quello del server VPN) viene modificato da NAT, il calcolo eseguito dal server VPN di destinazione darà esito negativo e il pacchetto verrà rifiutato. Nella maggior parte dei casi , NAT ignorerà i pacchetti IPSEC perché gestisce solamente i pacchetti TCP, UDP e ICMP (Internet Control Message Protocol ).
Se le workstation di un'Intranet devono comunicare in modo sicuro con le reti protette da un server VPN su Internet, è consigliabile utilizzare la funzionalità VPN "da sito a sito" di Novell BorderManager Enterprise Edition (al posto della funzionalità VPN "da client a sito")”.
Novell BorderManager Enterprise Server costituisce tuttavia una soluzione troppo onerosa per l'utente privato, e richiede inoltre la complessa impostazione di route statiche sulla rete remota a cui si desidera accedere. La soluzione suggerita da Novell non è quindi praticabile per coloro che desiderano collegare la propria rete locale, che utilizza il protocollo NAT, a una rete remota tramite Novell BorderManager VPN.
È però possibile connettere una rete locale con protocollo NAT a una rete remota utilizzando WinRoute Pro e Novell BorderManager VPN Client. Questa configurazione consente a tutti i computer di una rete locale di accedere alle risorse della rete remota una volta che sul router sia stata stabilita la modalità tunnel VPN. Non è richiesta alcuna configurazione della rete remota.
Di seguito sono elencati i passaggi necessari per la configurazione della rete locale.
Passaggio 1: installare e configurare Novell BorderManager VPN Client sul computer che verrà utilizzato come router. Accertarsi che la connessione VPN alla rete remota avvenga correttamente e che le risorse sulla rete remota siano accessibili.
Passaggio 2: installare WinRoute Pro sul router. Seguire le istruzioni di configurazione di WinRoute rilasciate nella Guida per l'amministratore, e configurare i computer della rete locale per il funzionamento con WinRoute Pro. Utilizzare la configurazione standard per la condivisione di un unico indirizzo IP. Accertarsi che le risorse su Internet siano accessibili da tutti i computer della rete locale.
Passaggio 3: per accedere alle risorse sulla rete remota, eseguire lNovell BorderManager VPN Client sul router e connettersi alla rete remota.
Questa soluzione è possibile grazie all'architettura di WinRoute Pro. La traduzione dell'indirizzo viene effettuata prima dell'instradamento del pacchetto alla scheda di rete virtuale, perché avviene al livello dell'IPSEC, e i pacchetti inviati al server VPN mantengono il vero indirizzo IP di origine. Durante il percorso di ritorno, i pacchetti ricevuti dalla scheda di rete virtuale attraversano il livello in cui viene eseguita la traduzione dell'indirizzo e sono instradati correttamente al computer della rete locale.
Le limitazioni di questa impostazione consistono nel fatto che la connessione VPN deve essere eseguita manualmente sul router, e che il timeout della connessione VPN scatta dopo un certo periodo di inattività, secondo il valore impostato sul server VPN. Inoltre, i pacchetti IPX non vengono instradati anche se il protocollo IPX del tunnel VPN è stato abilitato. Il tunnel IPX sarà quindi disponibile solo sul router.
Nel complesso, questa impostazione rappresenta una soluzione efficace, anche in termini di rapporto tra costi e benefici, per collegare una rete locale che utilizzi il protocollo NAT a una rete remota che utilizzi Novell BorderManager VPN.