Detta dokument beskriver den installation som gör det möjligt att ansluta till ett lokalt nätverk som använder NAT för att dela en enda IP-adress som fåtts av ISP till et fjärrnätverk som använder Novell BorderManager Enterprise Server för VPN-ansluyningsbarhet.
Enligt den README.TXT-fil som kommer med installationsdisketten till Novell BorderManager VPN Client så
“kan du inte använda NAT på sökvägen emellan en VPN-klient och en VPN-server. Detta på grund av att då IP- och IPX-paketen förkortas och krypteras vid VPN-klineten är den ursprungliga IP-adressen som används för fökortningen adressen till VPN-klienten. Uträkningen för IPSEC autentiseringsrubrik baseras på denna adress och på VPN-serverns destinationsadress. Därför, om endera adressen modifieras (VPN-klient eller VPN-server) av NAT,kommer uträkningen inte att stämma när den den kommer till destinationens VPN-server och paketet kommer att kasseras. Mest troligt emellertid kommer NAT att släppa IPSEC-paketerna eftersom det endast hanterar TCP-, UDP-, Internet Control Message Protocol- (ICMP)paket.
När du har arbetsstationer i ett intranät som måste kommunicera säkert med nätverk som skyddas av en VPN-server över Internet, föreslår vi att du använder VPN-egenskapen sajt-till sajt på Novell BorderManager Enterprise Edition (istället för klient -till-klient VPN).”
Emellertid är Novell BorderManager Enterprise Server mycket dyr för hemmaanvändaren. Dessutom kräver den omfattande installation av de statiska routerna på fjärrnätverket som det ansluts till. Den lösning som föreslås här ovan av Novell är därför inte genomförbar för den person som vill ansluta sitt lokala nätverk som använder NAT till ett fjärrnätverk via Novell BorderManager VPN.
Förvånansvärt nog är det möjligt att ansluta det lokala nätverk som använder NAT till ett fjärrnätverk som använder WinRoute Pro och Novell BorderManager VPN Client. Denna konfiguration tillåter alla datorer på det lokala nätverket att få tillgång till resurserna på fjärrnätverket när VPN-tunneln upprättats på routerdatorn. Ingen konfiguration för fjärrnätverket krävs.
Nedan hittar du konfigurationstegen för det lokala nätverket.
Steg 1: Installera och konfigurera mjukvaran för Novell BorderManager VPN Client på den dator som ska användas som router. Försäkra dig om att VPN-anslutningen till fjärrnätverket kan upprättas med framgång och tillgång kan fås till resurserna på fjärrnätverket.
Steg 2: Installera WinRoute Pro på routerdatorn. Följ de instruktioner som återfinns i Administratörsguiden för att konfigurera WinRoute Pro och konfigurera datorerna på det lokala nätverket för att arbeta med WinRoute Pro. Använd vanlig konfiguration enkel delning av IP-adress. Försäkra dig om att resurserna på Internet kan kommas åt från alla datorer på det lokala nätverket.
Steg 3: När du behöver tillgång till resurserna på fjärrnätverket kör du Novell BorderManager VPN-klineten på routerdatorn och loggar in i fjärrnätverket.
Detta möjliggörs av WinRoute Pros konstruktion. Eftersom det arbetar på IPSEC-nivån, sker adressöversättning innan paketet routas till den verkliga nätverksadaptern. Därför har de paket som skickas till VPN-servern den riktiga ursprungliga IP-adressen. På vägen tillbaka passerar de paket som tas emot från den verkliga nätverksadaptern genom lagret för adressöversättningen och routas till rätt dator på det lokala nätverket.
Begränsningarna i denna installation är att VPN-inloggningen måste utföras manuellt på routerdatorn och att VPN-anslutningen kommer att löpa ut efter en vis tid av inaktivitet som har ställts in på VPN-servern. Inte heller IPX-paket kommer att routas även om VPN-tunneln har aktiverat IPX- protokoll. Därför kommer tunnelförfarande med IPX att finnas tillgängligt endast på routerdatorn.
Sammanfattningsvis ger denna installation ett kostnadseffektiv och bekvämt sätt att ansluta ett lokalt nätverk som använder NAT till ett fjärrnätverk som använder Novell BorderManager VPN.