В данном документе приведено описание настроек, позволяющих подключить локальную сеть, в которой применяется механизм NAT и предоставленный провайдером единый IP-адрес, к удаленной сети, в которой подключение к виртуальным частным сетям (VPN) осуществляется с использованием программного обеспечения Novell BorderManager Enterprise Server.

Как указывается в файле README.TXT, размещенном на установочной дискете клиентского программного обеспечения Novell BorderManager VPN Client,

“В промежутке между VPN-клиентом и VPN-сервером применять NAT нельзя, поскольку при формировании инкапсулированных и зашифрованных пакетов данных клиентским программным обеспечением для последующей передачи их по протоколам IP и IPX адрес отправителя, указанный в инкапсулированном пакете, совпадает с адресом клиентского узла VPN. В основе обсчета пакета средствами IPSEC Authentication Header cлежит именно этот адрес, а также адрес VPN-сервера, на который направляется пакет. Следовательно, если любой из этих адресов (VPN-клиента или VPN-сервера) подвергнется изменениям в результате вмешательства механизма NAT, результаты обсчета по получении пакета VPN-сервером не совпадут с ожидаемыми, и сервер проигнорирует пакет. Еще более вероятно то, что механизм NAT проигнорирует IPSEC-пакеты, поскольку он работает только с пакетами, совместимыми с протоколами TCP, UDP и ICMP (протокол управления сообщениями в Интернете).

Если Вам нужно настроить рабочие станции интрасети на безопасное подключение через Интернет к сетям, защищенным VPN-сервером, рекомендуем использовать функцию межузлового подключения в пределах VPN (вместо подключения "клиент-центральный узел"), имеющуюся в программном пакете Novell BorderManager Enterprise Edition".

Проблема, однако, заключается в чрезвычайно высокой стоимости программного пакета Novell BorderManager Enterprise Server для домашних пользователей. Кроме того, это ПО требует весьма тщательной настройки статических маршрутов при подключении к удаленной сети. Поэтому решение, рекомендованное компанией Novell (см. выше), становится экономически нецелесообразным при подключении локальной сети малого и среднего масштаба, в которой применяется механизм NAT, к удаленной сети с использованием ПО Novell BorderManager.

Как это ни удивительно, возможность подключения локальной сети, в которой применяется механизм NAT, к удаленной сети с использованием WinRoute Pro и Novell BorderManager VPN Client, всё же существует. При такой конфигурации любой компьютер локальной сети получает доступ к ресурсам удаленной сети, при этом VPN-туннелирование обеспечивается отдельным компьютером, выполняющим функции маршрутизатора. При этом даже не требуется внесения каких-либо изменений в конфигурацию удаленной сети.

Такая возможность обеспечивается архитектурой программного комплекса WinRoute Pro. Поскольку она действует на уровне IPSEC, преобразование адресов осуществляется до направления пакета на виртуальный сетевой адаптер. Это означает, что пакеты, направляемые на VPN-сервер, имеют реальный IP-адрес отправителя. На обратном пути пакеты, полученные от виртуального сетевого адаптера, проходят преобразование адресов, что позволяет их направить по правильному маршруту к компьютерам локальной сети.

Единственное ограничение, налагаемое такой конфигурацией, заключается в необходимости выполнять процедуру входа в виртуальную частную сеть вручную на компьютере-маршрутизаторе, а также в автоматическом разрыве связи по истечении определенного периода бездействия, предустановленного в VPN-сервере. Кроме того, маршрутизация IPX-пакетов не поддерживается даже если IPX-протокол активизирован в механизме туннелирования VPN. Иными словами, функция туннелирования IPX-пакетов доступна только для компьютера-маршрутизатора.

В целом, такая конфигурация является экономичным и удобным решением по подключению локальной сети, использующей NAT, к удаленной сети, работающей под управлением Novell BorderManager VPN.