Citrix SD-WAN

NAT dynamique

Le NAT dynamique est un mappage plusieurs-à-un d’une adresse IP privée ou de sous-réseaux à l’intérieur du réseau SD-WAN vers une adresse IP publique ou un sous-réseau en dehors du réseau SD-WAN. Le trafic provenant de différentes zones et sous-réseaux sur des adresses IP de confiance (internes) dans le segment LAN est envoyé sur une seule adresse IP publique (externe).

Types NAT dynamiques

Dynamic NAT effectue la traduction d’adresses de port (PAT) ainsi que la traduction d’adresses IP. Les numéros de port sont utilisés pour distinguer quel trafic appartient à quelle adresse IP. Une seule adresse IP publique est utilisée pour toutes les adresses IP privées internes, mais un numéro de port différent est attribué à chaque adresse IP privée. PAT est un moyen économique d’autoriser plusieurs hôtes à se connecter à Internet à l’aide d’une seule adresse IP publique.

  • Port Restreint : Port Restreint NAT utilise le même port extérieur pour toutes les traductions liées à une paire Adresse IP intérieure et Port. Ce mode est généralement utilisé pour autoriser les applications P2P Internet.
  • Symétrique : le NAT symétrique utilise le même port externe pour toutes les traductions liées à une adresse IP intérieure, un port intérieur, une adresse IP externe et un tuple de port extérieur. Ce mode est généralement utilisé pour améliorer la sécurité ou augmenter le nombre maximal de sessions NAT.

NAT entrant et sortant

La direction d’une connexion peut être de l’intérieur vers l’extérieur ou de l’extérieur vers l’intérieur. Lorsqu’une règle NAT est créée, elle est appliquée aux deux directions en fonction du type de correspondance de direction.

  • Sortant : l’adresse de destination est traduite pour les paquets reçus sur le service. L’adresse source est traduite pour les paquets transmis sur le service. Le NAT dynamique sortant est pris en charge sur les services de domaine Local, Internet, Intranet et Inter-routage. Pour les services WAN tels que les services Internet et Intranet, l’adresse IP de liaison WAN configurée est choisie dynamiquement comme adresse IP externe. Pour les services de domaine Local et Inter-routage, fournissez une adresse IP externe. La zone extérieure est dérivée du service sélectionné. Un cas d’utilisation typique de NAT dynamique sortant consiste à permettre simultanément à plusieurs utilisateurs de votre réseau local d’accéder en toute sécurité à Internet à l’aide d’une seule adresse IP publique.
  • Entrant : l’adresse source est traduite pour les paquets reçus sur le service. L’adresse de destination est traduite pour les paquets transmis sur le service. Le NAT dynamique entrant n’est pas pris en charge sur les services WAN tels qu’Internet et Intranet. Il y a une erreur d’audit explicite pour indiquer la même chose. Le NAT dynamique entrant est pris en charge uniquement sur les services de domaine Local et Inter-routage. Indiquez une zone extérieure et une adresse IP externe à traduire. Un cas d’utilisation typique du NAT dynamique entrant consiste à autoriser les utilisateurs externes à accéder à des serveurs de messagerie ou Web hébergés dans votre réseau privé.

Configurer les stratégies NAT dynamiques

Pour configurer des stratégies NAT dynamiques, dans l’Éditeur de configuration, accédez à Connexions > Pare-feu > Stratégies NAT dynamiques.

Stratégie NAT dynamique

  • Priorité : ordre dans lequel la stratégie est appliquée dans toutes les stratégies définies. Les stratégies de priorité inférieure sont appliquées avant les stratégies de priorité supérieure.
  • Direction : Direction dans laquelle le trafic circule, du point de vue de l’interface ou du service virtuel. Il peut s’agir d’un trafic entrant ou sortant.
  • Type : Type de NAT dynamique à effectuer, Restreint au port ou Symétrique.
  • Type de service : Types de service SD-WAN sur lesquels la stratégie NAT dynamique est appliquée. Le NAT dynamique entrant est pris en charge sur les services de domaine local et inter-routage. NAT dynamique sortant est pris en charge sur les services de domaine local, Internet, Intranet et Inter-routage
  • Nom du service : sélectionnez un nom de service configuré qui correspond au type de service.
  • Zone intérieure : Type de correspondance de zone de pare-feu intérieur à partir de laquelle le paquet doit être utilisé pour permettre la traduction.
  • Zone extérieure : pour le trafic entrant, spécifiez le type de correspondance de zone de pare-feu externe à partir de laquelle le paquet doit être utilisé pour permettre la traduction.
  • Adresse IP intérieure : Adresse IP intérieure et préfixe à traduire si les critères de correspondance sont respectés. Entrez ‘*’ pour indiquer n’importe quelle adresse IP intérieure.
  • Adresse IP externe : Adresse IP externe et préfixe vers lesquels l’adresse IP interne est traduite si les critères de correspondance sont respectés. Pour le trafic sortant utilisant les services Internet et Intranet, l’adresse IP de liaison WAN configurée est choisie dynamiquement comme adresse IP externe.
  • Autoriser la relation : Autoriser le trafic lié au flux correspondant à la règle. Par exemple, la redirection ICMP liée au flux spécifique correspondant à la stratégie, s’il y avait un type d’erreur lié au flux.
  • Passe IPsec : Autoriser la traduction d’une session IPsec (AH/ESP).
  • GRE/PPTP Pass through : Autoriser la traduction d’une session GRE/PPTP.
  • Parité de port : Si cette option est activée, les ports externes pour les connexions NAT conservent la parité (même si le port intérieur est pair, impair si le port extérieur est impair).
  • Route du répondeur de liaison : assure que le trafic de réponse est envoyé via le même service que celui sur lequel il est reçu, afin d’éviter le routage asymétrique.

Transfert de port

NAT dynamique avec transfert de port vous permet de transférer le trafic spécifique vers une adresse IP définie. Ceci est généralement utilisé pour les hôtes internes tels que les serveurs Web. Une fois le NAT dynamique configuré, vous pouvez définir les stratégies de transfert de port. Configurez NAT dynamique pour la traduction d’adresses IP et définissez la stratégie de transfert de port pour mapper un port externe à un port intérieur. Le transfert de port NAT dynamique est généralement utilisé pour permettre aux hôtes distants de se connecter à un hôte ou à un serveur sur votre réseau privé. Pour un cas d’utilisation plus détaillé, reportez-vous à Citrix SD-WAN Dynamic NAT expliqué.

Règles de transfert de port

  • Protocole : TCP, UDP, ou les deux.
  • Port extérieur : Port extérieur qui est le port avant dans le port intérieur.
  • Adresse IP intérieure : adresse intérieure pour transférer les paquets correspondants.
  • Port intérieur : Port intérieur vers lequel le port extérieur sera transféré.
  • Fragments : Permet le transfert de paquets fragmentés.
  • Intervalle de journalisation : Temps en seconde entre la journalisation du nombre de paquets correspondant à la stratégie à un serveur syslog.
  • Début du journal : si cette option est sélectionnée, une nouvelle entrée de journal est créée pour le nouveau flux.
  • Fin du journal : consigne les données d’un flux lorsque le flux est supprimé.

    Remarque

    La valeur par défaut de l’intervalle de journalisation est 0 ce qui signifie qu’il n’y a pas de journalisation.

  • Piste : Le suivi de l’état de connexion bidirectionnel est effectué sur les paquets TCP, UDP et ICMP correspondant à la règle. Cette fonctionnalité bloque les flux qui semblent illégitimes, en raison d’un routage asymétrique ou d’un échec de la somme de contrôle, validation spécifique au protocole. Les détails de l’état sont affichés sous Surveillance > Pare-feu > Connexions.
  • Aucun suivi : le suivi de l’état de connexion bidirectionnel n’est pas effectué sur les paquets correspondant à la règle.

Chaque règle de transfert de port a une règle NAT parent. L’adresse IP externe est tirée de la règle NAT parent.

Stratégies NAT dynamiques créées automatiquement

Les stratégies NAT dynamiques pour le service Internet sont créées automatiquement dans les cas suivants :

  • Configuration du service Internet sur une interface non approuvée (lien WAN).
  • Activation de l’accès Internet pour tous les domaines de routage sur un seul lien WAN. Pour plus d’informations, voir Configurer la segmentation du pare-feu.
  • Configuration des redirecteurs DNS ou du proxy DNS sur SD-WAN. Pour plus de détails, voir Système de noms de domaine.

Surveillance

Pour surveiller NAT dynamique, accédez à Surveillance > Statistiques du pare-feu > Connexions. Pour une connexion, vous pouvez voir si NAT est fait ou non.

Connexions

Pour afficher davantage l’adresse IP interne vers le mappage d’adresse IP externe, cliquez sur NAT pré-acheminement ou NAT post-route sous Objets associés ou accédez à Surveillance > Statistiques de pare-feu > Stratégies NAT.

La capture d’écran suivante montre les statistiques de la règle NAT dynamique de type symétrique et de sa règle de transfert de port correspondante.

Stratégies NAT

Lorsqu’une règle de transfert de port est créée, une règle de pare-feu correspondante est également créée.

Règles de pare-feu

Vous pouvez voir les statistiques de stratégie de filtrage en accédant à Surveillance > Statistiques de pare-feu > Stratégies de filtrage.

Politique de filtrage

Journaux

Vous pouvez afficher les journaux liés à NAT dans les journaux de pare-feu. Pour afficher les journaux pour NAT, créez une stratégie de pare-feu qui correspond à votre stratégie NAT et assurez-vous que la journalisation est activée sur le filtre de pare-feu.

Options de journalisation

Accédez à Journalisation/Surveillance > Options du journal, sélectionnez SDWAN_firewal.log, puis cliquez sur Afficher le journal.

Afficher les journaux

Les détails de connexion NAT sont affichés dans le fichier journal.

Détails du journal NAT

NAT dynamique