W niektórych sytuacjach zachodzi potrzeba połączenia identycznych zdalnych podsieci. Ponieważ polisa IPSEC realizuje m.in. trasowanie ruchu konieczne jest aby podsieci połączone przez IPSEC VPN były różne (rozłączne). Możemy rozwiązać ten problem bez konieczności zmiany adresacji sieci zdalnej. Z pomocą przychodzi technologia znana pod nazwą ONE-to-ONE NAT.

Powyższa topologia wymaga zastosowania dodatkowych sieci (wirtualnych) które będą mogły zostać wykorzystane przy definiowaniu polis IPSEC.

A

Konfiguracja

IPSEC VPN

W konfiguracji połączenia tunelowanego, jeżeli odnosimy się do zasobów zdalnych,  posługujemy się tylko sieciami „wirtualnymi”.

NAT

Pierwszy wpis dokonuje translacji odwołań z naszej sieci do zasobów zdalnych. Ponieważ poprzez połączenie tunelowane IPSEC mogą być transmitowane pakiety które zostały zdefiniowane w polisie IPSEC musimy zmienić oryginalny adres źródła pakietu. Standardowo Translacja NAT jest przetwarzana po obsłudze IPSEC, opcja w kolumnie Opcje pozwala zmienić tą kolejność dla danej reguły.

Trzeba pamiętać aby obie podsieci, rzeczywista i wirtualna były jednakowej wielkości, tj. miały identyczne maski sieciowe.

Drugi wpis odpowiada za przekierowanie pakietów przychodzących z zasobów zdalnych do naszych rzeczywistych hostów.

Firewall

B

Konfiguracja

IPSEC VPN

NAT

Firewall

Dodatek

Przedstawiony powyżej przykład konfiguracji nasuwa pomysł na jeszcze inne wykorzystanie techniki One-to-One NAT. Mając na względzie poniższą topologie możemy „ukryć” prawdziwą adresację naszej sieci lokalnej przy udostępnianiu w ramach tunelowania IPSEC (np. ze względów bezpieczeństwa lub też elastyczności konfiguracji).

Udostępnimy stronie B naszą sieć lokalną ale podamy im  inną od rzeczywistej naszą adresację w LAN. Konfiguracja tunelu będzie w takiej sytuacji wyglądała w następujący sposób:

 

A

Konfiguracja

IPSEC VPN

NAT

Firewall

B

Konfiguracja

IPSEC VPN

Firewall