Configurar regras NAT para seu gateway VPN WAN Virtual

  • Artigo

Você pode configurar seu gateway VPN WAN virtual com regras NAT estáticas um-para-um. Uma regra NAT fornece um mecanismo para configurar a tradução um-para-um de endereços IP. NAT pode ser usado para interconectar duas redes IP que têm endereços IP incompatíveis ou sobrepostos. Um cenário típico são ramificações com IPs sobrepostos que desejam acessar recursos de VNet do Azure.

Essa configuração usa uma tabela de fluxo para rotear o tráfego de um endereço IP externo (host) para um endereço IP interno associado a um ponto de extremidade dentro de uma rede virtual (máquina virtual, computador, contêiner, etc.).

Diagrama mostrando a arquitetura.

Para usar o NAT, os dispositivos VPN precisam usar seletores de tráfego de qualquer para qualquer (curinga). Não há suporte para seletores de tráfego baseados em políticas (estreitos) em conjunto com a configuração NAT.

Configurar regras NAT

Você pode configurar e visualizar regras NAT nas configurações do seu gateway VPN a qualquer momento.

Tipo de NAT: estático & dinâmico

O NAT em um dispositivo gateway traduz os endereços IP de origem e/ou destino, com base nas políticas ou regras de NAT para evitar conflitos de endereço. Existem diferentes tipos de regras de tradução NAT:

  • ANT estático: as regras estáticas definem uma relação de mapeamento de endereço fixo. Para um determinado endereço IP, ele será mapeado para o mesmo endereço do pool de destino. Os mapeamentos para regras estáticas são sem monitoração de estado porque o mapeamento é fixo. Por exemplo, uma regra NAT criada para mapear 10.0.0.0/24 a 192.168.0.0/24 terá um mapeamento fixo de 1-1. 10.0.0.0 é traduzido para 192.168.0.0, 10.0.0.1 é traduzido para 192.168.0.1 e assim por diante.

  • AT dinâmico: Para NAT dinâmico, um endereço IP pode ser convertido para diferentes endereços IP de destino e porta TCP/UDP com base na disponibilidade, ou com uma combinação diferente de endereço IP e porta TCP/UDP. Este último também é chamado de NAPT, Network Address and Port Translation. As regras dinâmicas resultarão em mapeamentos de tradução com monitoração de estado, dependendo dos fluxos de tráfego a qualquer momento. Devido à natureza do NAT dinâmico e às combinações IP/porta em constante mudança, os fluxos que fazem uso de regras NAT dinâmicas têm que ser iniciados a partir do intervalo de IP de mapeamento interno (pré-NAT). O mapeamento dinâmico é liberado assim que o fluxo é desconectado ou terminado normalmente.

Outra consideração é o tamanho do pool de endereços para tradução. Se o tamanho do pool de endereços de destino for o mesmo que o pool de endereços original, use a regra NAT estática para definir um mapeamento 1:1 em uma ordem sequencial. Se o pool de endereços de destino for menor do que o pool de endereços original, use a regra NAT dinâmica para acomodar as diferenças.

Nota

O NAT site a site não é suportado com ligações de VPN site a site onde são utilizados seletores de tráfego baseados em políticas.

Captura de ecrã a mostrar como editar regras.

  1. Navegue para o hub virtual.

  2. Selecione VPN (Site a site).

  3. Selecione Regras NAT (Editar).

  4. Na página Editar Regra NAT, você pode Adicionar/Editar/Excluir uma regra NAT usando os seguintes valores:

    • Nome: um nome exclusivo para sua regra NAT.
    • Tipo: Estático ou Dinâmico. O NAT estático um-para-um estabelece uma relação um-para-um entre um endereço interno e um endereço externo, enquanto o NAT dinâmico atribui um IP e uma porta com base na disponibilidade.
    • ID de configuração IP: uma regra NAT deve ser configurada para uma instância específica do gateway VPN. Isto aplica-se apenas ao NAT dinâmico. As regras NAT estáticas são aplicadas automaticamente a ambas as instâncias do gateway VPN.
    • Modo: IngressSnat ou EgressSnat.
      • O modo IngressSnat (também conhecido como NAT de origem de ingresso) é aplicável ao tráfego que entra no gateway de VPN site a site do hub do Azure.
      • O modo EgressSnat (também conhecido como NAT de origem de saída) é aplicável ao tráfego que sai do gateway de VPN site a site do hub do Azure.
    • Mapeamento interno: um intervalo de prefixos de endereço de IPs de origem na rede interna que será mapeado para um conjunto de IPs externos. Em outras palavras, seu intervalo de prefixo de endereço pré-NAT.
    • Mapeamento externo: um intervalo de prefixos de endereço de IPs de destino na rede externa para o qual os IPs de origem serão mapeados. Em outras palavras, seu intervalo de prefixo de endereço pós-NAT.
    • Conexão de link: recurso de conexão que conecta virtualmente um site VPN ao gateway VPN site a site do hub WAN Virtual do Azure.

Nota

Se você quiser que o gateway VPN site a site anuncie prefixos de endereço traduzidos (Mapeamento Externo) via BGP, clique no botão Habilitar Tradução BGP, devido ao qual o local aprenderá automaticamente o intervalo pós-NAT das Regras de Saída e o Azure (hub WAN Virtual, redes virtuais conectadas, ramificações VPN e ExpressRoute) aprenderá automaticamente o intervalo pós-NAT das regras de Ingresso. Os novos intervalos NAT POST serão mostrados na tabela Rotas efetivas em um hub virtual. A configuração Habilitar Tradução Bgp é aplicada a todas as regras NAT no gateway VPN site a site do hub WAN Virtual.

Configurações de exemplo

Ingress SNAT (site VPN habilitado para BGP)

As regras SNAT de entrada são aplicadas em pacotes que estão entrando no Azure por meio do gateway de VPN site a site da WAN Virtual. Nesse cenário, você deseja conectar duas ramificações VPN site a site ao Azure. O Site VPN 1 se conecta via Link A e o Site VPN 2 se conecta via Link B. Cada site tem o mesmo espaço de endereço 10.30.0.0/24.

Neste exemplo, vamos NAT site1 para 172.30.0.0.0/24. A WAN Virtual falou redes virtuais e filiais outras irá aprender automaticamente este espaço de endereço pós-NAT.

O diagrama a seguir mostra o resultado projetado:

Diagrama mostrando NAT do modo de entrada para sites habilitados para BGP.

  1. Especifique uma regra NAT.

    Especifique uma regra NAT para garantir que o gateway VPN site a site possa distinguir entre as duas ramificações com espaços de endereço sobrepostos (como 10.30.0.0/24). Neste exemplo, nos concentramos no Link A para o Site VPN 1.

    A regra NAT a seguir pode ser configurada e associada ao Link A. Como esta é uma regra NAT estática, os espaços de endereço do Mapeamento Interno e do Mapeamento Externo contêm o mesmo número de endereços IP.

    • Designação: ingressRule01
    • Tipo: Estático
    • Modalidade: IngressSnat
    • Mapeamento interno: 10.30.0.0/24
    • Mapeamento externo: 172.30.0.0/24
    • Conexão de link: Link A

  2. Alterne a conversão de rota BGP para 'ativar'.

    Captura de tela mostrando como habilitar a tradução BGP.

  3. Certifique-se de que o gateway VPN site a site possa emparelhar com o par BGP local.

    Neste exemplo, a Regra NAT de Ingresso precisará traduzir 10.30.0.132 para 172.30.0.132. Para fazer isso, clique em 'Editar site VPN' para configurar o endereço BGP Link A do site VPN para refletir esse endereço de mesmo nível BGP traduzido (172.30.0.132).

    Captura de tela mostrando como alterar o IP de emparelhamento BGP.

Considerações se o site VPN se conectar via BGP

  • O tamanho da sub-rede para mapeamento interno e externo deve ser o mesmo para NAT estático um-para-um.

  • Se a Tradução BGP estiver habilitada, o gateway VPN site a site anunciará automaticamente as regras de Mapeamento Externo de NAT de Saída para o local, bem como o Mapeamento Externo de regras de NAT de Entrada para o Azure (hub WAN virtual, redes virtuais conectadas, VPN/Rota Expressa conectada). Se a Tradução BGP estiver desativada, as rotas traduzidas não serão anunciadas automaticamente no local. Como tal, o alto-falante BGP local deve ser configurado para anunciar o intervalo pós-NAT (Mapeamento Externo) de regras de NAT de Ingresso associadas a essa conexão de link de site VPN. Da mesma forma, uma rota para o intervalo pós-NAT (Mapeamento Externo) das Regras NAT de Saída deve ser aplicada no dispositivo local.

  • O gateway VPN site a site traduz automaticamente o endereço IP de mesmo nível BGP local se o endereço IP de par BGP local estiver contido no mapeamento interno de uma regra NAT de entrada. Como resultado, o endereço BGP de conexão de link do site VPN deve refletir o endereço traduzido por NAT (parte do mapeamento externo).

    Por exemplo, se o endereço IP BGP local for 10.30.0.133 e houver uma Regra NAT de Ingresso que traduza 10.30.0.0/24 para 172.30.0.0/24, o Endereço BGP de Conexão de Link do site VPN deverá ser configurado para ser o endereço traduzido (172.30.0.133).

  • No NAT dinâmico, o IP de mesmo nível BGP local não pode fazer parte do intervalo de endereços pré-NAT (mapeamento interno), pois as traduções de IP e porta não são fixas. Se houver necessidade de traduzir o IP de emparelhamento BGP local, crie uma Regra NAT estática separada que traduza apenas o endereço IP de emparelhamento BGP.

    Por exemplo, se a rede local tiver um espaço de endereço de 10.0.0.0/24 com um IP de par BGP local de 10.0.0.1 e houver uma Regra NAT Dinâmica de Ingresso para traduzir 10.0.0.0/24 para 192.198.0.0/32, uma Regra NAT Estática de Ingresso separada traduzindo 10.0.0.1/32 para 192.168.0.02/32 será necessária e o endereço BGP de Conexão de Link do site VPN correspondente deverá ser atualizado para o endereço traduzido por NAT (parte do Mapeamento Externo).

Ingress SNAT (site VPN com rotas configuradas estaticamente)

As regras SNAT de entrada são aplicadas em pacotes que estão entrando no Azure por meio do gateway de VPN site a site da WAN Virtual. Nesse cenário, você deseja conectar duas ramificações VPN site a site ao Azure. O Site VPN 1 se conecta via Link A e o Site VPN 2 se conecta via Link B. Cada site tem o mesmo espaço de endereço 10.30.0.0/24.

Neste exemplo, vamos NAT VPN site 1 para 172.30.0.0.0/24. No entanto, como o Site VPN não está conectado ao gateway VPN site a site via BGP, as etapas de configuração são ligeiramente diferentes do exemplo habilitado para BGP.

Captura de tela mostrando configurações de diagrama para sites VPN que usam roteamento estático.

  1. Especifique uma regra NAT.

    Especifique uma regra NAT para garantir que o gateway VPN site a site possa distinguir entre as duas ramificações com o mesmo espaço de endereço 10.30.0.0/24. Neste exemplo, nos concentramos no Link A para o Site VPN 1.

    A seguinte regra NAT pode ser configurada e associada ao Link A de um dos sites VPN 1. Como esta é uma regra NAT estática, os espaços de endereço do Mapeamento Interno e do Mapeamento Externo contêm o mesmo número de endereços IP.

    • Nome: IngressRule01
    • Tipo: Estático
    • Modalidade: IngressSnat
    • Mapeamento interno: 10.30.0.0/24
    • Mapeamento externo: 172.30.0.0/24
    • Conexão de link: Link A

  2. Edite o campo 'Espaço de endereço privado' do Site VPN 1 para garantir que o gateway VPN site a site aprenda o intervalo pós-NAT (172.30.0.0/24).

    • Vá para o recurso de hub virtual que contém o gateway VPN site a site. Na página do hub virtual, em Conectividade, selecione VPN (Site a site).

    • Selecione o site VPN que está conectado ao hub WAN Virtual via Link A. Selecione Editar Site e insira 172.30.0.0/24 como o espaço de endereço privado para o site VPN.

      Captura de ecrã a mostrar como editar o espaço de Endereço Privado de um site VPN

Considerações se os sites VPN estiverem configurados estaticamente (não conectados via BGP)

  • O tamanho da sub-rede para mapeamento interno e externo deve ser o mesmo para NAT estático um-para-um.
  • Edite o site VPN no portal do Azure para adicionar os prefixos no Mapeamento Externo de Regras NAT de Entrada no campo 'Espaço de Endereço Privado'.
  • Para configurações que envolvem regras NAT de saída, uma política de rota ou rota estática com o mapeamento externo da regra NAT de saída precisa ser aplicada no dispositivo local.

Fluxo de pacotes

Nos exemplos anteriores, um dispositivo local deseja alcançar um recurso em uma rede virtual falada. O fluxo de pacotes é o seguinte, com as traduções NAT em negrito.

  1. O tráfego local é iniciado.

    • Endereço IP de origem: 10.30.0.4
    • Endereço IP de destino: 10.200.0.4

  2. O tráfego entra no gateway site a site e é traduzido usando a regra NAT e, em seguida, enviado para o Spoke.

    • Endereço IP de origem: 172.30.0.4
    • Endereço IP de destino: 10.200.0.4

  3. A resposta de Spoke é iniciada.

    • Endereço IP de origem: 10.200.0.4
    • Endereço IP de destino: 172.30.0.4

  4. O tráfego entra no gateway de VPN site a site e a tradução é revertida e enviada para o local.

    • Endereço IP de origem: 10.200.0.4
    • Endereço IP de destino: 10.30.0.4

Verificações

Esta seção mostra verificações para verificar se sua configuração está configurada corretamente.

Validar regras NAT dinâmicas

  • Use Regras NAT Dinâmicas se o pool de endereços de destino for menor que o pool de endereços original.

  • Como as combinações IP/Porta não são fixadas em uma Regra NAT Dinâmica, o IP de Peer BGP local não pode fazer parte do intervalo de endereços pré-NAT (Mapeamento Interno). Crie uma regra NAT estática específica que traduza apenas o endereço IP de emparelhamento BGP.

    Por exemplo:

    • Intervalo de endereços local: 10.0.0.0/24
    • IP BGP local: 10.0.0.1
    • Regra NAT dinâmica de ingresso: 192.168.0.1/32
    • Regra NAT estático de ingresso: 10.0.0.1 -> 192.168.0.2

Validar DefaultRouteTable, regras e rotas

As ramificações na WAN Virtual associam-se à DefaultRouteTable, implicando que todas as conexões de ramificação aprendem rotas que são preenchidas dentro da DefaultRouteTable. Você verá a regra NAT com o prefixo traduzido nas rotas efetivas de DefaultRouteTable.

Do exemplo anterior:

  • Prefixo: 172.30.0.0/24
  • Tipo de próximo salto: VPN_S2S_Gateway
  • Próximo Salto: VPN_S2S_Gateway Recurso

Validar prefixos de endereço

Este exemplo se aplica a recursos em redes virtuais associados ao DefaultRouteTable.

As Rotas Efetivas em Placas de Interface de Rede (NIC) de qualquer máquina virtual que esteja sentada em uma rede virtual spoke conectada ao hub WAN virtual também devem conter os prefixos de endereço do Mapeamento Externo especificado na regra NAT de Ingresso.

O dispositivo local também deve conter rotas para prefixos contidos nas regras de NAT de mapeamento externo de saída.

Padrões de configuração comuns

Nota

O NAT site a site não é suportado com ligações de VPN site a site onde são utilizados seletores de tráfego baseados em políticas.

A tabela a seguir mostra padrões de configuração comuns que surgem ao configurar diferentes tipos de regras NAT no gateway VPN site a site.

Tipo de site VPN Regras de NAT de ingresso Regras de NAT de saída
Site VPN com rotas configuradas estaticamente Edite 'Espaço de Endereço Privado' no Site VPN para conter o Mapeamento Externo da regra NAT. Aplique rotas para o mapeamento externo da regra NAT no dispositivo local.
Site VPN (tradução BGP habilitada) Coloque o endereço de mapeamento externo do par BGP no endereço BGP da conexão de link do site VPN. Sem considerações especiais.
Site VPN (tradução BGP desativada) Certifique-se de que o alto-falante BGP local anuncie os prefixos no mapeamento externo da regra NAT. Coloque também o endereço de mapeamento externo do par BGP no endereço BGP do site VPN Link Connection. Aplique rotas para o mapeamento externo da regra NAT no dispositivo local.

Próximos passos

Para obter mais informações sobre configurações site a site, consulte Configurar uma conexão site a site da WAN virtual.