Draytek Vigor VPN 隐藏-NAT

我有一个最终用户试图将他们的分支机构连接到我的站点，他们正在使用 Draytek Vigor 2862。

在我们这边，我们希望分支机构在到达我们之前隐藏其流量，这样我们就不必管理大量 RFC1918 地址空间。通常我们在分支机构 WAN 连接的固定 IP 后面执行此操作。分支机构永远不需要相互通信。

branch-lan                     branch-wan                  hq-wan             hq-lan
192.168.a.0/24   --- NAT -->   77.x.x.x     --- VPN --->   213.y.y.y   --->   172.31.b.0/20

在 Cisco ASA 世界中（我最熟悉的地方），我只需使用匹配源=77.xxx 和目标=172.31.bb/20 的访问列表建立隧道，然后故意不是将该源/目标对包含在nat 0（或身份 NAT）策略中，并允许从 0.0.0.0 到 77.xxx 的默认 NAT 发生，例如

object network BRANCH_LAN
  subnet 192.168.a.0 255.255.255.0
object network HQ_LAN
  host 172.31.b.0/20
object network ANY_IPV4
  subnet 0.0.0.0 0.0.0.0

access-list HQ_VPN extended permit ip interface OUTSIDE object HQ_LAN

nat (INSIDE,OUTSIDE) after-auto source dynamic BRANCH_LAN interface destination static ANY_IPV4 ANY_IPV4

crypto map CRYPTOMAP 10 match address HQ_VPN
crypto map CRYPTOMAP 10 set peer 213.y.y.y
...

tunnel-group 213.y.y.y

在 Draytek 世界中，NAT 似乎有很多勾选框选项，但它们似乎都没有做任何明智的事情。具体来说，在VPN 和远程访问 >> LAN 到 LAN个人资料选项，TCP/IP 网络设置部分：

1. 我可以设置本地网络/掩码和远程网络/掩码
2. 有一个名为的下拉字段从第一个子网到远程网络，你必须执行有选项路线或者NAT
3. 有一个复选框字段具有相同子网的 IPsec VPN

选项＃1大概是隧道加密域，我们分别将Local和Remote设置为77.x.x.x和172.31.b.0/20地址。

选择选项 #3 会隐藏选项 #2 并更改选项 #1，以便您只能输入远程网络 IP/掩码。然后，您可以选择转换本地网络（通过包含LAN1到LAN4）到给定地址。此外，虚拟 IP 映射按钮已启用，允许您提供虚拟 IP 和真实 IP。

将选项 #2 设置为NAT隐藏选项 #3。它不提供任何附加字段来确定什么源地址被翻译到。

选项 #2 的文档有帮助地说：

如果远程网络只允许单IP拨号，请选择NAT，否则选择路线。

选项＃3 似乎提供了对 IP 地址映射的更严格的控制，但在实践中，这似乎仅在相同大小的子网内提供一对一映射，例如 192.168.a.1 变为 192.168.b.1，192.168.a.2 变为 192.168.b.2，等等。

将选项 #2 设置为NAT看起来最接近典型的隐藏 NAT，但它没有表明什么地址实际上是用来代替 LAN 范围的。

无论如何，我找不到任何可以同时建立隧道的选项组合和流量从分支机构流向总部。我们已成功建立隧道没有流量大，但是那有什么用呢？！

Draytek 的演示界面位于http://eu.draytek.com:12862/，以说明上述选项。

现在，在这成为一个咆哮没有问题，有哪位有丰富的 Draytek 经验的人可以告诉我......

• 最终用户将原文翻译成什么，什么时候从第一个子网到远程网络，你必须执行被设定为NAT？
• 是否本地网络 IP/掩码应该指加密域的本地部分（即 77.xxx），还是应该始终指本地 LAN（192.168.a.0/24）？
• 在 VPN 握手期间，Draytek 发送的加密域NAT被选中？