Branch Office VPN トンネル経由で発信方向の動的 NAT を構成する

Branch Office VPN (BOVPN) トンネル経由の動的 NAT (DNAT) 以下の使用が可能です。動的 NAT は単方向 NAT として動作し、VPN トンネルを 1 つの方向に開いたままにします。これは、すべての VPN トラフィックが 1 つのパブリック IP アドレスから送信されるリモート サイトへの BOVPN トンネルを作成する場合に役立ちます。

たとえば、取引先のデータベース サーバーにアクセスできる一方で、自社のリソースにはアクセスされないような BOVPN トンネルを作成するとします。取引先は、接続を監視できるように、1 つの IP アドレスからのアクセスだけを許可しようとします。

この手順を実行するには、各 VPN endpoint の外部信頼済みネットワーク IP アドレスを知っている必要があります。BOVPN トンネルを経由して動的 NAT を有効にした場合は、その VPN トンネルに VPN フェールオーバー機能を使用することはできません。

1 つの endpoint からのすべてのトラフィックが単一 IP アドレスから送信されているように表示し、動的 NAT を使用する任意の BOVPN で使用される手順を 1 つずつ説明します。DNAT アドレスは、サイト A のパブリック IP アドレスやサイト A の信頼済みネットワーク上のプライベート IP アドレスなど、任意のルーティング可能 IP アドレスを指定することができます。サイト A からのすべてのトラフィックをサイト A のパブリック IP アドレスから送信する必要がある BOVPN の設定を画像に示します。

サイト A

パブリック IP アドレス — 203.0.113.2

信頼済みネットワーク — 10.0.1.0/24

サイト B

パブリック IP アドレス — 198.51.100.2

信頼済みネットワーク — 10.50.1.0/24

Fireware v12.4 以降では、IPv6 アドレスアドレス ファミリ として選択した場合は、NAT を構成できません。NAT は IPv6 BOVPN ゲートウェイに対応していません。

すべてのトラフィックを 1 つのアドレス (Site A) から送信されるように Endpoint を構成する

サイト A のデバイスに BOVPN ゲートウェイを構成します。詳細については、手動 BOVPN ゲートウェイを構成する を参照してください。そして、以下の手順で、トンネル ルート設定で動的 NAT を構成します。

  1. VPN > Branch Office VPN の順に選択します。
  2. トンネル リストの下の 追加 をクリックして、新しいトンネルを追加します。または、トンネルを選択して、編集 をクリックします。
    トンネルの構成 ページが表示されます。
  3. ゲートウェイ ドロップダウン リストから、正しいゲートウェイを選択します。
  4. アドレス タブで、追加 をクリックします。
    トンネル ルートの設定 ダイアログ ボックスが開きます。

Screen shot of Tunnel Route Settings dialog box, Addresses tab

  1. ローカル IP セクションで、種類の選択 ドロップダウン リストからローカル アドレスの種類を選択します。そして、下のテキスト ボックスに値を入力します。ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、DNS 名を入力することができます。
  2. リモート IP セクションで、種類の選択 ドロップダウン リストからリモート アドレスの種類を選択します。そして、下のテキスト ボックスに値を入力します。ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、DNS 名を入力することができます。
  3. 方向 ドロップダウン リストから、ローカルからリモートへ を選択します。

トンネルの動的 NAT を有効化する前に、トンネルを通過するトラフィックの方向を設定する必要があります。

  1. NAT タブをクリックします。動的 NAT チェックボックスを選択します。隣のテキスト ボックスに、リモートネットワークでトンネル経由のすべてのトラフィックの送信元として表示される IP アドレスを入力します。

トンネル ルートの設定 ダイアログ ボックスの NAT タブのスクリーンショット

  1. OK をクリックします。
    トンネル ルートが追加されます。

Screen shot of tunnel settings page

  1. Firebox への変更を保存します。
  1. VPN > Branch Office トンネル の順に選択します。
  2. 追加 をクリックして、新しいトンネルを追加します。または、トンネルを選択して、編集 をクリックします。
    トンネルの追加 または トンネルの編集 ダイアログ ボックスが表示されます。
  3. ゲートウェイ ドロップダウン リストから、正しいゲートウェイを選択します。
  4. アドレス タブで、追加 をクリックします。

    トンネル ルートの設定 ダイアログ ボックスが開きます。

Screen shot of Tunnel Route Settings dialog box with settings for DNAT to public IP

  1. ローカル ドロップダウン リストから、希望のローカル アドレスを選択します。
    また、ローカル ドロップダウン リストの横にあるボタンをクリックして、 ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、または DNS 名を指定することもできます。
  2. リモート テキスト ボックスに、リモートネットワーク アドレスを入力します。
    また、横にあるボタンをクリックして、ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、DNS 名を指定することができます。
  3. 方向 ドロップダウン リストから、矢印が リモート をポイントする 2 番目のオプションを選択します。
  4. DNAT チェックボックスを選択します。隣のテキスト ボックスに、リモートネットワークでトンネル経由のすべてのトラフィックの送信元として表示される IP アドレスを入力します。
  5. OK をクリックします。
    トンネル ルートが追加されます。

Screen shot of Edit Tunnel dialog box with settings for DNAT example for SiteB_Network tunnel

  1. Firebox への変更を保存します。

すべてのトラフィックが 1 つの IP アドレス (Site B) から送信されるように Endpoint を構成する

サイト B のデバイスに BOVPN ゲートウェイを構成します。詳細については、手動 BOVPN ゲートウェイを構成する を参照してください。そして、以下の手順で、トンネル ルート設定で動的 NAT を構成します。

  1. VPN > BOVPN の順に選択します。トンネル リストの下にある 追加 をクリックして、新しいトンネルを追加します。または、既存のトンネルを選択して、編集 をクリックします。
    トンネルの設定が表示されます。
  2. ゲートウェイ ドロップダウン リストから、正しいゲートウェイを選択します。
  3. アドレス タブで、追加 をクリックします。
    トンネル ルートの設定 ダイアログ ボックスが開きます。

トンネル ルートの設定 ダイアログ ボックスのスクリーンショット

  1. ローカル IP セクションで、種類の選択 ドロップダウン リストからローカル アドレスの種類を選択します。その横のテキスト ボックスに値を入力します。ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、またはホスト名を入力することができます。このアドレスは、サイト A のトンネル ルートで構成したリモート アドレスに一致する必要があります。
  2. リモート IP セクションで、種類の選択 ドロップダウン リストからリモート アドレスの種類を選択します。テキスト ボックスの横に値を入力します。ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、またはホスト名を入力することができます。このアドレスはサイト A で構成した DNAT アドレスに一致する必要があります。
  3. 方向 ドロップダウン リストから、リモートからローカルへ を選択します。
  4. NAT タブでは、何も選択しないでください。
  5. OK をクリックします。
    トンネル ルートが追加されます。

Screen shot of the ranch Office VPN tunnel settings page

  1. Firebox への変更を保存します。
  1. Policy Manager から、BOVPN のゲートウェイを構成します。詳細については、手動 BOVPN ゲートウェイを構成する を参照してください。
  2. VPN > Branch Office トンネル の順に選択します。追加 をクリックして、新しいトンネルを追加します。または、既存のトンネルを選択して、編集 をクリックします。
    トンネルの追加 または トンネルの編集 ダイアログ ボックスが表示されます。
  3. ゲートウェイ ドロップダウン リストから、正しいゲートウェイを選択します。
  4. アドレス タブで、追加 をクリックします。
    トンネル ルートの設定 ダイアログ ボックスが開きます。

トンネル ルートの設定 ダイアログ ボックスのスクリーンショット

  1. ローカル ドロップダウン リストから、希望のローカル アドレスを選択します。
    また、ローカル ドロップダウン リストの横にあるボタンをクリックして、ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、またはホスト名を指定することができます。このアドレスは、サイト A のトンネル ルートで構成したリモート アドレスに一致する必要があります。
  2. リモート テキスト ボックスに、リモート IP アドレスを入力します。また、横にあるボタンをクリックして、ホスト IP アドレス、ネットワーク アドレス、ホスト IP アドレスの範囲、ホスト名を指定することができます。このアドレスはサイト A で構成した DNAT アドレスに一致する必要があります。
  3. 方向 ドロップダウン リストから、矢印が ローカル を指し示す 3 番目のオプションを選択します。
  4. NAT 設定 エリアでは、何も選択しないでください。
  5. OK をクリックします。
    トンネル ルートが追加されます。

Screen shot of Edit Tunnel dialog box with settings for DNAT from the remote endpoint

  1. Firebox への変更を保存します。

サイト B のデバイスが再起動したら、2 つのデバイスが VPN トンネルとネゴシエートします。サイト A のデバイスにより、サイト B のデバイスの信頼済みネットワークに送信されたすべてのトラフィックに対して、動的 NAT が適用されます。このトラフィックがサイト B に到達すると、DNAT IPアドレスから送信されたトラフィックとして受信されます。

関連情報:

動的 NAT について

Branch Office VPN トンネル経由で 1-to-1 NAT を構成する