サーバーが同じ物理 Firebox インターフェイスにある場合は、NAT ループバックにより、信頼済みネットワークまたは任意ネットワークのユーザーは、パブリック IP アドレスまたはドメイン名を使用して、パブリック サーバーに接続することができます。Mobile VPN ユーザーが信頼済みネットワークまたは任意ネットワークに接続し、VPN トンネル経由でインターネット トラフィックをルーティングする場合は、Mobile VPN クライアントからのトラフィックの NAT ループバックを構成することができます。
静的 NAT または 1-to-1 NAT で NAT ループバックを構成することができます。
- Mobile VPN with IKEv2、L2TP および SSL — 静的 NAT または 1-to-1 NAT を使用して、Mobile VPN クライアントから NAT ループバックを構成することができます。
- Mobile VPN with IPSec — Mobile VPN with IPSec が静的 NAT アクションをサポートしていないため、1-to-1 NAT を使用して、Mobile VPN クライアントからのトラフィックの NAT ループバックを有効化する必要があります。
Mobile VPN ユーザーが NAT ループバックを使用できるようにするには、モバイル ユーザーおよび VPN クライアントからのトラフィックを許可する VPN ポリシーが、以下の要件を満たしている必要があります。
- クライアントは VPN を使用して、サーバー IP アドレスにトラフィックをルーティングする必要があります。
- NAT ループバックが静的 NAT アクションとして構成されている場合は、クライアントは VPN を使用して、静的 NAT アクションで使用される IP アドレスにトラフィックをルーティングする必要があります
- NAT ループバックが 1-to-1 NAT で構成されている場合は、クライアントは VPN を使用して、NAT ベース IP アドレスにトラフィックをルーティングする必要があります。
- VPN 設定で構成されている許可リソースには、静的 NAT の IP アドレスまたはサブネット、あるいは 1-to-1 NAT ベース IP アドレスが含まれている必要があります。
- Mobile VPN with IPSec の場合は、Mobile VPN with IPSec プロファイルおよび Mobile VPN ポリシーで許可されている VPN リソースには、NAT ベース IP アドレス、または 1-to-1 NAT 設定で構成されている NAT ベース IP アドレスを含むサブネットが含まれている必要があります。
- 送信先 リストに静的 NAT または NAT ベース IP アドレスがあるポリシーには、ポリシーと一致させるために、Mobile VPN ユーザーからのトラフィックの 送信元 リストに以下のいずれかが含まれている必要があります:
- Mobile VPN ユーザーの名前。
- Mobile VPN ユーザーが所属しているグループ名。
- Mobile VPN ユーザーに割り当てられている仮想 IP アドレスを含む、またはそれに一致する IP アドレス、サブネット、またはエイリアス。ユーザーに割り当てられる仮想 IP アドレスは、VPN に構成されている IP アドレス プールにより異なります。
- Any のエイリアス。
各要件を満たすことができない場合でも、VPN 構成およびポリシーでホストへのアクセスが許可されていれば、ユーザーは内部ホストの内部プライベート IP アドレスを使用して、それに接続することができます。クライアントが静的 NAT または 1-to-1 NAT ベース IP アドレスで使用されるパブリック IP アドレスにルーティングするために Mobile VPN を使用しない場合で、構成されているポリシーでその受信トラフィックが許可されている場合は、クライアントは標準のインターネット接続を使用してサーバーのパブリック IP アドレスに接続することができます。