サイト間VPNの NAT 変換機能
このドキュメントは原文を 2025年07月18日付けで翻訳したものです。
最新の情報は原文をご確認ください。
概要
サイト間VPNで接続された複数拠点の分散展開において、ネットワーク管理者はサイト間VPNを通過するトラフィックにアドレス変換が必要になる場合があります。1:1のサブネット変換は、複数拠点で同じサブネットが存在し、かつ両方ともサイト間VPNに参加する必要がある場合に使用できます。あるいは、大規模な展開でIP空間を節約する必要がある場合は、1:M NATを使用して、サブネット全体を1つのIPアドレスに変換し、そのIPアドレスをサイト間VPNでエクスポートすることができます。
VPNサブネット変換
VPNサブネット変換では、サイト間VPNで許可されているサブネットを同じサイズの別のサブネットに変換できます。このオプションは、同じサブネットが複数拠点で使われており、それぞれのサブネットがサイト間VPNにアクセスする必要がある場合に最適です。
設定方法
VPNサブネット変換を設定するには:
- セキュリティ&SD-WAN > 設定 > サイト間VPNに移動します。
- VPNサブネット変換を有効に設定します。これにより、ローカルネットワーク用にVPNサブネットの列が新しく表示されます。
- 変換が必要なローカルサブネットについて、VPN参加を変換ありでVPNオンに設定します。
- VPNサブネット欄に、ローカルサブネットと同じサイズのサブネットを入力します。
- 変更を保存を選択します。
動作
以下の例を考えてみます:
- 192.168.128.0/24 サブネットが2拠点に存在する
- 両拠点のこのサブネット内のデバイスやユーザーは、サイト間VPN経由でリソースにアクセスする必要がある
- サイト間VPN全体でのアドレスやルーティングの競合を避けるため、192.168.128.0/24 は 10.15.30.0/24 へ変換されるよう構成
- IPアドレス192.168.128.44のホストが、VPN経由でアドレス172.16.30.8のWebサーバと通信している
- Webサーバも別のMXセキュリティアプライアンスにローカルで接続されている。このMXもサイト間VPNの一部である
VPNサブネット変換が構成されている場合、MXは送信元IPアドレスをアドレス変換テーブルで確認します。192.168.128.44 がVPN経由でWebサーバへ通信しようとすると、その送信元IPはローカルサブネット192.168.128.0/24に含まれていると判定され、変換が必要になります。MXはクライアントのIPを変換先サブネット内の対応するIPにマッピングします。例のクライアントのトラフィックがサイト間VPNを出るとき、そのIPアドレスは10.15.30.44 となります。
VPNサブネット変換が構成されている場合、変換後のサブネットは自動的にすべてのリモートサイト間VPN参加者に広告されます。この例では、Webサーバ(172.16.30.8)がクライアントと通信するには、10.15.30.44(変換サブネット内の同オフセットのIP)宛にトラフィックを送信する必要があります。Webサーバから10.15.30.44宛のトラフィックがローカルMXに届くと、適切なリモートMXにルーティングされ、MXのLANから出る前に宛先IPは192.168.128.44に戻されます。
同じサブネットが複数拠点に存在する場合、その重複サブネットはVPNアクセスを許可する各ネットワークごとに変換設定する必要があります。
1対多(1:M) VPN NAT
VPN用の1:M NATを使用すると、サイト間VPNで許可されているサブネットを単一のIPアドレスに変換できます。このオプションは、サイト間VPN内のIPアドレスを節約する必要がある大規模展開に最適です。
設定方法
VPN用の1:M NATを設定するには:
- セキュリティ&SD-WAN > 設定 > サイト間VPNに移動します。
- VPNサブネット変換を有効に設定します。これにより、ローカルネットワーク用にVPNサブネットの列が新しく表示されます。
- 変換が必要なローカルサブネットについて、VPN参加を変換ありでVPNオンに設定します。
- VPNサブネット欄に、ローカルサブネット用の1つのIPアドレス(CIDR表記 /32)を入力します。
- 変更を保存をクリックします。
動作
以下の例を考えてみます:
- 192.168.128.0/24 サブネットがサイト間VPNで許可されている
- サイト間VPN全体でIP空間を節約するため、192.168.128.0/24 は10.15.30.18に変換されるよう構成
- IPアドレス192.168.128.44のホストが、VPN経由でアドレス172.16.30.8のWebサーバと通信している
- Webサーバも別のMXセキュリティアプライアンスにローカルで接続されている。このMXもサイト間VPNの一部である
サイト間VPN用の1:M NATが構成されている場合、MXは送信元IPアドレスをアドレス変換テーブルで確認します。192.168.128.44 がVPN経由でWebサーバへ通信しようとすると、その送信元IPはローカルサブネット192.168.128.0/24に含まれていると判定され、変換が必要になります。MXは送信元IPアドレスをVPNサブネットで指定されたIPアドレスにマッピングします。例のクライアントのトラフィックがサイト間VPNを出るとき、そのIPアドレスは10.15.30.18 となります。
1:M NAT for VPNが構成されている場合、変換後のサブネット(この例では10.15.30.18)は自動的にすべてのリモートサイト間VPN参加者に広告されます。この例では、Webサーバからの応答トラフィックは宛先IPアドレス10.15.30.18を使ってクライアントに送信する必要があります。Webサーバから10.15.30.18宛のトラフィックがローカルMXで受信されると、適切なリモートMXにルーティングされます。
Webサーバからのトラフィックが、クライアント発の既存のVPNフローへの応答である場合はVPNを通過でき、宛先IPアドレスは元のクライアントのものに戻され、そのクライアントに転送されます。もしトラフィックが既存フローへの応答でない場合は、トラフィックは破棄されます。つまり、VPN用の1:M NATを使用するとNATはステートフルとなり、サイト間VPNファイアウォールルールで許可されていたとしても、要求されていない受信トラフィックは許可されません。
サイト間ファイアウォールルールの考慮事項
サイト間VPN変換を使用する場合、構成済みのサイト間ファイアウォールルールは、変換後サブネットではなく、変換前の送信元サブネットで設定する必要があります(変換を行う送信元MXでトラフィックをフィルタする場合)。
変換を行っていないリモートMXで処理されるトラフィックについては、サイト間ファイアウォールルールで変換後サブネットを使用する必要があります。
例えば、MX Aに192.168.128.0/24というサブネットがあり、それを10.0.0.0/24に変換している場合、そのサブネットからリモートサブネットへの通信を拒否したい場合は、サイト間ファイアウォールルールの送信元サブネットとして192.168.128.0/24を設定する必要があります。
逆に、リモートサブネットからMX A上の192.168.128.0/24 へのアクセスを拒否したい場合は、宛先サブネットとして10.0.0.0/24を設定する必要があります。
この機能の詳細については、こちらをご覧ください。
追加リソース
API
VPN NATは、ファームウェア19.1以降でAPIから設定できます。
