RTシリーズのIPsec&IKE&VPN&...に関するFAQ
VPNパススルー(IPsecパススルー)に対応していますか?
| 最終変更日 | 2018/Nov/06 |
| 文書サイズ | 3.5KB |
一般に、VPNパススルー、またはIPsecパススルーと呼ばれている機能は、 NATの壁を貫通してVPNを張る仕組みです。 もっと技術的に書くと、 NATの内側(プライベートアドレス空間)にあるルータや端末が、 NATの外側とVPNを構成するときに、 その通信(IKEパケットとESPパケット)をNATで変換する仕組みをさします。
インターネットへ
* | *
IKE/ESP * | * IKE/ESP
* | *
+-----+------+ ↑ 外側 (グローバルアドレス空間)
| RTシリーズ | NAT ........................................
+-----+------+ ↓
* | * 内側 (プライベートアドレス空間)
IKE/ESP **** | ****** IKE/ESP
* | *
-----+-*------+------+-*----- LAN
| * | *
| * | *
+---+----+ +---+----+
| 端末 | | ルータ |
+--------+ +---+----+
|
|
RTシリーズでは、1台のルータ、もしくは1台の端末について、 VPNパススルーに対応します。
上の図で、左の端末のVPNをパススルーするためには、次のように設定します。 (端末のIPアドレスを192.168.0.2とします。)
nat descriptor masquerade static 1 1 192.168.0.2 udp 500 nat descriptor masquerade static 1 2 192.168.0.2 esp *
実際にはNATの全般的な設定もあるので、あわせて書くと次のようになります。
ip lan2 nat descriptor 1 # LAN2インタフェースでNATを使う場合 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 192.168.0.1-192.168.0.254 nat descriptor masquerade static 1 1 192.168.0.2 udp 500 nat descriptor masquerade static 1 2 192.168.0.2 esp *