RTシリーズのIPsec&IKE&VPN&...に関するFAQ


VPNパススルー(IPsecパススルー)に対応していますか?


最終変更日2018/Nov/06
文書サイズ3.5KB

一般に、VPNパススルー、またはIPsecパススルーと呼ばれている機能は、 NATの壁を貫通してVPNを張る仕組みです。 もっと技術的に書くと、 NATの内側(プライベートアドレス空間)にあるルータや端末が、 NATの外側とVPNを構成するときに、 その通信(IKEパケットとESPパケット)をNATで変換する仕組みをさします。

          インターネットへ
              *   |   *
      IKE/ESP *   |   * IKE/ESP
              *   |   *
            +-----+------+   ↑        外側 (グローバルアドレス空間)
            | RTシリーズ |  NAT  ........................................
            +-----+------+   ↓
              *   |   *                内側 (プライベートアドレス空間)
   IKE/ESP ****   |   ****** IKE/ESP
           *      |        *
    -----+-*------+------+-*-----  LAN
         | *             | *
         | *             | *
     +---+----+      +---+----+
     |  端末  |      | ルータ |
     +--------+      +---+----+
                         |
                         |

RTシリーズでは、1台のルータ、もしくは1台の端末について、 VPNパススルーに対応します。

上の図で、左の端末のVPNをパススルーするためには、次のように設定します。 (端末のIPアドレスを192.168.0.2とします。)

  nat descriptor masquerade static 1 1 192.168.0.2 udp 500
  nat descriptor masquerade static 1 2 192.168.0.2 esp *

実際にはNATの全般的な設定もあるので、あわせて書くと次のようになります。

  ip lan2 nat descriptor 1    # LAN2インタフェースでNATを使う場合

  nat descriptor type 1 masquerade
  nat descriptor address outer 1 primary
  nat descriptor address inner 1 192.168.0.1-192.168.0.254
  nat descriptor masquerade static 1 1 192.168.0.2 udp 500
  nat descriptor masquerade static 1 2 192.168.0.2 esp *

IPsec機能のFAQの目次に戻る。