RTシリーズのIPsec&IKE&VPN&...に関するFAQ
VPNパススルー(IPsecパススルー)に対応していますか?
最終変更日 | 2018/Nov/06 |
文書サイズ | 3.5KB |
一般に、VPNパススルー、またはIPsecパススルーと呼ばれている機能は、 NATの壁を貫通してVPNを張る仕組みです。 もっと技術的に書くと、 NATの内側(プライベートアドレス空間)にあるルータや端末が、 NATの外側とVPNを構成するときに、 その通信(IKEパケットとESPパケット)をNATで変換する仕組みをさします。
インターネットへ * | * IKE/ESP * | * IKE/ESP * | * +-----+------+ ↑ 外側 (グローバルアドレス空間) | RTシリーズ | NAT ........................................ +-----+------+ ↓ * | * 内側 (プライベートアドレス空間) IKE/ESP **** | ****** IKE/ESP * | * -----+-*------+------+-*----- LAN | * | * | * | * +---+----+ +---+----+ | 端末 | | ルータ | +--------+ +---+----+ | |
RTシリーズでは、1台のルータ、もしくは1台の端末について、 VPNパススルーに対応します。
上の図で、左の端末のVPNをパススルーするためには、次のように設定します。 (端末のIPアドレスを192.168.0.2とします。)
nat descriptor masquerade static 1 1 192.168.0.2 udp 500 nat descriptor masquerade static 1 2 192.168.0.2 esp *
実際にはNATの全般的な設定もあるので、あわせて書くと次のようになります。
ip lan2 nat descriptor 1 # LAN2インタフェースでNATを使う場合 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 192.168.0.1-192.168.0.254 nat descriptor masquerade static 1 1 192.168.0.2 udp 500 nat descriptor masquerade static 1 2 192.168.0.2 esp *