[RTX1100] VPN サーバ用セグメントの設定を lan2 インタフェースに投入する。
それでは lan2 インタフェースの設定を行っていきます。
IP アドレス帯は、172.16.1.0/24 とし、lan2 に 172.16.1.1 を割り当てます。
次に IP マスカレードの設定を行います。が、今すでに LAN 側インタフェースである lan1 に適用した IP マスカレードの設定が lan2 にも適用される形になるため不要です。
え!不要ってどういうこと?と思われましたか?私も実際に RTX1100 で IP マスカレードの動作が確認できた時には少々驚きましたが、ヤマハの推奨設定ではないかもしれないものの動作することが確認できたので、これについて触れてみようと思います。
ヤマハルータの IP マスカレードに必要な設定とは?
ヤマハルータの NAT 定義である NAT ディスクリプターですが、これまでなかなか理解が困難だと感じてきました。公式サイトの説明でもいまだにピンとこないですし、検索しても私のほしい情報に触れているページを見つけるには至っていません。
私がほしい情報とはどのようなものか?それは、NAT の動作(ここでは IP マスカレード)をパケットレベルで考え、それを設定するコマンドはなにか?の順番で理解することです。つまり、動作→設定の順で理解することです。
まず、IP マスカレードの動作をパケットレベルで確認する。
ここで言う IP マスカレードの動作とは、LAN 側インターフェイスから WAN 側インターフェイスの向きに通信するパケットの送信元 IP アドレスを WAN 側インタフェースの IP アドレスに書き換える動作のことです。IP マスカレードですから送信元の tcp/udp のポート番号も書き換えますが、この時に使用されるポート番号はランダムなものになります。これが、「動作→設定の順で理解する」と表現した「動作」に該当します。
パケットレベルで確認した動作を設定するコマンドを知る。
当方の RTX1100 は、lan3 インタフェースを WAN 側インタフェースとして使用しています。この lan3 にインターネット回線を接続しています。lan3 以外のインターフェイスは全て LAN 側としていますが、lan1 と lan2 を LAN 側インタフェースとして使っています。
つまり、
- lan1 から lan3 方向に抜けていく通信
- lan2 から lan3 方向に抜けていく通信
の2つに対して IP マスカレードのパケット変換処理を加えることになります。
これを実現するためのコマンドが下記3行です。
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
これを見てわかるように、lan1 と lan2 がコマンドに含まれていないですよね。これでもちゃんと動作しています。ここでの大切なポイントは、IP マスカレードを設定する際に LAN 側インターフェイスに触れる必要がないということです。だから上記3行だけで IP マスカレードが機能するという仕組みに、ヤマハルータが作られていると考えれば良いわけです。上記3行は、2行目、3行目、1行目の順番で考えるとスムーズに理解できます。つまり、
- NAT 定義番号1を IP マスカレードの動作と定義する。
- NAT 定義番号1は外側インタフェースの IP アドレスを使用する。
- lan3 インタフェースに NAT 定義番号1を適用する。
NAT 定義番号というのが、ヤマハルータ用語の NAT ディスクリプターのことです。このディスクリプターという耳慣れない用語が理解を妨げている1つの要因だと感じますが、それに文句を言ってもしょうがないことです。
外側インタフェースというのは、この場合 WAN 側インタフェースのことを指しますが、殆どの場合、外側インタフェース= WAN 側インタフェースになると思います。
「外側インタフェースの IP アドレスを使用する」というのは、LAN 側から WAN 側方向に向かうパケットの送信元 IP アドレスに WAN 側インタフェースの IP アドレスを使用するという意味になります。
このように考えると、動作と設定コマンドをセットにして把握できるので、スッキリと理解した気になれます。
show config で確認してみます。
ip route default gateway 11.22.33.254
ip lan1 address 10.1.0.1/24
ip lan2 address 172.16.1.1/24
ip lan3 address 11.22.33.44/24
ip lan3 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
dhcp service server
dhcp scope 1 10.1.0.2-10.1.0.254/24
dns server 8.8.8.8 8.8.4.4
schedule at 1 */* 01:00 * ntpdate ntp.nict.jp syslog
schedule at 2 */* 13:00 * ntpdate ntp.jst.mfeed.ad.jp syslog
#
※グローバル IP アドレスとデフォルトゲートウェイの値は書き換えています。
実際に IP マスカレードでどのように IP アドレスが変換されているかを確認するには、show nat descriptor address コマンドを使用します。これを見ればよくわかると思いますので IP マスカレードの設定を終えたらぜひチェックしましょう。
最後に、静的 NAT の設定ですが、lan2 インタフェースに VPN サーバを接続してから投入しますので別エントリーで書きます。まだ VPN サーバ (SoftEther VPN サーバ) が準備出来ていないためです。