VPN 設定に関連する DNAT (Destination NAT、ポートフォワード) について絵も使ってまとめて説明します。
前書き
これまで VPN に関する記事をいろいろ書いてきましたが、VPN に関する用語の中でおそらく難しいと感じられる DNAT について独立した記事として書いておこうと思いました。
イラスト (図) なんかと合わせてざっくり説明しようと思っていますので、参考にしていただければと思います。
わかっている人からすると細かい点でツッコミどころのある内容も含まれますが、そこには目を瞑ってイメージを掴んでいただくことを目的に書いていきます。
NAT とは
単に NAT (ナット) と呼ばれる機能がまずありまして、これは IP アドレスを変換する技術 (アドレス変換技術) のことです。以下の 2 パターンがあります。
- プライベート IP アドレスを、グローバル IP アドレスに変換する
- グローバル IP アドレスを、プライベート IP アドレスに変換する
上記 1 のことを SNAT (Source NAT) と呼び、上記 2 のことを DNAT (Destination NAT) と呼びます。
このアドレス変換を行うようにルーターやファイアウォールを設定するわけです。だから、アドレス変換を実施するのはルーター及びファイアウォールになります。
アドレス変換 (NAT) の動作を言語的に分解すると、
- 主語:ルーターやファイアウォールが、
- 何を:IP アドレスを、
- 述語:変換する。
となります。
SNAT (Source NAT) とは
Source IP Address、つまり送信元 IP アドレスを変換するのが SNAT です。
SNAT の動作を言語的に分解すると、
- 主語:ルーターやファイアウォールが、
- 何を:送信元 IP アドレスを、
- 述語:変換する。
となります。
この SNAT を図にしてみました。
C が Client、つまりクライアント端末のことでパソコンやスマートフォンやタブレット端末をイメージしてもらえればと思います。
R がルーターです。ルーターが SNAT してインターネット側に転送します。SNAT により、送信元の IP アドレスが、グローバル IP アドレスに変換されます。これによりインターネット側との通信が成立するわけです。送信元の IP アドレスが、グローバル IP アドレスに変換されない場合、インターネット側と通信ができません。
図にある GIP がグローバル IP アドレスのことです。ルーターに設定されているこのグローバル IP アドレスに変換されてインターネット側に抜けていくわけです。
SNAT についてまとめるとこうなります。
- 主語:ルーターやファイアウォールが、
- 何を:送信元 IP アドレスを、
- いつ:インターネット側に向かっていく時に、
- どのように:プライベート IP アドレスからグローバル IP アドレスに、
- 述語:変換する。
ちなみにこの SNAT ですが、家電ショップなんかでも売っているブロードバンドルーター (Wi-Fi 機能付きのものも含む) には最初っからその設定が入っています。だから SNAT の設定をしなくてもインターネットが使えるようにあらかじめセットアップされているわけです。
DNAT (Destination NAT) とは
Destination IP Address、つまり 宛先 IP アドレスを変換するのが DNAT です。
家庭用のブロードバンドルーターの取説にポートフォワードとか、ポート転送とか、ポートフォワーディングなどと記載されていたらそれのことです。すべて DNAT と同じものです。呼び方が違うだけ。
DNAT の動作を言語的に分解すると、
- 主語:ルーターやファイアウォールが、
- 何を:宛先 IP アドレスを、
- 述語:変換する。
となります。
VPN サーバーの設定で出てくるのはこの DNAT です。SNAT の話が出てくることはまずないと思います。だから SNAT のことは無視して行きましょう。
DNAT 動作を図にすると以下のようになります。
C が Client、この場合は VPN クライアントとお考えください。R がルーターで、V が VPN サーバーです。
VPN クライアントが、ルーターに設定されているグローバル IP アドレスを目指して通信します。無事、ルーターのグローバル IP アドレスまで到達すると、宛先 IP アドレスが、グローバル IP アドレスからプライベート IP アドレス (= VPN サーバーの IP アドレス) に変換されます。これにより、VPN 通信 (VPN クライアント – VPN サーバー間) が成立するわけです。宛先 IP アドレスが、ルーターに設定されているグローバル IP アドレスから VPN サーバーのプライベート IP アドレスに変換されない場合、VPN 通信は成立しません。
反対の言い方をすると、この VPN 通信が成立するように DNAT 設定をルーターに行うわけです。
DNAT についてまとめるとこうなります。
- 主語:ルーターやファイアウォールが、
- 何を:宛先 IP アドレスを、
- いつ:インターネット側から入ってくる時に、
- どのように:グローバル IP アドレスからプライベート IP アドレスに、
- 述語:変換する。
まとめ
いかがでしたでしょうか。ここまで噛み砕いた説明はなかなかないのではないかと思いますが、DNAT 理解の一助となれば幸いです。