[RTX1100] Destination NAT (静的 IP マスカレード) の設定を行う。

VPN 接続のための Destination NAT の設定を行います。

CentOS にインストールした SoftEther VPN サーバーが 172.16.1.0/24 のセグメントで稼働しています。インターネット側からこの VPN サーバーに L2TP/IPsec でアクセスできるようにするための Destination NAT です。

L2TP/IPsec で使用するポート番号は、udp 500 と udp 4500 の2つです。インターネット側から、RTX1100 に設定したグローバル IP アドレス宛てのパケットで、且つ接続先ポート番号が udp 500 か udp 4500 のパケットを VPN サーバーに転送して上げる必要があります。

NAT ディスクリプタ2に以下の2行を追加します。

nat descriptor masquerade static 2 1 172.16.1.2 udp 500=500
nat descriptor masquerade static 2 2 172.16.1.2 udp 4500=4500

この2行で、udp 500 と udp 4500 のパケットは、172.16.1.2 へ転送されるようになります。

NAT ディスクリプタ2に関連する設定をすべて抜き出して見てみるとわかりやすいと思います。

ip lan3 nat descriptor 1 2
nat descriptor type 2 masquerade
nat descriptor address outer 2 primary
nat descriptor address inner 2 172.16.1.1-172.16.1.254
nat descriptor masquerade static 2 1 172.16.1.2 udp 500=500
nat descriptor masquerade static 2 2 172.16.1.2 udp 4500=4500

こんな感じになっています。

show config を実行すると、

# show config
ip route default gateway 11.22.33.254
ip lan1 address 10.1.0.1/24
ip lan2 address 172.16.1.1/24
ip lan3 address 11.22.33.44/24
ip lan3 secondary address dhcp
ip lan3 nat descriptor 1 2
nat descriptor type 1 masquerade
nat descriptor address outer 1 secondary
nat descriptor address inner 1 10.1.0.1-10.1.0.254
nat descriptor type 2 masquerade
nat descriptor address outer 2 primary
nat descriptor address inner 2 172.16.1.1-172.16.1.254
nat descriptor masquerade static 2 1 172.16.1.2 udp 500=500
nat descriptor masquerade static 2 2 172.16.1.2 udp 4500=4500
dhcp service server
dhcp scope 1 10.1.0.2-10.1.0.254/24
dns server 8.8.8.8 8.8.4.4
schedule at 1 */* 01:00 * ntpdate ntp.nict.jp syslog
schedule at 2 */* 13:00 * ntpdate ntp.jst.mfeed.ad.jp syslog
#

DNAT とは何か?に関しては こちらの投稿 で解説しています。

(Visited 3,671 times, 1 visits today)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください