コンテンツにスキップ

IPsec トンネルのルーティングと NAT

ファイアウォールでは、IPsec VPN 用にさまざまな種類のルーティングおよびネットワークアドレス変換 (NAT) 設定が提供されています。

IPsec 接続とトンネルを介して送信するトラフィックに基づいて、設定の種類を選択します。

ルーティング設定

NATルールは、ファイアウォールが使用するルーティング決定を変更しません。ファイアウォールには、ターゲットの宛先へのルートが必要です。

ルートを指定するときは、次のいずれかの設定を使用します。

  • VPN ルート: ファイアウォールは、ポリシーベースの IPsec 接続用に、バックエンドでこれらのルートを自動的に作成します。
  • スタティックルート、SD-WANルート、およびダイナミックルートがあります。
  • CLIの ipsec_route コマンド。

CLI で設定したルートの優先順位によって、ファイアウォールが最初に照合させようとするルートの種類が決まります。詳細は、ルーティングを参照してください。

NAT 設定

NAT は、次のいずれかの設定を使用して設定できます。

  • IPsec 接続: これには NAT 設定が含まれます。
  • NAT ルール。
  • CLIの sys-traffic-nat コマンド: kシステムによって生成されたトラフィックに対しては、これを使用する必要があります。これは、認証や DHCP など、ファイアウォール自体によって生成されるトラフィックです。

ユースケース

テーブルに表示されているトラフィックを IPsec トンネル経由で送信するには、ルーティング設定と NAT 設定の両方を追加する必要があります。

追加する必要があるルーティング設定および NAT 設定の種類については、次の表を参照してください。

ルートベースの VPN

(任意のサブネット間)

ポリシーベースの VPN
既存の IPsec トンネルを介したホストへのトラフィック
  1. スタティック、SD-WAN、ダイナミックルート
  2. DNATルール、およびオプションの SNAT (MASQ) ルール。
リモートネットワークのトラフィックを既存の IPsec トンネル経由で特定のホストに送信する」を参照してください。
  1. ipsec_route コマンド
  2. DNAT ルール
既存の IPsec トンネルと NAT ルールを使用して、リモートネットワークに接続する方法」を参照してください。
システム生成トラフィック: 認証
  1. 送信元ネットワーク」を「任意」に設定している場合の SD-WAN ルーティング。
  2. sys-traffic-nat コマンド
認証クエリーのルーティング」を参照してください。
  1. ipsec_route コマンド
  2. sys-traffic-nat コマンド
認証クエリーのルーティング」を参照してください。
システム生成トラフィック: DHCP リレー 現在、ファイアウォールはルートベースの VPN を介する DHCP リレー情報を送信しません。
  1. ipsec_routeコマンド
  2. sys-traffic-nat コマンド
本社のファイアウォールを DHCP サーバーとして、支社のファイアウォールをリレーエージェントとして使用する」を参照してください。

本社のファイアウォールの背後にある DHCP サーバーに対して、支社のファイアウォールをリレーエージェントとして使用する」を参照してください。

ローカルファイアウォールとリモートファイアウォールで同じサブネット
  1. スタティック、SD-WAN、ダイナミックルート
  2. DNAT ルールおよび SNAT ルール
ローカルサブネットとリモートサブネットが同じ場合のルートベース IPsec を使用する NAT」を参照してください。
  1. バックエンドでの VPN ルーティング
  2. IPsec 構成の NAT 設定
ローカルサブネットとリモートサブネットが同じ場合のポリシーベース IPsec を使用する NAT」を参照してください。