IPsec トンネルのルーティングと NAT
ファイアウォールでは、IPsec VPN 用にさまざまな種類のルーティングおよびネットワークアドレス変換 (NAT) 設定が提供されています。
IPsec 接続とトンネルを介して送信するトラフィックに基づいて、設定の種類を選択します。
ルーティング設定
NATルールは、ファイアウォールが使用するルーティング決定を変更しません。ファイアウォールには、ターゲットの宛先へのルートが必要です。
ルートを指定するときは、次のいずれかの設定を使用します。
- VPN ルート: ファイアウォールは、ポリシーベースの IPsec 接続用に、バックエンドでこれらのルートを自動的に作成します。
- スタティックルート、SD-WANルート、およびダイナミックルートがあります。
- CLIの
ipsec_route
コマンド。
CLI で設定したルートの優先順位によって、ファイアウォールが最初に照合させようとするルートの種類が決まります。詳細は、ルーティングを参照してください。
NAT 設定
NAT は、次のいずれかの設定を使用して設定できます。
- IPsec 接続: これには NAT 設定が含まれます。
- NAT ルール。
- CLIの
sys-traffic-nat
コマンド: kシステムによって生成されたトラフィックに対しては、これを使用する必要があります。これは、認証や DHCP など、ファイアウォール自体によって生成されるトラフィックです。
ユースケース
注
テーブルに表示されているトラフィックを IPsec トンネル経由で送信するには、ルーティング設定と NAT 設定の両方を追加する必要があります。
追加する必要があるルーティング設定および NAT 設定の種類については、次の表を参照してください。
ルートベースの VPN (任意のサブネット間) | ポリシーベースの VPN | |
---|---|---|
既存の IPsec トンネルを介したホストへのトラフィック |
|
|
システム生成トラフィック: 認証 |
|
|
システム生成トラフィック: DHCP リレー | 現在、ファイアウォールはルートベースの VPN を介する DHCP リレー情報を送信しません。 |
「本社のファイアウォールの背後にある DHCP サーバーに対して、支社のファイアウォールをリレーエージェントとして使用する」を参照してください。 |
ローカルファイアウォールとリモートファイアウォールで同じサブネット |
|
|