NAT over VPNを使用した時の、ルーティング問題の解決方法

※この記事は以下の記事の日本語訳です。

Resolving Routing Issues when Using NAT over VPN          

https://live.paloaltonetworks.com/t5/Management-Articles/Resolving-Routing-Issues-when-Using-NAT-ove...

詳細

IPsec トネリングでNATを使用しているうえで、プロキシーIDsを変換している場合、トネルインターフェイスを介したNATを変換したルートへの宛先指定が必要です。

プライベートアドレスを、パブリックアドレスとNATにより外部から見えなくする典型的な構成図は以下です。

On the PA 2020:

172.17.20.0/24セグメントは2.2.2.0/24ネットワークセグメントにNAT変換されます。

On the PA 5050:

172.17.30.0/24セグメントは 3.3.3.0/24ネットワークセグメントにNAT変換されます。

NATは常に1対1のマッピングは必要ないです。設定者は一つのパブリックアドレスを使って、ポートベースの変換を設定することも可能です。これらのIPアドレスは、VPNにてプロキシーIDが使われます。PAN-OSのセッションセットアップ毎に、ファイヤーウォールはESPパケットを解読し、パケット内の送信元、宛先アドレス双方のフォワーディングルックアップを実行し、ゾーンとインターフェイスを決定します。これらのアドレスのルートがトネルインターフェイスを指示していなく、フォワーディングルックアップがデフォルトゲートウェイを指示しています（特定ルートのスタティックルートや、ダイナミックルートが無い場合）。両方のアドレスルートがuntrustゾーン、インターフェイスを指示している場合、トネルインターフェイスが所属するゾーンからの通信を許可するポリシーに一致しないので、パケットがドロップされます。

NAT、VPN設定に加えて、必要なルート設定は以下です：

admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24  interface tunnel.1

admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24  interface tunnel.1

同様に、対向側で必要なルート設定は以下です： 

admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24  interface tunnel.1

admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24  interface tunnel.1