※この記事は以下の記事の日本語訳です。
Resolving Routing Issues when Using NAT over VPN
詳細
IPsec トネリングでNATを使用しているうえで、プロキシーIDsを変換している場合、トネルインターフェイスを介したNATを変換したルートへの宛先指定が必要です。
プライベートアドレスを、パブリックアドレスとNATにより外部から見えなくする典型的な構成図は以下です。
On the PA 2020:
172.17.20.0/24セグメントは2.2.2.0/24ネットワークセグメントにNAT変換されます。
On the PA 5050:
172.17.30.0/24セグメントは 3.3.3.0/24ネットワークセグメントにNAT変換されます。
NATは常に1対1のマッピングは必要ないです。設定者は一つのパブリックアドレスを使って、ポートベースの変換を設定することも可能です。これらのIPアドレスは、VPNにてプロキシーIDが使われます。PAN-OSのセッションセットアップ毎に、ファイヤーウォールはESPパケットを解読し、パケット内の送信元、宛先アドレス双方のフォワーディングルックアップを実行し、ゾーンとインターフェイスを決定します。これらのアドレスのルートがトネルインターフェイスを指示していなく、フォワーディングルックアップがデフォルトゲートウェイを指示しています(特定ルートのスタティックルートや、ダイナミックルートが無い場合)。両方のアドレスルートがuntrustゾーン、インターフェイスを指示している場合、トネルインターフェイスが所属するゾーンからの通信を許可するポリシーに一致しないので、パケットがドロップされます。
NAT、VPN設定に加えて、必要なルート設定は以下です:
admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24 interface tunnel.1
admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24 interface tunnel.1
同様に、対向側で必要なルート設定は以下です:
admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24 interface tunnel.1
admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24 interface tunnel.1