NAT over VPNを使用した時の、ルーティング問題の解決方法

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Resolving Routing Issues when Using NAT over VPN          

https://live.paloaltonetworks.com/t5/Management-Articles/Resolving-Routing-Issues-when-Using-NAT-ove...

 

詳細

IPsec トネリングでNATを使用しているうえで、プロキシーIDsを変換している場合、トネルインターフェイスを介したNATを変換したルートへの宛先指定が必要です。

 

プライベートアドレスを、パブリックアドレスとNATにより外部から見えなくする典型的な構成図は以下です。

 

KB1.jpg

 

On the PA 2020:

172.17.20.0/24セグメントは2.2.2.0/24ネットワークセグメントにNAT変換されます。

 

On the PA 5050:

172.17.30.0/24セグメントは 3.3.3.0/24ネットワークセグメントにNAT変換されます。

 

NATは常に1対1のマッピングは必要ないです。設定者は一つのパブリックアドレスを使って、ポートベースの変換を設定することも可能です。これらのIPアドレスは、VPNにてプロキシーIDが使われます。PAN-OSのセッションセットアップ毎に、ファイヤーウォールはESPパケットを解読し、パケット内の送信元、宛先アドレス双方のフォワーディングルックアップを実行し、ゾーンとインターフェイスを決定します。これらのアドレスのルートがトネルインターフェイスを指示していなく、フォワーディングルックアップがデフォルトゲートウェイを指示しています(特定ルートのスタティックルートや、ダイナミックルートが無い場合)。両方のアドレスルートがuntrustゾーン、インターフェイスを指示している場合、トネルインターフェイスが所属するゾーンからの通信を許可するポリシーに一致しないので、パケットがドロップされます。

 

NAT、VPN設定に加えて、必要なルート設定は以下です:

admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24  interface tunnel.1

admin@PA-2020# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24  interface tunnel.1

 

同様に、対向側で必要なルート設定は以下です: 

admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 3.3.3.0/24  interface tunnel.1

admin@PA-5050# set network virtual-router default routing-table ip static-route local-site-NAT destination 2.2.2.0/24  interface tunnel.1