ローカルルータ。
美しくありませんね。しかし、用途や検証にはありだと思います。
ローカルルータ構成をとることで、普段利用している本番構成に影響することなく、別サブネットやVPNを検証できます。次の記事では、本記事で構成した環境からのAmazon VPCとのHardware VPN接続を考えてみます。
さて今回は、8個のグローバルIP (固定IP) がISPから割り振られた状況でのRTX810 の構成を考えてみます。*1
リモートルータはIPマスカレード変換でLAN側に ∗.∗.∗.∗ で IPマスカレード変換。残りのグローバルIPは 1対1NATでその内1つをローカルルータとして設置したRTX810へという環境です。
| WAN側グローバルIP | アドレス変換方式 | LAN側IPプライベートアドレス |
|---|---|---|
| 11.11.11.2 | IPマスカレード変換 | 192.168.100.2 |
| 11.11.11.3 | 1対1NAT変換 | 192.168.100.3 |
| 11.11.11.4 | 1対1NAT変換 | 192.168.100.4 |
| 11.11.11.5 | 1対1NAT変換 | 192.168.100.5 |
| 11.11.11.6 | 1対1NAT変換 | 192.168.100.6 |
| 11.11.11.7 | 1対1NAT変換 | 192.168.100.7 |
この構成での設定例は見かけないので役に立てば幸いです。
目次
構成
まずは、構成から見てみましょう。
構成図
リモートルータでのIP変換対応表
| WAN側グローバルIP | アドレス変換方式 | LAN側IPプライベートアドレス | 機器 |
|---|---|---|---|
| 11.11.11.2 | IPマスカレード変換 | 192.168.100.2 | リモートルータ |
| 11.11.11.3 | 1対1NAT変換 | 192.168.100.3 | RTX810 |
| 11.11.11.4 | 1対1NAT変換 | 192.168.100.4 | サーバー1 |
| 11.11.11.5 | 1対1NAT変換 | 192.168.100.5 | サーバー2 |
| 11.11.11.6 | 1対1NAT変換 | 192.168.100.6 | サーバー3 |
| 11.11.11.7 | 1対1NAT変換 | 192.168.100.7 | サーバー4 |
概要
リモートルータは、固定IP8個11.11.11.1-8/29から、実際に利用できる6個11.11.11.2-7をアドレス変換しています。
配下のサブネット192.168.100.0/24は、グローバルIP11.11.11.2にIPマスカレード変換します。
- GWであるリモートルータのLAN側IPアドレスは
192.168.100.2/24
残りの5つは1対1NATで割り振っています。
今回の対象となるRTX810は、11.11.11.3と1対1NATした192.168.100.3/24でWAN側を受け付けて、LAN側プライベートIPは192.168.101.0/24としています。
- GWであるRTX810のLAN側IPアドレスは
192.168.101.1/24
リモートルータ側の設定
は、省略します。
アドレス変換表に気を付けて設定してください。
ローカルルータ(RTX810)側の設定
では本命です。
ip route default gateway 192.168.100.2 ip keepalive 1 icmp-echo 10 5 192.168.100.2 ip lan1 address 192.168.101.1/24 ip lan2 address 192.168.100.3/29 ip lan2 secure filter in 101003 ip lan2 secure filter out 101013 ip lan2 nat descriptor 200 provider lan1 name LAN: provider lan2 name PRV/0/1/3/0/0:固定IP ip filter 101003 reject 192.168.100.0/24 * * * * ip filter 101013 reject * 192.168.100.0/24 * * * nat descriptor type 200 masquerade nat descriptor address outer 200 192.168.100.3 nat descriptor address inner 200 auto dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.101.100-192.168.101.150/24 dns server 192.168.100.2 dns private address spoof on httpd host lan1
いたってシンプルです。
ポイントは、nat descriptor address outer 200 192.168.100.3でNATアドレスを指定していることです。primaryではうまくいかないのでご注意を。
ppではないので、ipcpなども当然ありません。基本的には、WANとLANのNATに気を付ければいいでしょう。
それでは次回は、この環境でAWS VPCとのHardware VPN構築と行きましょう。
*1:実際に使えるのは頭と末尾を除く6個となります。
