NAT Traversal

NAT Traversalを使用すると、同一のNAT装置配下の複数のIPsec通信を区別して扱うことができます。

概要

NAT Traversalは、装置間の通信にNATが介在する環境においてIPsecを不自由なく使用するための拡張機能です。

NAT装置配下からIPsec通信を行う装置が1つのみであれば、静的NAT(IPsecパススルー)によりIPsec通信が可能な場合があります(NATの実装に依存)が、 同一のNAT装置配下に複数のIPsec通信を行う装置がある場合には、NAT Traversal機能の適用が必要です。

IPsecのESPパケットをさらにUDPでカプセル化することでNAT環境下でのセッションの識別・維持を実現するのが基本原理です。 そのために、セキュリティアソシエーションの始点及び終点を、IPアドレスのみでなく、カプセル化する際のUDPポート番号を含めた、 アドレス及びポート番号のペアとして扱うよう拡張されています。(show statusコマンドによる参照結果にも反映されます)

想定する用途

  1. スター型のIPsec-VPN構成において、子拠点側がNAT装置配下に設置される構成(ポリシーベースIPsecのトンネルモード)
  2. L2TP/IPsecによるリモートアクセスサーバとして動作する際に、クライアント端末がNAT装置配下から接続する構成(PPPACのL2TP/IPsec)
注:制約
  • イニシエータ側(クライアント側)がNAT装置配下となる構成を想定
    • レスポンダー側(サーバ側)がNAT装置配下となる場合、静的NAT等の設定が必要となり、その実装に依存することになります。
    • イニシエータとレスポンダーの両方がNAT配下となる構成には対応していません。
  • NAT TraversalはIKEの使用が必須
    • IKEの拡張により実装しており、接続先のNAT Traversal対応の有無やNAT装置の存在確認を行い、必要な場合のみNAT Traversalを適用します。
  • AHは使用できない
    • NATによりIPヘッダが書き換えられることが前提となるため、IPヘッダの改ざんを検知する仕組みであるAHとの併用はできません。
  • ルーティングベースIPsec利用時は、IPv4かつフロートリンク併用時のみ適用可能
  • ポリシーベースIPsec利用時はトンネルモードのみ適用可能
    • トランスポートモードを使用すると、同一NAT配下の複数のIPsec装置のそれぞれのセッションを区別できません。
    • L2TP/IPsecではトランスポートモードを使用しますが、本制約には該当しません。