フォーラム
フォーラム

NATの送信元ポート変換及びProxy ARPの必要性について

‎09-28-2014 04:39 PM

SRX240でNATの試験を行っております。
Source NATは送信元IPごとに送信元IPと送信元ポートを変換
Destination NATは送信先ポートごとに送信先IPと送信先ポートを変換
といった処理を行いたいと考えております。

 

環境

 

 1.ユーザー端末(192.168.1.0/24)
 2.専用線ネットワーク
 3.専用線接続機器(専用線側:192.168.109.1/LAN:192.168.111.1)
 4.SRX240(LAN[ge-0/0/15]:192.168.111.2/PPPoE[ge-0/0/0]:xxx.xxx.xxx.xxx)
 5.インターネット上のサーバ(yyy.yyy.yyy.yyy)

 

試験中のSource NAT

 

 1からyyy.yyy.yyy.yyyに向けて発信されたUDP通信の送信元を以下のように変換
 (変換前)    (変換後)
 192.168.1.1:* → xxx.xxx.xxx.xxx:11001
 192.168.1.2:* → xxx.xxx.xxx.xxx:11002
 192.168.1.3:* → xxx.xxx.xxx.xxx:11003

 

試験中のDestination NAT

 

 5からxxx.xxx.xxx.xxxに向けて発信されたUDP通信の送信先を以下のように変換
 (変換前)        (変換後)
 xxx.xxx.xxx.xxx:8022 → 192.168.111.1:22(3の機器管理用)
 xxx.xxx.xxx.xxx:11001 → 192.168.1.1:3080
 xxx.xxx.xxx.xxx:11002 → 192.168.1.2:3080
 xxx.xxx.xxx.xxx:11003 → 192.168.1.3:3080

 

SRX240設定

 

Source NAT
set security nat source pool XXXX_PAT_11001 address xxx.xxx.xxx.xxx/32
set security nat source pool XXXX_PAT_11001 port range 11000
set security nat source pool XXXX_PAT_11001 port range to 11001
set security nat source rule-set nsw_srcnat from zone Internal
set security nat source rule-set nsw_srcnat to zone Internet
set security nat source rule-set nsw_srcnat rule XXXX_11001 match source-address 192.168.1.1/32
set security nat source rule-set nsw_srcnat rule XXXX_11001 match destination-address yyy.yyy.yyy.yyy/32
set security nat source rule-set nsw_srcnat rule XXXX_11001 match protocol udp
set security nat source rule-set nsw_srcnat rule XXXX_11001 then source-nat pool XXXX_PAT_11001
※以下はge-0/0/1~ge-0/0/15のインターネット接続用
set security nat source rule-set nsw_srcnat rule nsw-src-interface match source-address 0.0.0.0/0
set security nat source rule-set nsw_srcnat rule nsw-src-interface match destination-address 0.0.0.0/0
set security nat source rule-set nsw_srcnat rule nsw-src-interface then source-nat interface

 

Destination NAT
set security nat destination pool XXXX_11001_3081 address 192.168.1.1/32
set security nat destination pool XXXX_11001_3081 address port 3081
set security nat destination rule-set XXX500 from zone Internet
set security nat destination rule-set XXX500 rule XXXX_11001 match source-address yyy.yyy.yyy.yyy/32
set security nat destination rule-set XXX500 rule XXXX_11001 match destination-address xxx.xxx.xxx.xxx/32
set security nat destination rule-set XXX500 rule XXXX_11001 match destination-port 11001
set security nat destination rule-set XXX500 rule XXXX_11001 match protocol udp
set security nat destination rule-set XXX500 rule XXXX_11001 then destination-nat pool XXXX_11001_3081

 

3の管理用には以下のような設定を行っており
set security nat destination rule-set XXX500 rule XXX500_8022 match destination-address xxx.xxx.xxx.xxx/32
set security nat destination rule-set XXX500 rule XXX500_8022 match destination-port 8022
set security nat destination rule-set XXX500 rule XXX500_8022 then destination-nat pool XXX500_SSH
この設定は疎通確認済みです。

 

設定を行っていて、2点気になっている箇所があります。
・Source NATのportを固定する事は可能でしょうか?(rangeしか指定出来ないようです)
・ge-0/0/15に192.168.1.0/24へのProxy ARP設定は必要でしょうか?

 

Source NATのPort TranslationとProxy ARPに関して知識が浅く
設定のチェックポイント等ありましたら、ご教授いただけると幸いです。

 

2件の返信2
フォーラム

Re: NATの送信元ポート変換及びProxy ARPの必要性について

‎09-29-2014 12:29 AM

yonaさま:

 

>・Source NATのportを固定する事は可能でしょうか?(rangeしか指定出来ないようです)

残念ながら、portを一つに固定化することは、不可です。

 

>・ge-0/0/15に192.168.1.0/24へのProxy ARP設定は必要でしょうか?

申し訳ありませんが、SRX240とユーザ端末(192.168.1.0/24)の接続構成が

曖昧なため、今の段階では断言できません。

 

ge-0/0/0 (xxx.xxx.xxx.xxx) for PPPoE

ge-0/0/15 (192.168.112.2) for 専用線接続?

 

192.168.1.0/24のネットワークはどこにありますでしょうか?

 

よろしくお願いいたします。

 

 

フォーラム

Re: NATの送信元ポート変換及びProxy ARPの必要性について

‎10-05-2014 11:07 PM

employee1様

 

ご回答ありがとうございます。

 

>残念ながら、portを一つに固定化することは、不可です。

 

なるほど、最低2つ(range)は必要という事なんですね。

 

>申し訳ありませんが、SRX240とユーザ端末(192.168.1.0/24)の接続構成が
>曖昧なため、今の段階では断言できません。

 

ユーザ端末はSRX240と繋がる専用線ルーター(YAMAHA製)の先の
ネットワーク(基地局などを経由)になります。

 

ge-0/0/0 (xxx.xxx.xxx.xxx) for PPPoE
固定グローバルIP1

 

ge-0/0/15 (192.168.111.2) for LAN

ge-0/0/15(192.168.111.2) の先に

専用線ルーターLANポート(192.168.111.1)が接続されており
専用線ルーターS/Tポート(192.168.109.1)経由で
基地局機器LANポート(192.168.109.2)
基地局機器WANポート(192.168.110.1)
ユーザ端末(192.168.1.1)
と繋がります。

 

SRX240のルーティングテーブル
set routing-options static route 0.0.0.0/0 qualified-next-hop pp0.0 metric 1
set routing-options static route 192.168.1.0/24 next-hop 192.168.111.1
set routing-options static route 192.168.109.0/24 next-hop 192.168.111.1
set routing-options static route 192.168.110.0/24 next-hop 192.168.111.1

なお、ユーザ端末を含む専用線側機器とインターネットへは
pingによる疎通確認が行えている状況です。

 

Source NAT
ユーザー端末(192.168.1.1)から
→専用線ネットワーク(192.168.110.1→192.168.109.2)
→専用線ルーター(192.168.109.1→192.168.111.1)ときて
SRX240 ge-0/0/15 LAN(192.168.111.2)
SRX240 ge-0/0/0 PPPoE(xxx.xxx.xxx.xxx) ※設定
→インターネット上のサーバ(yyy.yyy.yyy.yyy) と接続されます。

 

Destination NAT
インターネット上のサーバ(yyy.yyy.yyy.yyy)から
SRX240 ge-0/0/0 PPPoE(xxx.xxx.xxx.xxx) ※設定
SRX240 ge-0/0/15 LAN(192.168.111.2)
→専用線ルーター(192.168.111.1→192.168.109.1)
→専用線ネットワーク(192.168.109.2→192.168.110.1)
ユーザー端末(192.168.1.1) と接続されます。

 

複雑な構成で分かりにくくて申し訳ないです。。