高度な NAT の例

VPN ゾーン内のクライアント (192.168.69.10) は、デバイス上に構成されていないパブリック IP アドレス (204.68.184.237) を使用して DMZ 上のサーバーにアクセスする必要があります。このデバイスは、パブリック ip をサーバーのプライベート ip (172.25.3.50) に変換する必要があります。  パケットは、デバイス上で構成されていない未知の IP (192.168.222.16) からソースとして見られるべきです。サーバは、ip 192.168.222.16 でクライアントへのトラフィックを開始することができるはずです, これは、クライアントの元の ip にデバイスによって変換されます, 192.168.69.10. さらに、サーバーの送信元 ip アドレスをパブリック ip 204.68.184.237 に変更する必要があります。

1. 2つのループバックインターフェイスを作成します。

   ループバック 1: ゾーン "VPN" と適切な VR と 192.168.222.16/32

   ループバック 2: ゾーン "VPN" と適切な VR と 204.68.184.237/32

   

2. 2つの NAT ルールを作成する:
   • VPN クライアントからサーバーへ:

     ソースゾーン: VPN

     宛先ゾーン: VPN

     ソースアドレス: 192.168.69.10

     宛先アドレス: 204.68.184.237

     ソース変換: 「動的 IP とポート」を選択します。「インタフェースアドレス」を選択します。「ループバック1」を選択し、IP "192.168.222.16" を選択します。

     変換先翻訳: 172.25.3.50

   • サーバーから VPN クライアントへ:

     ソースゾーン: DMZ

     宛先ゾーン: VPN

     ソースアドレス: 172.25.3.50

     宛先アドレス: 192.168.222.16

     ソース変換: 動的 IP とポートを選択します。  [インターフェイスアドレス] を選択します。ループバック2を選択します。  IP 204.68.184.237 を選択します。

     変換先翻訳: 192.168.69.10

     

3. 2つのセキュリティポリシーを作成する:
   • VPN クライアントからサーバーへ:

     ソースゾーン: VPN

     宛先ゾーン: DMZ

     ソースアドレス: 192.168.69.10

     宛先アドレス: 204.68.184.237

   • サーバーから VPN クライアントへ:

     ソースゾーン: DMZ

     宛先ゾーン: VPN

     ソースアドレス: 172.25.3.50

     宛先アドレス: 192.168.222.16

     

所有者: kalavi