NAT設定

マネージドルータでは以下のNAT（IPv4アドレス変換）設定を行う事ができます。
【静的NAT】外側（WAN側）⇔ 内側（LAN側）、外側（VPN設定）⇔ 内側（LAN側）
【動的NAT】内側（LAN側）⇒ 外側（VPN側）

静的NATは、パケットの向きにより以下の動作となります。
パケットの向きが外側 ⇒ 内側の時、あて先IPアドレス・ポートを変換します。
パケットの向きが内側 ⇒ 外側の時、送信元IPアドレス・ポートを変換します。

ポートをレンジで指定した場合、外側ポートと内側ポートは同じポート番号で変換します。
　【例】レンジ：10011-10020
　　　外側ポート ⇔ 内側ポート
　　　　　　10011 ⇔ 10011
　　　　　　10012 ⇔ 10012
　　　　　　10013 ⇔ 10013
　　　　　　　　　：

機器別制限事項

【Cisco4331、Cisco4431、Catalyst8200、Catalyst8300】

VPNインターフェースでのNAT（動的、静的）を設定した場合、ゲートウェイ設定にWANを利用できません。

ゲートウェイ設定に関する設定は『ゲートウェイ設定』を参照ください。

外側ポートに、以下のポートは使えません。

UDP：53, 67, 123, 161-162, 500, 512-584, 848, 1645-1646, 1985, 3784-3785, 4500,5062-6085, 6784, 7784
TCP：22, 23, 53, 544, 545-617, 1987-1992, 1994, 1996, 5062-6085

【Cisco921J】

LAN側 ⇒ WAN側の動的NAT（IPマスカレード）を利用したH.323通信において、NAT ALG機能が初期値：無効の為、

　　H.323を使用するTV会議端末にWAN側IPアドレスの登録などNAT利用の為の追加設定が必要な場合があります。
　　詳細は、TV会議端末ベンダーにお問合せ下さい。

【Cisco891FJ、Cisco921J】

外側アドレスがWAN接続アドレスの場合、NATの外側ポート（レンジ）に、以下のポートは使えません。

22, 67, 68, 123, 500, 4341, 4342, 4500

IPアドレスが複数割当の回線で、外側アドレスがWAN接続以外のアドレスの場合、NATの外側ポート（レンジ）に以下のポートは

　　使えません。

67, 68, 4341, 4342

WAN側 ⇒ LAN側の静的NATを利用して、DNSサーバを公開する場合、詳細設定よりNAT ALG(DNS)を無効にする必要があります。

【全機種】

DMZ側からLAN側へのアクセスは、WAN回線がPPPoE(DMZ)ではできません。

WAN回線がStatic接続のとき、WAN側 ⇔ LAN側の静的NAT（外側アドレスはDMZ用途の複数アドレスのいずれか）を利用してのみ
可能です。

注意

LAN側 ⇒ WAN側の動的NAT（IPマスカレード）は設定項目にありませんが、自動で設定します。

動的NATの内側（LAN側）は、LAN側で利用する全てのIPアドレスが対象です。

LAN側からDMZ側へのアクセスは、LAN側 ⇒ WAN側の動的NATを適用します。

LAN側からWAN側へのアクセスは、静的NATに一致しなければ動的NATを適用します。

VPNインターフェースでのNAT（動的、静的）設定がある場合、LAN側からVPN側へのアクセスは、静的NATに一致しなければ動的NATを

　　適用します。
　　なお、静的NATに設定したIPアドレスで、設定したポート・プロトコル以外の通信はNATが適用されません。

VPNインターフェースでのNAT（動的、静的）を利用して、同じネットワークセグメントを持つ拠点間で通信する場合であっても、
　　同じネットワークセグメントのVLAN設定で広告を止める必要はありません（「広告しない」にチェックしてはいけない）。

VLANに関する設定は『VLAN設定』を参照ください。

ファイアウォール、NAT、ルーティングの適用順は以下の通りです。
※DMZ側 ⇒ LAN側は特定の条件下以外不可。上記、制限事項参照のこと。

WAN接続回線から払い出されるグローバルIPアドレスを使用して静的NATを利用します。
インターネットからLAN内の公開機器にアクセスさせたい場合に設定します。

外側アドレスをWAN接続アドレス、WAN接続以外のアドレスにより、利用可能な機能が異なります。

①外側アドレスをWAN接続アドレスとした場合

NAT設定のプロトコルに「TCP」、「UDP」を選択できます。
また、NAT設定の外側ポート（レンジ）で以下のポートが設定できません。
22、67、68、123、500、4341、4342、4500

②外側アドレスをWAN接続以外のアドレスとした場合

WAN接続回線がグローバルIPアドレス複数割当の品目の場合となります。
NAT設定のプロトコルで「すべて」、「TCP」、「UDP」を選択できます。
また、NAT設定の外側ポート（レンジ）で以下のポートが設定できません。
67、68、4341、4342

注意

WAN接続回線のグローバルIPアドレスが動的割り当ての場合は静的NATを利用できません。

WANのプライオリティ設定は、NATを使用するインターフェース（WAN1またはWAN2）を優先にしていること。

VLANに関する設定は『VLAN設定（マネージドルータ）』を参照ください。

ゲートウェイ設定は「WAN」であること。

ゲートウェイに関する設定は『ゲートウェイ設定』を参照ください。

WAN1/WAN2の回線タイプがPPPoE接続またはStatic接続であること。

WAN1回線のグローバルIPアドレスを使用したNAT設定とWAN2回線のグローバルIPアドレスを使用したNAT設定を同時に
　　　アクティブにすることは不可能。

複数IP回線を利用したDMZ構成とNATを併用できるのは、回線タイプがStatic接続でWAN接続用アドレスとは
　　　別セグメントで複数IPアドレスが払い出される場合のみ。PPPoE(DMZ)接続を使用したDMZ構成とNAT併用は不可。

DMZ構成の詳細は『VLAN設定（マネージドルータ）』を参照ください。

NAT設定数は最大250となります。レンジ指定の場合、1ポート1設定数となります。
　　【例】レンジ：10011-10020 ⇒ 設定数20、残り230設定可能

構成例（PPPoE接続、WAN1アドレス61.45.200.139/32、ポート10080で公開サーバアクセス）

構成例（PPPoE接続、WAN1アドレス219.118.174.1/29、219.118.174.2をLAN内サーバーとNAT）

構成例（Static接続、WAN1アドレス219.118.174.2/29、219.118.174.3をLAN内サーバとNAT）

構成例（Static接続、WAN1アドレス118.238.221.48/26、払出しIP8個セグメント118.238.1.72/29のDMZ構成で未使用アドレスでNAT）

VPN通信で静的NATを利用します。
静的NATでは、VPN側（VPNトンネル空間）とLAN側との間で、ルータが転送するIPパケットの送信元およびあて先IPアドレス変換や、TCPおよびUDPポート変換をスタティック（静的）に設定できます。
同じネットワークセグメントを持つ拠点間で通信したい場合に設定します。通信できるのは、静的NATを設定した機器同士のみです。

注意

同じネットワークセグメントを持つ拠点間で通信する場合であっても、同じネットワークセグメントのVLAN設定で広告を止める必要は
　 　 ありません（「広告しない」にチェックしてはいけない）。

外側（VPN側）アドレスに使用するIPアドレスは他拠点も含め以下の一意のアドレスを使用してください。
　 　 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
　 　 ただし、以下のIPアドレス範囲は本サービス内のサーバやVPN制御用の予約アドレスのため使用できません。
　 　 10.224.0.0　～　10.255.255.255　(10.224.0.0/11)

外側アドレスに動的NAT設定の外側アドレスと同じアドレスは使用できません。

NAT設定数は最大250となります。レンジ指定の場合、1ポート1設定数となります。
　　【例】レンジ：10011-10020 ⇒ 設定数20、残り230設定可能

VPN通信で動的NATを利用します。
動的NAT設定では、LAN側からVPN側（VPNトンネル空間）へルータが転送するIPパケットの送信元IPアドレスを、ひとつのVPN側IPアドレスに変換するように設定できます。つまり、VPNトンネル空間へのIPマスカレード機能となります。
同じネットワークセグメントを持つ複数の拠点から異なるネットワークセグメントの拠点への通信、また、静的NATと組み合わせることで、同じネットワークセグメント間で複数のPCから1台のサーバへの通信設定など容易になります。

注意

同じネットワークセグメントを持つ複数の拠点から、または、拠点同士で通信する場合であっても、同じネットワークセグメントのVLAN設定で広告を止める必要はありません（「広告しない」にチェックしてはいけない）。
外側（VPN側）アドレスに使用するIPアドレスは他拠点も含め以下の一意のアドレスを使用してください。
　10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
ただし、以下のIPアドレス範囲は本サービス内のサーバやVPN制御用の予約アドレスのため使用できません。
　10.224.0.0　～　10.255.255.255　(10.224.0.0/11)
外側アドレスにNATルールの外側アドレスと同じアドレスは使用できません。
動的NAT設定とDHCPリレー設定を併用することはできません。NAT設定を有効にしたい拠点がDHCPリレーで設定されている場合、
「DHCPサーバ」または「DHCP機能を使用しない」に設定する必要があります。

構成例（拠点A、拠点Bが同じネットワークセグメントを持つ時、異なるネットワークセグメント拠点Cへの通信）

構成例（拠点A、拠点B、拠点Cが同じネットワークセグメントを持つ時、拠点A、拠点Bから拠点Cへの通信）

回線タイプ

マネージドルータに設定されているWAN1/WAN2の回線タイプが表示されます。

IPv4アドレス/マスク

マネージドルータのWAN1接続アドレス、WAN2接続アドレスが表示されます。

コントロール

プロトコル

外側アドレス

外側ポート

内側アドレス

内側ポート

インターフェース

コメント

動的NAT設定

外側アドレス

注意

以下のIPアドレス範囲は本サービス内のサーバやVPN制御用の予約アドレスのため使用できません。
　10.224.0.0　～　10.255.255.255　(10.224.0.0/11)
外側アドレスにNATルールの外側アドレスと同じアドレスは使用できません。

以下条件でNAT設定を行う

以下条件でNAT設定を行う

以下の条件で動的NAT設定を行う