本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、

エンジニア2年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

＜お問い合わせNO.3 DNATとインターネットVPN＞

今回ご要望いただいた内容は以下のような構成です。

• 拠点とデータセンターで拠点間VPNで接続。
• 拠点ユーザーは外部のDNSサーバーを利用し、ポータルサイトの名前の解決はグローバルIPで行う。
• 拠点ユーザーからポータルサイトへアクセスする際は、VPN 通信経由でアクセスさせたい。
  
  

拠点内のユーザーがVPNトンネルを経由して、URLでポータルサイトにアクセスさせる為には、
VPN内を宛先NAT（DNAT）で通信させることが出来れば実現できそうです。

今回のケースの回答には以下のポイントを把握している必要があります。

• ダイアルアップVPNとルートベースVPNの機能と設定について
• グローバルIP宛の通信をローカルIPへ変換するDNATの機能
• DNATを行うために、FortiGateのファイアウォールポリシーの設定方法
  

それでは設定の確認をしていきます。

＜FortiGateの設定イメージ>

※拠点ーデータセンタ間のVPN設定は割愛しました。

• ポリシー設定

FGT1ではデータセンタ側FortiGateのグローバルIPアドレスからポータルサイトのIPアドレスへVIPをあらかじめ作成しておきます。

LANからVPN行きのポリシーにVIPを設定してください。

ポータルグループはポータルサイト1、2のIPアドレスを含んだオブジェクトです。

• スタティックルート設定

FGT1のスタティックルートには以下の設定を忘れずに入れてください。

グローバルアドレス宛の通信をLAN→TEST1(VPN)宛のFWポリシーでVIPを適用させるために必要です。

この設定が無いとグローバルアドレス宛ての通信はVPNではなくデフォルトゲートウェイを通ってしまいます。

• 確認画面

外部からのWebページへのアクセス結果
パソコンのブラウザから各Webサーバーにアクセスしたところ、どちらも問題なく表示されました。

また下記のコマンドで確認できるセッションリストから、グローバルIPへの通信でDNATが行われていることが確認できました。

----------------------

検証後記

前提条件がやや複雑な内容でしたが、
ポイントを1つずつ整理していくことで、設定自体は簡単にできました。

FortiGateはVIPやVPNを利用して柔軟にフローを制御することが可能です。
今回は外部のDNSサーバーを利用するが、通信は外部ではなくVPNを通したいという要件だったので、
スタティックルートを設定し、VPNポリシーに適用するように設定を行いました。

このように要件に応じて通信の流れを制御したい際に是非ご活用ください。

以上