[RTX1100] VPN サーバ用セグメントを lan2 インタフェースに設定する内容を整理する。

インターネット接続用ルータとしての設定はすでに完了していますが引き続き追加設定を行っていきます。今回は SoftEther VPN サーバを接続するセグメントを lan2 インタフェースに設定するのがメインですが、まずは「何を設定するのか？」を整理するとその後の作業が楽になります。

これまでで、lan1 を LAN 側、lan3 を WAN 側として設定しましたが、lan2 を DMZ 的に設定し、そこに SoftEther VPN サーバをインストールした ThinkPad T60(CentOS) を接続します。

追加で必要になる設定は、

• lan2 の IP アドレス とサブネットマスク
• IP マスカレード
• 静的 NAT

の３つになると思います。

上記２つ目と３つ目がいわゆる NAT 関連の設定になります。この２つをどのように設定するのか？

IP マスカレードが 中から外 (LAN → WAN)へ出て行くパケットの送信元 IP アドレスを変換するために設定します。VPN サーバの機能だけを考えるとこの IP マスカレードの設定は不要な気もしますが、SoftEther VPN サーバのバージョンアップだったり、CentOS のパッチを当てたりするときに必要となる項目と考えられるので設定しておきます。

静的 NAT は、外から中 (WAN → LAN、今回の構成でより正確に言うと WAN → DMZ) に入ってくるパケットの宛先 IP アドレスを変換するように今回は設定します。具体的には、ヤマハルータの WAN 側インターフェイスである lan3 に設定されているグローバル IP アドレスに到達したパケットを CentOS の IP アドレス (プライベート IP アドレス) へ書き換えて、CentOS までそのパケットを届けるための設定です。

SoftEther VPN サーバで、L2TP/IPSec を稼働させる予定なんですが、L2TP/IPSec はいわゆる NAT 超えができないプロトコルのため、RTX1100 のグローバル IP 宛てのパケットを静的 NAT で宛先 IP アドレスを変換して SoftEther VPN サーバをインストールした CentOS(ThinkPad T60) まで届けてやる必要があります。