次の方法で共有


Azure VPN Gateway の NAT を構成する方法

この記事は、Azure portal を使用して Azure VPN Gateway の NAT (ネットワークアドレス変換) を構成するのに役立ちます。

NAT について

NAT は、IP パケット内の IP アドレスを別の IP アドレスに変換するメカニズムを定義するものです。 これは、一般的に、IP アドレス範囲が重複するネットワークを接続するために使用されます。 ネットワークに接続するゲートウェイ デバイスの NAT ルールまたはポリシーは、ネットワーク上のアドレス変換のアドレス マッピングを指定します。

Azure VPN Gateway の NAT サポートの詳細については、「Azure VPN Gateways における NAT について」を参照してください。

重要

  • NAT がサポートされる SKU は、VpnGw2 から 5、および VpnGw2AZ から 5AZ です。

作業の開始

この記事の各パートに従うと、ネットワーク接続で NAT を構成するための基本的な構成要素を形成できます。 3 つのパートをすべて完了すると、図 1 のようなトポロジが構築されます。

図 1

NAT 構成とルールを示すダイアグラム。

前提条件

Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

パート 1: VNet およびゲートウェイを作成する

このセクションでは、図 1 に示されているリソースに対応する仮想ネットワーク、VPN ゲートウェイ、ローカル ネットワーク ゲートウェイのリソースを作成します。 これらのリソースを作成する場合は、サイト間に関するチュートリアルにある手順を使用できます。 その記事の次のセクションを完了します。ただし、接続は作成しないでください。

重要

接続を作成しないでください。 接続リソースを作成しようとすると、VNet、Branch1、Branch2 の間で IP アドレス空間が同じであるため、その操作は失敗します。 接続リソースは、この記事の後半で作成します。

次のスクリーンショットは、作成するリソースの例を示しています。

  • VNet

    VNet アドレス空間を示すスクリーンショット。

  • VPN Gateway

    ゲートウェイを示すスクリーンショット。

  • Branch1 ローカル ネットワーク ゲートウェイ

    Branch1 ローカル ネットワーク ゲートウェイを示すスクリーンショット。

  • Branch2 ローカル ネットワーク ゲートウェイ

    Branch2 ローカル ネットワーク ゲートウェイを示すスクリーンショット。

パート 2: NAT ルールを作成する

接続を作成する前に、VPN ゲートウェイで NAT ルールを作成して保存する必要があります。 次の表に、必要な NAT ルールを示します。 トポロジについては、図 1 を参照してください。

NAT ルールの表

名前 モード 内部 外部 接続
VNet スタティック EgressSNAT 10.0.1.0/24 192.168.1.0/24 両方の接続
Branch1 スタティック IngressSNAT 10.0.1.0/24 192.168.2.0/24 Branch1 の接続
Branch2 スタティック IngressSNAT 10.0.1.0/24 192.168.3.0/24 Branch2 の接続

次の手順を使用して、VPN ゲートウェイ上のすべての NAT ルールを作成します。 BGP を使用している場合は、[BGP ルート変換を有効にします] の設定で [有効にする] を選択します。

  1. Azure portal で、[Virtual Network ゲートウェイ] リソース ページに移動して、左側のペインで [NAT 規則] を選択します。

  2. NAT 規則の表」を使用して、値を入力します。 BGP を使用している場合は、[BGP ルート変換を有効にします] の設定で [有効にする] を選択します。

    NAT ルールを示すスクリーンショット。

  3. [保存] をクリックして、NAT ルールを VPN ゲートウェイ リソースに保存します。 この操作は、完了するまで最大 10 分かかることがあります。

このセクションでは、接続を作成し、同じ手順で NAT 規則を関連付けます。 同時に NAT 規則をリンクせずに最初に接続オブジェクトを作成すると、IP アドレス空間が VNet、Branch1、Branch2 の間で同じであるために操作が失敗するのでご注意ください。

接続と NAT 規則は、図 1 に示すサンプル トポロジで指定されています。

  1. VPN ゲートウェイに移動します。

  2. [接続] ページで [+ 追加] を選択して [接続の追加] ページを開きます。

  3. [接続の追加] ページで、次のスクリーンショットに示すように、VNet-Branch1 接続の値を入力し、関連する NAT 規則を指定します。 [Ingress NAT rules] (イングレス NAT 規則) で、[Branch1] を選択します。 [Egress NAT rules] (エグレス NAT 規則) で、[VNet] を選択します。 BGP を使用している場合は、[BGP を有効にする] を選択できます。

    VNet-Branch1 接続を示すスクリーンショット。

  4. [OK] をクリックして、接続を作成します。

  5. 手順を繰り返して、VNet-Branch2 接続を作成します。 [Ingress NAT rules] (イングレス NAT 規則) で、[Branch2] を選択します。 [Egress NAT rules] (エグレス NAT 規則) で、[VNet] を選択します。

  6. 両方の接続を構成すると、構成は次のスクリーンショットのようになります。 接続が確立されると、状態は Connected に変更されます。

    すべての接続を示すスクリーンショット。

  7. 構成を完了すると、NAT 規則は次のスクリーンショットのようになり、トポロジは 図 1 に示すトポロジと一致します。 表には、各 NAT 規則にリンクされた接続が表示されていることにご注意ください。

    接続で BGP ルート変換を有効にする場合は、[有効にする] を選択し、[保存] をクリックします。

    NAT 規則を示すスクリーンショット。

NAT の制限事項

重要

NAT 機能には、いくつかの制約があります。

  • NAT がサポートされる SKU は、VpnGw2 から 5、および VpnGw2AZ から 5AZ です。
  • NAT は、IPsec/IKE クロスプレミス接続でのみサポートされます。 VNet 間接続や P2S 接続はサポートされません。
  • NAT ルールは、[ポリシー ベースのトラフィック セレクターを使用する] が有効になっている接続ではサポートされません。
  • 動的 NAT でサポートされる外部マッピング サブネットの最大サイズは /26 です。
  • ポート マッピングは静的 NAT の種類でのみ構成できます。 動的 NAT のシナリオは、ポート マッピングには適用できません。
  • 現時点では、ポート マッピングで範囲の指定はできません。 個々のポートを入力する必要があります。
  • ポート マッピングは、TCP および UDP プロトコルの両方に使用できます。

次のステップ

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。 手順については、 仮想マシンの作成 に関するページを参照してください。