sidetech

インフラエンジニアの寄り道メモ。

Cato NetworksでStatic Range Translationしてみる

今週はひたすらネットワーク機器と戯れております。。。色々な機器のナレッジを追いかけているので、頭が混乱しそうです・・・。

今日はVPNをやっている人だと必ずぶつかる悩みの一つ、”ローカルアドレスバッティング”について。
どうしても沢山の拠点が増えたり、増えた拠点が何処かと被ってる?!なんてこと結構あるんじゃないでしょうか。私は何度もありました…。
その時の対処法として、セカンダリネットワークが組めてしまう機器はセカンダリを追加して、追々バッティングセグメントを止めるか、そもそもセグメントが変えられちゃう拠点は変えてしまうという作戦に出ますが、それがどうしても出来ないケースもあります。サーバや何かのIPの変更ができないとかとか。あとはIPSecトンネル内でNATする方法とかありますけども・・・。
んで、アドレス変換を1対1ではなく1対Nでもなく、セグメントまとめて行うのが、Subnet Translationというのがあります。これも色々な言い方があって、Twice NATやVPN NAT、VPN Subnet Translation、Translation NATと色々ありますね。
Catoは・・・またあらたな用語ですね・・・「Static Range Translation」だそうです。
意味的には、アドレス総変換?になるのかな。

f:id:hunter1014:20210210175109p:plain

Catoではシステム設定の所に「Enable Static Range Translation」なるものがありました。最初わからんだったよ・・・。
ただ注意書きが書かれております。ADとかDNSとかFTPとかSIPとかのトラフィックにゃ気を付けてねと。主にSourceIPが大事なものは使えないんで気をつけなはれやということですね。

で、このチェックを有効にすると、

f:id:hunter1014:20210210175403p:plain

SitesのNetwork設定のNative RangeにTranslatedという項目が増えます。ここに変換してほしいネットワークアドレスをぶち込むわけです。
今回は10.50.50.0/24としました。
こうすることで、他の拠点やモバイルアクセスからは、私の自宅は192.168.254.0/24ではなく10.50.50.0/24に見えるようになるわけです。

f:id:hunter1014:20210210181052p:plain

こんなかんじで「10.50.50.0/24」となりました。

じゃ、前回モバイルアクセスでRDPの実験をしましたので、その流れでやってみます。

f:id:hunter1014:20210210175627p:plain

以前、192.168.254.250でアクセスしたので読み替えて10.50.50.250にしてアクセスします。

f:id:hunter1014:20210210175743p:plain

RDPは全然問題ないですね。

注意書きにもある通り、条件によってはこれで対処出来ない事もありますので、このファンクションを使う場合はしっかりと検討してください。