送信元NATと宛先NATを用いて10.180.198.0/24のセグメントに属している端末からpcに通信出来るようにします。
環境
- Fortigate60D v6.0.7
- Cisco WS-C3560CG-8PC-S 12.2(55)EX3(10.180.198.0/24のセグメント内の端末)
- PC端末 windows11
イメージ図
Fortigate設定
ネットワークセグメントのアドレスとi/f、PC側のI/fをそれぞれ準備
宛先NATの設定
VIPで設定。
外部IpアドレスがNAT変換前でマップされたIPアドレスがNAT変換後。
ネットワークからPCに通信したいので、入力I/Fと送信元をネットワークセグメントに属す。
出力I/fはPC側のセグメントに属しているinternal3で、宛先は先ほど設定したVIPを指定。
ファイアーウォール/ネットワークオプションのNATを有効にすることも忘れず。送信元NATのon/off
※送信元NATのみで設定を行う場合、デフォルトゲートとスタティックルートの設定が必要。
パケットキャプチャ
10.180.198.0/24のセグメントに属している端末からネットワーク側のI/F(10.180.198.68)を指定してpingしたときの通信フロー。送信元/先が172.16.30.254、172.16.30.10と交互になっているのが確認出来る。pingで指定した宛先がVIPによってPC端末のIPに変換された。
以下は送信元NATをOFFにして、上と同様にネットワーク側のI/F(10.180.198.68)を指定してpingしたときの通信フロー。上の通信フローと比較して、送信元/先のIPに変化がないので(10.180.198.x のセグメントに属しているいくつかの端末使用)、PC端末に届いてからの戻りのパケットが発生していないのが確認出来る。pingを打った送信元ノードは request time out が出力される。
WindowsPCにPINGが通らない場合