ネットワーク機器/FITELnet-F40/NAT-Traversal機能について

ネットワーク機器トップ　>　製品ラインナップ　>　FITELnet-Fシリーズ　>　FITELnet-F40 　>　NAT-Traversal機能について

NAT-Traversal機能について

	2003年02月12日初版
	2003年03月24日 NetScreenとの接続例を追加
	2003年03月27日 V03.09より、2項(4)の制限を解除
	2006年12月07日サポート仕様を訂正

FITELnet-F40では、ファームバージョンV03.08からNAT-Traversal機能をサポートしました。
以下に想定している構成と注意事項について記載します。

１．想定している構成

株式会社アッカ・ネットワークス、イー・アクセス株式会社などのPPPoA型（ルータタイプ）ADSL回線でインターネットVPNを構築する場合、ルータモデムでIPsecパススルーを機能させる必要があります。

ところが、このルータモデムに関して、「IPsecパススルー機能をサポートしていない」、「ユーザで設定変更できない」といった問題が発生するケースもあり、結果としてIPsec通信できないことがありました。これはIPsecが、経路上のIPマスカレードをこえて通信できないプロトコル上の問題が原因です。

この問題を解決するのが、NAT-Traversal機能になります。
NAT-Traversal機能は、IPsecパケットをUDPでカプセル化することで、この問題を解決し、IPsec通信を実現します。

IPsecパケットをUDPパケットでカプセル化することで、IPsec通信を実現

●サポート仕様は、以下のとおりです。

draft-ietf-ipsec-nat-t-ike-00
draft-ietf-ipsec-udp-encaps-01

●他社品との接続

当社でNetScreenとの接続を確認いたしました。

●設定例

２．注意事項

(1)～(3)項は、ファームウェアバージョンV03.08・V03.09共通の注意事項です。

(1)	Aggressive modeでのサポートになります。Main modeはサポートしていません。
(2)	FITELnet-F40をresponder側として機能させる場合，VPN peerのIPアドレスが確定していてもそのIPアドレスを設定しないでください。具体的には，ルータモデムのWAN側のIPアドレスが固定の場合（＝PPPoA型のADSL回線で，固定グローバルIPアドレスを契約している）です。 conf#vpnpeer add addr=200.100.10.1 →設定しないでください。 conf#vpnpeer add name=abcde →このように設定してください。
(3)	IPsec圧縮機能との併用はできません。

次の(4)項は、ファームウェアバージョンV03.08のみの注意事項です(V03.09にてサポートされました)。

(4)	NAT-Traversal機能を使用してresponder側として動作させる場合に，複数のinitiatorからのネゴシエーションが1つのNATアドレスに集約されるような構成では，responder側にFITELnet-F40(V03.08)を使用しないでください。（V03.09からサポートした構成例）