- PR -

異なるセグメント間のLANのルータ設定

1
投稿者投稿内容
tttyyy
会議室デビュー日: 2008/06/16
投稿数: 1
投稿日時: 2008-06-16 17:01
下図のネットワークで、Seg-1 のネットワークから Seg-2 のネットワークに
pingを飛ばすためにはどの様にルータを設定したらよろしいのでしょうか。
ご教示ください。お願い致します。

192.168.0.1
|
----+---+--------- 192.168.0.0/24
|
| 192.168.0.250 (LAN2)
■ YAMAHA RTX1100
| 192.168.1.1 (LAN1)
|
----+---+--------- 192.168.1.0/24 (Seg-1)
| |
| | 192.168.1.20
| PC-1
|
| 192.168.1.254 (LAN2)
■ YAMAHA RT57i
| 192.168.2.1 (LAN1)
|
--------+--------- 192.168.2.0/24 (Seg-2)
|
| 192.168.2.70
PC-2


現在、2台のルータは以下のように設定しています。

■ YAMAHA RTX1100
# ip lan1 address 192.168.1.1/24
# ip lan2 address 192.168.0.250/24
# ip route default gateway 192.168.0.1
# ip lan2 nat descriptor 1
# nat descriptor type 1 masquerade
# nat descriptor address outer 1 192.168.0.250
# nat descriptor address inner 1 192.168.1.1-192.168.1.254
# ip route 192.168.2.0/24 gateway 192.168.1.254
# nat descriptor masquerade static 1 4 192.168.1.20 tcp 22

■ YAMAHA RT57i
# ip lan1 address 192.168.2.1/24
# ip lan2 address 192.168.1.254/24
# ip route default gateway 192.168.1.1
# ip lan2 nat descriptor 1
# nat descriptor type 1 masquerade
# nat descriptor address outer 1 192.168.1.254
# nat descriptor address inner 1 192.168.2.1-192.168.2.254
# nat descriptor masquerade static 1 6 192.168.2.70 tcp 7022


上記のようなルータの設定で、PC-2(192.168.2.70) から PC-1(192.168.1.20) には
pingが通るのですが、PC-1 から PC-2 に ping を通すようにするためには
どのような設定を加えればよろしいのでしょうか。
RT57i側の NAT の設定を外してしまえば通るのですが外したくありません。
よろしくお願い致します。
641/2
会議室デビュー日: 2008/04/13
投稿数: 4
投稿日時: 2008-06-16 20:44
そもそもマスカレードした場合はinsideから発信した場合の戻りはやってくれますが。
outside側(この場合RT57iのLAN2)からの発信はNATしないので無理だと思いますよ。


[ メッセージ編集済み 編集者: 641/2 編集日時 2008-06-16 20:45 ]
akasaka
常連さん
会議室デビュー日: 2008/06/17
投稿数: 22
投稿日時: 2008-06-17 07:39
試してもいないし、実績もないですが、

nat descriptor masquerade incoming 1 through

でどうでしょうか。

仮にこの設定でSeg-1側からSeg-2側に向けてRT57iを通り抜けられたとしても、
戻りのパケットにNAT掛けられてしまうとpingとしてはNGになる気もしますが...。
もうひと工夫が必要ですかね。
非武装エリア
大ベテラン
会議室デビュー日: 2004/03/03
投稿数: 202
お住まい・勤務地: 日本・たこ部屋
投稿日時: 2008-06-17 08:44
静的NATで、192.168.2.70を192.168.1セグメントのどこか使っていないアドレスとマッピングしてICMPを許可するルールを設定するか、192.168.1.254 宛のICMPパケットをすべて192.168.2.70宛てに集めてしまうかのどちらかの方法しか無いでしょうね。

でも何のために192.168.2.70にPINGしたいかを書いた方が別のアイデアが出ると思うが。。。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2008-06-19 05:55

NATを外したくないのは、
PC2から192.168.0.0/24 のセグメントとNATで通信したいからでしょうか。

それで、PC2の稼動状態をPC1から監視したい。とかでしょうか。

【想定される状況】
・RT57を使って、委託作業用のセグメント2を急遽作ることになった。
・セグメント2からサーバのある192.168.0.0セグメントと通信したいが、
 サーバは、セグメント1からのIPしか受け付けないので、NATしたい。
・RTX1100の設定は、極力変更したくない。
・セグメント1から、委託者PCの稼動状態をチェックしたい。

などと考えてみました。



_________________
_福田太郎_
1

スキルアップ/キャリアアップ(JOB@IT)