NATトラバーサル導入後に問題発生

 だが,他の社員からもx氏と同じ問い合わせが続いたため,B社は思いきってNATトラバーサル機能を採用することにした。VPNクライアントとVPN装置に装備すれば,ユーザーがアドレス変換の有無を意識せずに使える。実際にNATトラバーサルの導入後は,問い合わせが大幅に減った。

 ところがある日,C社に出向中のy氏から,接続できないという連絡が入った。y氏は出向先のC社の社内LANから,インターネット経由でB社とVPN接続しようとしていた。

 IPsec通信を通すには,ファイアウォールにIPsec関連のプロトコルを通す設定が必要になる。例えば,鍵交換のISAKMP通信のためにUDPの500番ポートの通過を許可する。B社は事前にC社に対して設定変更を依頼しており,問題はないはずだった。

ポート番号を変更して解決

図3 社員の出向先企業のファイアウォールを通過できないためB社はVPN設定を変更
B社は新たに「NATトラバーサル」機能を活用することにし,VPNクライアントと本社のVPN装置に設定を施した。取引先のC社に出向している社員もVPNでB社に接続できるように準備したが,NATトラバーサルで使うポート番号のパケットがC社のファイアウォールを通過できない。そこで,ポート番号の設定を変更して対処した。
 B社とC社が共同で調査したところ,y氏のパケットがファイアウォールで遮断されていた。理由は,NATトラバーサルのカプセル化に使うUDPのポート番号。B社では「10000」を指定していたが,C社のファイアウォールは10000番ポートを遮断する設定になっていた(図3[拡大表示])。

 原因は特定できたが,C社にUDPの10000番ポートが通過できるように変えてもらうのは,セキュリティ上難しい。B社は検討を重ねて,NATトラバーサルで利用するポート番号をISAKMPと同じUDPの500番に変えることにした。

 NATトラバーサルはISAKMPと関連がなく,同じ500番ポートを使うのは好ましくない。ただし,運用上は問題がなく,C社と接続することを優先してこの方法を採用した。NATトラバーサルのポート番号変更後は,C社からも接続できるようになった。