対策としては以下2パターンとなる。
- 案①:PCにスタティックルートを追加する
- 案②:VyOSで接続先サーバに対するDNAT設定を行う
環境
VyOSの持つ192.168.33.81のIPアドレスに対して、リモートデスクトップ接続のポート3389で受信した通信を192.168.11.81のポート3389に転送する設定となる。手順
1. DNAT用のIPアドレスを設定
DNATする際に受信するIPアドレスについて、もともとVyOSで設定済みのIPアドレスを使用するのであれば特に追加設定は不要となるが、異なるIPアドレスとしたい場合は、あらかじめインターフェースにDNAT用のIPアドレスを追加しておく。set interfaces ethernet eth0 address 192.168.33.81/24
virtual-addressで設定する。当然だが、VRRPで冗長化している2台のVyOS両方に設定すること。set interfaces ethernet eth1 vrrp vrrp-group 10 virtual-address 192.168.33.81/24
2. DNATを設定
DNATの設定はset nat destination rule <ルール番号> <設定>で行う。今回は、ルール番号を110として、以下のように設定を行う。| 設定値 | 設定値 | 説明 |
|---|---|---|
| description | DNAT-RDP | わかりやすい説明を記載 |
| destination address | 192.168.33.81 | 受信するIPアドレスを指定 |
| destination port | 3389 | 受信するポート番号を指定 |
| inbound-interface | eth0 | 受信するインターフェースを指定 |
| protocol | tcp | プロトコルを指定 |
| translation address | 192.168.11.81 | 転送するIPアドレスを指定 |
| translation port | 3389 | 転送するポート番号を指定 |
# set nat destination rule 110 description DNAT-RDP
# set nat destination rule 110 destination address 192.168.33.81
# set nat destination rule 110 destination port 3389
# set nat destination rule 110 inbound-interface eth0
# set nat destination rule 110 protocol tcp
# set nat destination rule 110 translation address 192.168.11.81
# set nat destination rule 110 translation port 3389
# commit
# save
$ show nat destination rules
Disabled rules are not shown
Codes: X - exclude rule
rule intf translation
---- ---- -----------
110 eth0 daddr 192.168.33.81 to 192.168.11.81
proto-tcp dport 3389 to 3389
Desc: DNAT-RDP
3. 接続確認
試しにリモートデスクトップ接続をNAT用のIPに対して実施してみる。問題なく接続できたので、VyOSでも確認する。
$ show nat destination translations detail
Pre-NAT src Pre-NAT dst Post-NAT src Post-NAT dst
192.168.33.201:51456 192.168.33.81:3389 192.168.33.201:51456 192.168.11.81:3389
tcp: 192.168.33.81 ==> 192.168.11.81 timeout: 299 use: 1
0 件のコメント:
コメントを投稿