VyOS 1.4 の nat66 masquerade と IPv6 NAT の考え方

VyOS 1.4 で IPv6 の masquerade、つまり nat66 が利用できることを確認したメモです。IPv6 では NAT を標準設計にしない方が自然ですが、ULA を使った内部設計や prefix 変更対策として検討されることがあります。

設定例

configure
set nat66 source rule 5000 outbound-interface 'eth0'
set nat66 source rule 5000 source prefix 'fd00::/64'
set nat66 source rule 5000 translation address 'masquerade'
set service router-advert interface eth2 prefix fd00::/64
commit
save

設計上の意味

この構成では、LAN 側に ULA を配布し、外向き通信で WAN 側 IPv6 アドレスへ変換します。IPv4 の NAPT と似た抽象化を IPv6 側にも持たせる考え方です。

注意点

• IPv6 の基本設計は end-to-end 到達性を重視する。
• nat66 は便利でも、トラブルシューティングや到達性の意味が変わる。
• GUA prefix をそのまま LAN に配る設計、NPTv6、ULA + proxy などの代替案も比較する。

まとめ

VyOS 1.4 の nat66 masquerade は、IPv6 設計に IPv4 NAT 的な抽象化を持ち込める点で興味深い機能です。ただし、IPv6 の一般論として推奨するというより、prefix 設計や運用主権のための選択肢として慎重に扱います。

Related posts:

IPv6 における NAT66 再考 – ULA、GUA、Prefix 設計主権、IPv4 NAT の設計抽象 VyOS OpenVPN Site-to-Site TLS 設定と MTU の考え方 IPv6/IPv4 デュアルスタックのインターネット接続を OSS で作る – NAT66 以前の試行錯誤 VyOS 1.4 IPv6 IPoE インターネット接続設定 VyOS Azure 版 OpenVPN VyOS DHCPサーバー VyOS 1.4 設定マニュアル VyOS PBR 設定 – Policy Based Routing の基本 VyOS NAPT 設定 – IP マスカレードの基本 VyOS 1.4 基本設定 – IP アドレス / SSH / DNS / NTP / SNMP VyOS OpenVPN のログと証明書検証の注意点 VyOS クローンを作成する際のhw-address問題の対処