VyOS で IPv6 の masquerade、つまり nat66 を利用する設定例です。IPv6 では NAT を標準設計にしない方が自然ですが、ULA を使った内部設計や prefix 変更対策として検討されることがあります。
参考
書籍
書籍
参考書籍
マスタリング TCP/IP ルーティング編
ルーティング、NAT、VPN、ネットワーク設計の基礎を体系的に確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
この記事は、現在の主軸である VyOS 1.5 で読むことを前提に、過去の VyOS 1.4 記事の内容も整理しています。nat66 / IPv6 NAT はバージョン差よりも、インターフェイス、経路、NAT、firewall をどう組み合わせるかが重要です。細かなコマンドや表示は利用している ISO で確認してください。
nat66 を使う意味
nat66 は、IPv4 の NAPT と似た抽象化を IPv6 側にも持ち込む考え方です。LAN 側に ULA を配布し、外向き通信では WAN 側 IPv6 アドレスへ変換することで、内部 prefix を外部の prefix 変更から切り離しやすくなります。
設定例
configure
set nat66 source rule 5000 outbound-interface 'eth0'
set nat66 source rule 5000 source prefix 'fd00::/64'
set nat66 source rule 5000 translation address 'masquerade'
set service router-advert interface eth2 prefix fd00::/64
commit
save確認
show nat66 source rules
show ipv6 route
show configuration commands | match 'nat66'設計上の注意
- IPv6 の基本設計は end-to-end 到達性を重視する。
- nat66 は便利でも、トラブルシューティングや到達性の意味が変わる。
- GUA prefix をそのまま LAN に配る設計、NPTv6、ULA + proxy などの代替案も比較する。
- IPv4 NAT の感覚だけで IPv6 NAT を標準化しない。
まとめ
VyOS の nat66 masquerade は、IPv6 設計に IPv4 NAT 的な抽象化を持ち込める点で興味深い機能です。ただし、IPv6 の一般論として推奨するというより、prefix 設計や運用主権のための選択肢として慎重に扱います。
VyOS nat66 masquerade と IPv6 NAT の考え方
