NAT traversal

NAT traversal（NATトラバーサル）は、TCP/IP ネットワークにおいてNAT機器ききを用もちいた上うえで、複数ふくすうホスト間あいだのネットワーク接続せつぞくを確立かくりつする際さいに生しょうじる問題もんだいを解決かいけつするために設計せっけいされたアルゴリズムである。ちなみに、NAT traversalはNAT通過つうかを意味いみし、NAT越こえとも呼よばれる。

例たとえば、P2PやVoIPなどのホスト間あいだ通信つうしんを行おこなうアプリケーションが、相手あいて側がわのNAT機器ききを用もちいたプライベートネットワークに属ぞくするホストを直接ちょくせつ指定していできない、すなわち、NATを通過つうかできないといった問題もんだいがある。通常つうじょうは、IPsec VPNクライアントがESPパケット^[1]にNATの通過つうかをさせるためにNAT-Tが用もちいられる。

NAT traversal技術ぎじゅつには多おおくの種類しゅるいがある。しかし、NATの機能きのうが標準ひょうじゅん化かされていない為ために、全すべての場合ばあいにおいて動作どうさするNAT traversal技術ぎじゅつは存在そんざいしない。多おおくのNAT traversal技術ぎじゅつは、グローバルIPアドレスを持もつパブリックサーバを必要ひつようとする。TURNなどは、サーバがすべてのデータを中継ちゅうけいする方法ほうほうであり、帯域たいいきコストを増ふやし、遅延ちえんを増加ぞうかさせることにより、VoIPアプリケーションに弊害へいがいをもたらす。一方いっぽう、STUNなどは、コネクションを確立かくりつするときにのみ、サーバを使用しようする方法ほうほうである。

NATの振舞ふるまいに基もとづく多おおくの技術ぎじゅつは、端末たんまつ間あいだの透過とうか性せいを損そこない、企業きぎょうにおけるセキュリティポリシー(Enterprise Security Policies)を保たもち難がたくする。企業きぎょうのセキュリティ管理かんり者しゃは、セキュリティポリシーを守まもることができるように、NATでパケットの検閲けんえつを行おこないながらNAT traversalを可能かのうにするような、NATとファイアウォールの両者りょうしゃが共存きょうぞんする技術ぎじゅつを選えらぶ。この点てんから、最もっとも将来しょうらい性せいのあるIETFの標準ひょうじゅんは、Realm-Specific IP (RSIP)とMiddlebox Communications (MIDCOM)だといえる。Universal Plug and Play (UPnP)は、小型こがたゲートウェイの製造せいぞう業者ぎょうしゃによって幅広はばひろくサポートされているので、家庭かていやSOHOに容易よういに導入どうにゅうすることができる。その一方いっぽうで、最もっとも古ふるいNAT制御せいぎょのためのプロトコルであるSOCKSは、今いまも有効ゆうこうであり幅広はばひろく利用りよう可能かのうである。

NAT traversal問題もんだい

NAT機器ききは内部ないぶネットワークから外部がいぶネットワークに向むけたリクエストのソースアドレスを変更へんこうし、変更へんこう後ごのアドレスに対たいする応答おうとうを受うけ取とる。これにより、内部ないぶネットワークに属ぞくする複数ふくすうのホストが、その数かずより少すくない外部がいぶIPアドレスを使用しようして外部がいぶネットワークと通信つうしんすることを可能かのうにする。しかし、応答おうとうは変更へんこう後ごのアドレスに対たいするものである為ために、NAT機器ききは、応答おうとうが内部ないぶネットワークに属ぞくするホストのうちのどれに対たいして行おこなわれているものかを特定とくていできない。このため、例たとえば内部ないぶネットワークに属ぞくするホストが外部がいぶネットワークに対たいして、サーバとして動作どうさすることを妨さまたげるという問題もんだいが生しょうじる。インターネットを使用しようする多おおくのホームユーザは、内部ないぶネットワークに属ぞくするホストをサーバとして動作どうささせる必要ひつようが無ないか、あるいは、静的せいてきNATマッピングが使用しようできる為ために、この問題もんだいはホームユーザに通常つうじょうは関係かんけいしなかった。しかし例たとえば、BitTorrentやGnutellaなどのP2Pによるファイル共有きょうゆうアプリケーションや、SkypeなどのVoIPアプリケーションは、サーバのように動作どうさすることをクライアントに要求ようきゅうするが、NAT機器ききが外部がいぶネットワークから内部ないぶネットワークへのリクエストを適切てきせつな内部ないぶホストに関連付かんれんづけられない為ために、このようなアプリケーションの機能きのうに問題もんだいが生しょうじる。

NAT traversalとIPsec

IPsecが、NATを通過つうかし正常せいじょうに機能きのうするためには、以下いかがファイアウォール上うえで許可きょかされる必要ひつようがある。

Internet Key Exchange (IKE) - User Datagram Protocol (UDP) ポート500
Encapsulating Security Payload (ESP) - Internet Protocol (IP) 50
IPsec NAT-T - UDP ポート4500

多おおくの家庭かてい用ようルータでは、IPsecパススルーを有効ゆうこうとすることによりこれらが実現じつげんされる。

議論ぎろんの余地よちのあるセキュリティ問題もんだいのために、Windows XP SP2 は、初期しょき設定せっていではNAT-Tを無効むこうとするよう変更へんこうされた。このため、家庭かていでPCを使用しようするほとんどのユーザは、PC環境かんきょうの設定せってい変更へんこうを行おこなわない限かぎり、IPsecを使用しようすることができない。 NATを使用しようしたシステム同士どうしが通信つうしんを行おこなうためにNAT-Tを有効ゆうこうとするには、以下いかのレジストリキーを追加ついかし、値ねAssumeUDPEncapsulationContextOnSendRuleを2に設定せっていする必要ひつようがある^[2]。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec (Windows XP)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent (Windows Vista以降いこう)

IPsec NAT-Tパッチは、Windows 2000、Windows NT、Windows 98でも利用りようできる。

NAT-TとIPsecとの使用しようは、システム間あいだで日和見ひよりみ暗号あんごう化か(en:Opportunistic encryption)を可能かのうとする。それにより、NATの内側うちがわにあるシステムが随時ずいじ安全あんぜんな接続せつぞくを要求ようきゅうし確立かくりつすることを、NAT-Tは可能かのうにする。

ローカルIPアドレスを払はらい出だすNAT実装じっそう装置そうちがパススルー可能かのうなIPsecの本数ほんすうはそのNAT実装じっそう装置そうちが持もつグローバルIPアドレスの数かずと同数どうすうである(例たとえばグローバルIPアドレスを一ひとつしかもたない家庭かてい用ようブロードバンドルータは一ひとつのIPsecしかパススルーできない)。これはローカルIPアドレス用ようのヘッダ自体じたいがIPsecで暗号あんごう化かされるためである。

NAT traversal

NAT traversal問題もんだい

NAT traversalとIPsec

関連かんれん項目こうもく

NAT traversalに関連かんれんするプロトコル、及およびそれに基もとづく技術ぎじゅつ

NATの動作どうさに基もとづくNAT traversalの技術ぎじゅつ

複数ふくすうの技術ぎじゅつを含ふくむNAT traversalの技術ぎじゅつ

外部がいぶリンク

関連かんれん RFC