Azure VPN Gateway の動的 NAT でサポートされる変換先アドレス プール サイズについて

Azure VPN Gateway は、インターネット経由で Azure 仮想ネットワーク (VNet) とオンプレミス ネットワーク間で暗号化されたトラフィックを通信、または Azure VNet 間で暗号化されたトラフィックを通信するための仮想ネットワーク ゲートウェイです。

Azure VPN Gateway には、IPsec/IKE クロスプレミス接続でのみとなりますが、NAT サポートされており、多少の機能の違いはあるものの、静的 NAT も動的 NAT も利用することができるようになっています。

変換元アドレス プール (Azure 側) と変換先アドレス プール (オンプレミス 側) が同じサイズの場合には、静的 NAT を用いて 1 対 1 のマッピングを定義、構成しますが、変換元アドレス プールよりも変換先アドレス プールのサイズが小さい場合には動的 NAT を用いてその差を吸収します。

この動的 NAT でサポートされる変換先アドレス プールのサイズについて、確認してみました。

Azure VPN Gateway の動的 NAT でサポートされる変換先アドレス プール サイズについて

以下ドキュメントにも記載されていますが、動的 NAT でサポートされる変換先アドレス プールの最大サイズは、/26 となっています。

About NAT (Network Address Translation) on VPN Gateway - Azure VPN Gateway

Learn about NAT (Network Address Translation) in Azure VPN to connect networks with overlapping address spaces.

learn.microsoft.com

仮想ネットワークの最小サブネット サイズと合わせると、変換先アドレス プールの範囲は /29 ～ /26 となります。

実際に /26 よりも大きなサブネット (/25 など) で設定した結果は以下となり、ドキュメントどおりになっていることを確認しました。

Azure ポータル

設定直後に、通知領域に以下のメッセージが表示され、エラーとなります。

Azure PowerShell

コマンド実行後、エラーコード “DynamicGatewayNATRuleMaxExternalSubnetSize” で失敗します。

Azure CLI

コマンド実行後、コード “DynamicGatewayNATRuleMaxExternalSubnetSize” で失敗します。

まとめ

Azure VPN Gateway の動的 NAT でサポートされる変換先アドレス プール サイズは /29 ～ /26 となり、それよりも大きなサイズで作成しようとすると、エラーとなり作成することができなくなるので、デプロイ前に既存の環境と合わせて確認しておきましょう。

よっぽど複雑なネットワーク構成でない限り、静的 NAT の利用をお勧めします。
※動的 NAT は、Azure ⇒ オンプレへの一方向トラフィック制限があることも含めて

関連サイト

• VPN Gateway – 仮想ネットワーク | Microsoft Azure
  https://azure.microsoft.com/products/vpn-gateway/
• VPN Gateway の価格 | Microsoft Azure
  https://azure.microsoft.com/pricing/details/vpn-gateway/
• VPN Gateway のドキュメント | Microsoft Learn
  https://learn.microsoft.com/azure/vpn-gateway/
• Azure VPN Gateway で NAT を構成する – Azure VPN Gateway | Microsoft Learn
  https://learn.microsoft.com/azure/vpn-gateway/nat-howto