ポートフォワーディングが設定通りに動作しない場合の確認方法

Keita
Meraki Employee

本記事では、MXのポートフォワーディング機能を利用した際に、想定通り動作しない場合の切り分け手順について解説しています。

 

// 概要 //

MXのポートフォワーディング機能はインターネットからWANポートに着信した通信を

LAN配下(※1)の特定IPアドレスにフォワードする機能で、これによって社内のデバイスやサーバを

インターネット上に公開することが可能です。

 

設定後、実際にアクセスをしても通信が出来ないという場合に下記に記載の事項を確認することで

問題の切り分けが可能です。

 

※1:MXで設定したサブネットが対象となります。またAuto VPNでの対向ピアのサブネットなども指定できません。

 

// 設定方法 //

設定は下記画面で実施します。

 

セキュリティ&SD-WAN > ファイアウォール > 転送ルール

Keita_0-1648799480622.png

 

 

上記例ではMXの両方のWANポートに着信したTCP/8080のパケットを、

MX配下の192.168.100.10にTCP/80でフォワードする設定となります。

 

// 問題切り分け方法 //

 

通常下記のような順序での切り分けが有効となります。


1. インターネット側の任意の環境から、対象のポートで通信を実施

上述の例の場合、ブラウザで確認可能な通信であれば「http://xxx.xxx.xxx.xxx:8080」等で、

またはtelnet等のコマンドでポートを指定し確認(xxx.xxx.xxx.xxxはグローバルIPアドレス)します。

 

・Mac OSの端末での実施の場合

telnet xxx.xxx.xxx.xxx 8080

 

2. MXのWANポートでパケットキャプチャをし該当通信の着信確認
下記画面でMXとインターネットポートを指定します。

ネットワーク全体 > パケットキャプチャ

Keita_1-1648798932658.png

 

該当通信が来ていない場合、MXの上流環境を確認し上位のルータ等がある環境であれば該当通信を

上流側でポートフォワーディングしてMXに向けているか、またフィルター等をしていないか確認。

 

また通信元の端末が、MXの設定で許可された送信元IPアドレスであるかを確認します。

 

3. MXのLANポートでフォワードして対象機器からの応答があるかを確認

上記のパケットキャプチャの画面でLANポートを選択し、該当通信を変換後のポートで
指定されたIPアドレスに送信しているか、また対象機器からの応答を確認します。

機器からの応答がない、TCPの再送処理等が発生している場合などの際は

対象デバイス自体が被疑箇所である可能性があるため下記確認に進みます。

 

4. 対象機器のサービス稼働状況、Firewall等での制御状況

 

下記のような事項を確認し機器側の状態を確認します。


・対象サーバ、デバイスで問題なくサービスが起動しているか

・LAN内からはアクセス可能であるか

・Firewall等で指定したIPレンジからしか許可しないような設定になっていないか

 

//参考情報//

Port Forwarding and NAT Rules on the MX

Troubleshooting Port Forwarding and NAT Rules
Port Forwarding Caveats