デュアルNATもこれで回避！ Ubiqiti製品の最新ファーム「UniFi Network Application 8.3」を試す

NATの無効化に対応したUniFi Network Application 8.3

　UbiquitiのUniFiシリーズ向けのファームウェアが更新され、NATを無効化できるようになった。これにより、auひかりなど上位にホームゲートウェイが必須な環境で、デュアルNAT構成を回避できるようになった。地味に便利なDNSサーバー機能なども合わせて、最新ファームの使用感をレポートする。

どんどんよくなる

　UniFiシリーズのいいところは、機能を進化させることに積極的な点だ。

　ハードウェアをリリースしたら終わり、ということがなく、市場の動向やユーザーの声を受けて、頻繁に新機能を追加したファームウェアをリリースしている。

　これまでの更新では、日本市場向けにDS-Lite対応を果たした点も高く評価したい。そして今回注目したいのは、7月にリリースされた最新のファームウェア「Network Application 8.3」で、NATを無効にできるようになったことだ。

　筆者の環境もそうだが、日本のコンシューマー向け回線サービスでは、電話サービスなどと一体化されたホームゲートウェイが提供されるケースがある。

　こうした環境で、UniFiのDream RouterやDream Machine、Cloud Gatewayなどのゲートウェイ製品（以下UniFiゲートウェイ）を使用しようとすると、下図のように、ホームゲートウェイとUniFiゲートウェイの2か所でNATが実行されてしまう。いわゆる「デュアルNAT構成」だ。

いわゆる「デュアルNAT構成」になっていた

　今回、Network Application 8.3では、UniFiゲートウェイのNATを無効にできるようになった。これにより、上記のデュアルNATを解消し、ホームゲートウェイのNAT機能のみを利用する構成にすることが可能になった。

デュアルNATを回避可能になった

　昨今は、NAT越えの技術も普及してきたうえ、DMZを使うという手もあるのだが、処理は少ない方が何かと都合がいい。さっそく、UniFiゲートウェイ側のNATを無効化する構成で接続してみた。

ホームゲートウェイで静的ルートの設定が必要

　NATを無効化するだけなら、UniFi Networkの設定画面から、［ルーティング］の［NAT］タブを開き、［グローバルNAT設定］を［オフ］に設定すればいい。

［ルーティング］の［NAT］でNATをオフにできる

　ただし、単純にUniFiゲートウェイでNATをオフにするだけでは、上位のホームゲートウェイで、UniFiゲートウェイ配下の端末宛ての通信が正しく中継されなくなってしまう。

　従来は、UniFiゲートウェイとホームゲートウェイの間の通信が、UniFiゲートウェイ上のNATによって制御（アドレスやポートを書き換えて転送）されていた。このため、インターネットからの戻りの通信は、宛先がUniFiゲートウェイのアドレスに書き換えられており、UniFiゲートウェイに戻ったあとにNATで変換されてPCへと運ばれていた。

　しかし、UniFiゲートウェイでNATが無効になると、PCからの通信のアドレスが変換されなくなる。つまり、インターネットからの戻りの通信は、宛先がローカルPCのアドレスのままになっており、ホームゲートウェイがどこに転送すればいいかがわからなくなってしまうわけだ。

　このため、UniFiゲートウェイでNATを無効化する場合は、上位のホームゲートウェイで静的ルートの設定が必要になる。通常、ルーター同士の経路交換にはRIPやOSPF（大規模ならBGP）が使われるが、ホームゲートウェイではRIPやOSPFの設定はできないので、静的ルートで対処することになる。

　筆者宅で利用しているauひかり（10Gbps）のAterm BL1000HWの場合であれば、設定画面の［インターネット］にある［静的ルーティング設定］で設定する。

　今回の例では、PCが存在するLAN側のネットワークが「192.168.50.0/24」なので、このアドレスを［宛先IP］として設定し、通信の転送先となる［ゲートウェイ］にUniFiゲートウェイのWAN側アドレスを指定したうえで、［インターフェース］にホームゲートウェイのLANポートを指定しておけばいい。

ホームゲートウェイで静的ルーティングを設定

　なお、上図の画面では、2つのアドレスが指定してある。今回の検証環境ではLAN側でVLANが構成されているため、そのアドレスの通信も転送するためだ。通常はLAN側1つだけでかまわない。

　また、VLANで複数のネットワークが存在する場合は、UniFiゲートウェイのNATのオン／オフもネットワークごとに構成できる。特定のVLANのみNATをオフにし、ほかはオンのままにしておくといったことも可能だ。

カスタム設定で特定のネットワークのNATのみをオフにすることも可能

DNSサーバーとしても利用できる

　せっかくなので、もうひとつ、UniFi Network Application 8.3の新機能を紹介しておこう。地味に便利なDNS機能だ。

　これは、UniFiゲートウェイをDNSサーバーとして利用できる機能だ。例えば、AレコードでLAN上のNASのドメイン名とIPアドレスを登録しておくと、LAN上のPCからドメイン名でNASにアクセスできるようになる。

LAN上の端末の名前を登録しておくことができる

エイリアスは後日対応予定

　もともと、UniFiゲートウェイを利用した環境では、DHCPでUniFiゲートウェイのアドレスがDNSサーバーとして配布されるようになっている。このため、UniFiゲートウェイのDNSサーバー機能を拡張することで、上記のようにLAN上の機器の名前解決に利用することが可能となるわけだ。

　応用例としては、以下のようにSite Magicによって構成した拠点間接続での名前解決も可能となる。拠点AでNASの名前をDNSに登録し、離れた場所にある拠点Bでは特定のドメイン名（今回の例ならshimiz.local）の問い合わせを拠点AのDNSサーバーにForwardする設定にしておく。

　このように拠点側は転送の設定をしておけば、本社などの拠点側でローカルリソースの名前をまとめて管理できる。中小規模の環境でも、特別なセットアップをすることなく、手軽にDNSサーバーによる名前解決ができるのは便利だ。

Site Magicで拠点間接続も簡単なうえ、Forwardで拠点間の名前解決も可能

じわじわきてるUniFi

　以上、今回はUniFi Network Application 8.3で使えるようになった新機能の一部を紹介した。このほか、今回は触れなかったが、ACLルールも追加されており、IPアドレスやMACアドレスで特定の通信を禁止する機能も追加されており、着実に機能が進化している。

　UniFi製品は、実用的な機能を手ごろな価格とパフォーマンスで手に入れることができる製品だが、これまで「コレができれば……」「あの機能があれば……」というピンポイントで足りない部分があったのも事実だ。

　特に、日本の中小環境では、ネットワーク環境がまちまちとなるため、「細かいニーズ」が結構存在する。UniFiは、こうしたニーズに対して、徐々にではあるが、1つずつ答えようと努力している。

　6月に開催されたInterop 24 Tokyoでもブースを構えていたが、認知度も評価もじわじわ上がっている印象がある。今後の進化に、さらに期待したいところだ。