ITインフラ 2026年4月22日

NAT・ポートフォワーディングの基本 ― VPN・拠点間接続でつまずかないために

「NATで詰まっています」「ポートフォワーディングを設定してください」「キャリアグレードNATの環境ではVPNが繋がりません」――拠点間接続やリモートアクセスのトラブルで頻出するのが**NAT（Network Address Translation）**にまつわる話題です。

NATは1990年代後半にIPv4アドレス枯渇対策として広まり、現在はあらゆる家庭・オフィスのルーターに標準搭載されています。基本を押さえておかないと、**「VPNが繋がらない」「リモート接続できない」「Web会議が片方向音声になる」**などの厄介なトラブルで時間を溶かしてしまいます。

本記事では、中小企業の情シスがNAT・ポートフォワーディングの基本を理解し、拠点間接続やリモート構築でつまずかないための知識を整理します。

NATとは

NAT（Network Address Translation）は、IPアドレスを書き換えて通信を中継する技術です。最も身近な例は、社内のプライベートIPアドレス（192.168.x.x）と、インターネット側のグローバルIPアドレスの変換です。

オフィスのルーターは、社内PC（例：192.168.1.10）からのインターネット通信を受け取ると、送信元アドレスをルーターのグローバルIPに書き換えてから送信します。応答が返ってきたら、宛先を再びPCのプライベートIPに書き換えて転送します。

NATの仕組みにより、

限られたグローバルIPで多数の社内端末がインターネット利用できる
社内のプライベートIPは外部から直接見えない（簡易的なセキュリティ効果）
IPアドレス再設計せずに拠点を追加できる

といったメリットが得られます。

NATとNAPTの違い

厳密には、NATには複数の方式があります。

スタティックNAT（1対1）

社内の特定IPと、グローバルの特定IPを1対1で対応させる構成。社内サーバを公開する際に使われます。

ダイナミックNAT（1対多）

複数のグローバルIPを社内端末に動的に割り当てる構成。中小企業ではあまり使われません。

NAPT（PAT: Port Address Translation）― 通称NAT

最も一般的な方式。1つのグローバルIPを、ポート番号で識別して多数の社内端末で共有します。家庭用・オフィス用ルーターのNATは、ほぼすべてこのNAPT（PAT）です。「NATと言ったら実質NAPT」と理解して問題ありません。

NAPTの仕組み：

社内PC1（192.168.1.10:50000） ─→ ルーター ─→ インターネット
   送信元: 203.0.113.5:60001（書き換え後）

社内PC2（192.168.1.20:50000） ─→ ルーター ─→ インターネット
   送信元: 203.0.113.5:60002（書き換え後）

ルーターは、外側ポート（60001, 60002等）と内側のIP/ポートの対応表を保持し、応答パケットを正しい社内端末に戻します。

ポートフォワーディング ― 外から社内サーバへ

社内に置いたWebサーバ・FTPサーバ等を外部から接続させたい場合、ルーターでポートフォワーディング（または「DNAT」「ポート転送」「静的IPマスカレード」）を設定します。

[インターネット]
     │
     │ 203.0.113.5:443
     ▼
[ルーター]── ポートフォワーディング設定 ──┐
     │                                       │
     ▼                                       ▼
[社内LAN]                  192.168.1.50:443 (Webサーバ)

設定例：「外側 TCP 443 → 内側 192.168.1.50 TCP 443」

これで、外部からルーターのグローバルIPに443でアクセスすると、社内Webサーバに届くようになります。

ポートフォワーディングの注意点

① セキュリティリスクが高い。 社内サーバを直接インターネットに晒す行為になるため、ファイアウォールルール・IPS・WAFを必ず併用してください。可能ならVPN・ZTNA経由のアクセスに切り替える方が安全です。

② ポート番号を変えるのは気休めにしかならない。 「SSHを22から22022に変えればセキュア」は、ポートスキャンで30秒で発見されます。鍵認証・IP制限・踏み台経由を優先してください。

③ UPnP（自動ポート開放）は無効化推奨。 UPnPは利便性のため家電やゲーム機が自動的にルーターのポートを開ける機能ですが、マルウェアに悪用される事例が多発しています。業務用ネットワークでは必ず無効化してください。

ヘアピンNAT（NAT Loopback）

社内から「社外公開している自社サーバ」へアクセスする際、ルーターによっては正しく折り返しできず、社内からだけ繋がらない現象が起きることがあります。これをヘアピンNAT問題と呼びます。

社内PC ─→ ルーター ─→ ✕ → 社外DNSが指す自社グローバルIP
                       │
                       └→ 折り返して社内サーバへ届ける機能 ＝ ヘアピンNAT

対処：

ルーターのヘアピンNAT機能を有効化する（YAMAHA、FortiGate、Ciscoは対応）
社内DNSで「自社サーバのドメイン → 社内プライベートIP」を返すように設定（スプリットホライズンDNS）

「社外からは繋がるのに、社内からだけ繋がらない」というトラブル時はヘアピンNAT周りを疑ってください。

NATトラバーサルとVPN

NAT環境では、IPsec VPNなど一部のプロトコルがNATを越えられない問題があります。原因はIPsecのパケット内にIPアドレスが埋め込まれていて、NAT書き換えで整合性が崩れるためです。

**NATトラバーサル（NAT-T, RFC 3947/3948）**は、IPsecパケットをUDP 4500でカプセル化することでNATを越えられるようにする仕組みです。現代のVPN機器は標準対応していますが、ルーター側でUDP 500/4500の通過を許可する必要があります。

オフィスのインターネット契約や安価なルーターによっては、NAT-Tに対応していなかったり、IPsecがブロックされたりすることがあります。VPN構築時には、必ず両拠点のルーター・回線がNAT-T透過できることを確認してください。

キャリアグレードNAT（CGNAT）

光回線・モバイル回線のISPが、多数の利用者でグローバルIPを共有するために使う大規模NAT技術です。各家庭・オフィスは、グローバルIPを直接持たず、プロバイダの大規模NATの内側にいる状態になります。

CGNATの問題点：

インバウンド接続ができない（外部から自分のグローバルIPに接続できない）
ポートフォワーディング不可（自宅Webサーバ公開、リモートデスクトップ公開ができない）
IPsec VPN拠点間接続が困難（NAT-Tでも越えられない場合がある）
オンラインゲームでP2P接続不可（NAT種別が「Strict」になる）

中小企業オフィスでCGNATは要注意です。「リモートアクセスができない」「拠点間VPNが繋がらない」現象の原因がCGNATだったというケースが珍しくありません。法人契約では固定IPまたはPPPoE固定IPサービスを契約することで回避できます。

中小企業の主要回線でのCGNAT利用状況：

回線種別	CGNAT利用
光回線（NTT東西、KDDI等の標準）IPoE接続	一部CGNAT適用あり
光回線 PPPoE接続 + 固定IPオプション	グローバルIP割当
法人光プロ／専用線	グローバルIP割当
モバイル回線（ドコモ・au・ソフトバンク）	ほぼ全社CGNAT
Starlink、楽天モバイル	CGNAT

業務用途で確実にグローバルIPが必要なら、法人向け固定IPプランを契約してください。

VPN・拠点間接続でNATが原因のトラブル

実務で「NATが原因」と判明するトラブル例：

① 拠点間IPsec VPNが片方向しか確立しない。 片側のルーターがNAT-T未対応または UDP 4500 未許可。両拠点の機器・ファイアウォール設定を確認。

② SSL-VPN／OpenVPNでクライアントから繋がらない。 ISPがCGNAT環境で、UDP応答を維持できない。OpenVPN設定で ping-restart の値を短くする、TCPモードに切り替える等で改善する場合あり。

③ Microsoft Teamsの音声が片方向。 UDPの双方向通信が必要だが、NAT越えに失敗。Teams用のポート（UDP 3478-3481, 50000-50059）を許可するか、TCPフォールバック（性能は劣化）を使う。

④ リモートデスクトップが繋がらない。 RDP（TCP 3389）のポートフォワーディングを設定するのは極めて危険。VPN・ZTNA経由のアクセスに切り替えてください。

⑤ SIP電話の通話で音声が片方向。 SIP/RTPのNAT越えは特に難しい。SBC（Session Border Controller）またはSTUN/TURNサーバを併用する必要がある。

中小企業のNAT設計のベストプラクティス

① ポートフォワーディングは最小限に。 インバウンド開放は攻撃面積を増やす。可能な限りVPN・ZTNA経由にする。

② 法人向け固定IPを契約する。 CGNAT環境ではVPNが不安定になりやすい。月額数千円の追加で、運用安定性が大きく改善する。

③ 拠点ごとにNAT種別を統一する。 拠点間VPN構成では、両側のルーターが同じNAT-Tに対応していることを事前確認。

④ UPnPは無効化、ポートフォワーディングは台帳で管理。 開放ポートを把握しないと、不要な穴が残ったまま。年1回の棚卸しを実施。

⑤ ヘアピンNATを必要に応じて設定。 社内からも自社公開サーバを使う前提なら、ヘアピンNATまたはスプリットホライズンDNSを設定する。

まとめ

NATは「プライベートIPとグローバルIPの変換」を行う技術で、現代のオフィスではNAPT（PAT）が標準です。社内サーバを公開する際はポートフォワーディングを使いますが、セキュリティリスクを伴うため、可能な限りVPN・ZTNA経由に切り替えてください。VPN構築時はNATトラバーサル対応とCGNATの確認が必須で、法人固定IP契約が安定運用の前提になります。

情シス365のProject365では、拠点間VPN・リモートアクセス基盤の設計・構築をサポートしています。無料ヒアリングからお気軽にどうぞ。