FortiGateのダイナミックIPプールについて

FortiGateの「ダイナミックIPプール（Dynamic IP Pool）」は、内部ネットワーク（LAN側）の端末が外部（インターネット）にアクセスする際に、NAT変換に使用するIPアドレスを複数定義して、動的に割り当てるための仕組みです。

これは、いわば「出口のIPアドレスを複数持たせる」ことで、セキュリティや帯域制御、接続元IP制限への対応などに柔軟性を持たせる高度なNAT設定です。

基本概念

通常、FortiGateでは「SNAT（Source NAT）」により、LAN側端末のIPをグローバルIP（または別のIP）に変換してインターネットに出ていきます。

ここで使うIPは、以下のように設定できます。

• 1つの固定IP（固定NAT）
• IPプールを定義して、複数のIPから動的に選ばせる（動的NAT）

この「複数のIPから動的に割り当てる」設定こそが、ダイナミックIPプールです。

どんなときに使うのか？

以下のようなケースで有効です。

設定方法（GUI & CLI 両方）

ステップ1：IPプールの作成

【GUIの場合】

1. FortiGateのGUIにログイン
2. 「ポリシー＆オブジェクト」 > 「オブジェクト」 > 「IPプール」
3. 「作成」ボタンをクリック
4. 以下を設定：
   • 名前：例）dynamic_pool_1
   • タイプ：Overload（複数ホストで共有）
   • IP範囲：例）203.0.113.1-203.0.113.5
   • タイプの選択肢：
     • Overload：全ユーザーで使い回し（一般的）
     • One-to-One：1つの内部IPに1つの外部IP（固定変換したい場合）

【CLIの場合】

config firewall ippool
edit "dynamic_pool_1"
    set startip 203.0.113.1
    set endip 203.0.113.5
    set type overload
next
end

ステップ2：ポリシーでNATにこのIPプールを適用

【GUIの場合】

1. 「ポリシー＆オブジェクト」 > 「IPv4ポリシー」
2. インターネット接続用のポリシーを編集（または新規作成）
3. 「NATを有効化」にチェック
4. 「IPプールを使用」にチェック
5. 「IPプールを選択」から dynamic_pool_1 を選択

【CLIの場合】

config firewall policy
edit 10
    set name "Internet Access"
    set srcintf "lan"
    set dstintf "wan1"
    set srcaddr "all"
    set dstaddr "all"
    set action accept
    set schedule "always"
    set service "ALL"
    set nat enable
    set ippool enable
    set poolname "dynamic_pool_1"
next
end

IPプールの動作と注意点

よくある誤解・FAQ

Q1: IPプールを使うと逆に接続が不安定になることは？

→ 不適切な設定（例：ISPに未登録のIPを使う）や、NATセッションの枯渇がなければ基本的には安定動作します。ただし、一部の外部サービスが出口IPの変更を嫌う（API制限など）場合には、逆に問題が出ることがあります。

Q2: IPプールの選ばれ方は？

→ FortiGateは内部的にセッションベースで、使用可能なIP/ポートから空いている組み合わせを自動で選択します。使用頻度やラウンドロビンとは少し異なる制御。

Q3: ダイナミックIPプールとOne-to-Oneの違いは？

→ Overload（多対一）＝ダイナミックIPプール（可変・共有）
→ One-to-One＝固定IPマッピング（個別に固定割り当て）

まとめ

以上、FortiGateのダイナミックIPプールについてでした。

最後までお読みいただき、ありがとうございました。