NAT内IP(プライベートIP・CGNAT)完全ガイド:範囲・確認方法とトラブル対策
エバープレイ編集部はじめに — 「NAT内IP」とは何か
「NAT内IP(NAT内のIPアドレス)」とは、家庭や企業の内部ネットワークで使われる「プライベート(私的)IPアドレス」を指すことが多い用語です。これらのアドレスはルータやゲートウェイのNAT(Network Address Translation)機能によってインターネット上のグローバルIPアドレスへ変換され、複数の端末が1つまたは少数のグローバルIPで外部と通信できるようにします。本稿では、NAT内IPの定義・代表的なアドレス範囲、NATの仕組み、種類、メリット・デメリット、トラブルシューティングや回避策までを詳しく解説します。
プライベートIPアドレスの定義と代表範囲(RFC1918)
インターネットでは、グローバルに一意なアドレス空間が有限であるため、内部ネットワーク用に予約されたアドレス帯があります。これらはRFC1918で定められた「プライベート(私的)アドレス」です。代表的な範囲は以下のとおりです。
- 10.0.0.0/8(10.0.0.0 〜 10.255.255.255)
- 172.16.0.0/12(172.16.0.0 〜 172.31.255.255)
- 192.168.0.0/16(192.168.0.0 〜 192.168.255.255)
これらのアドレスはインターネット上で直接ルーティングされず、NATやプロキシを介してグローバルネットワークへ接続されます。加えて、キャリアが使うCGNAT用にRFC6598で100.64.0.0/10が定義されている点も重要です(ISP内部での共有アドレス空間)。
NAT(Network Address Translation)の基本動作
NATは、内部IP(プライベートIP)と外部のグローバルIPを相互に変換する機能です。代表的には以下の流れで動作します。
- 内部端末(例: 192.168.0.10)が外部サーバへ接続リクエストを送る。
- ルータはそのパケットの送信元IP/ポートを自身のグローバルIPと別のポートに書き換え、送信元テーブル(変換テーブル)に記録する。
- 外部サーバから戻ってきた応答はルータがテーブルを参照して元の内部IP/ポートへ戻す。
このとき、1つのグローバルIPで多数の内部端末を識別するために、ポート番号を使って多対一変換(PAT=Port Address Translation、一般には「NATオーバーロード」)を行うことが一般的です。
NATの種類(実務でよく使われるもの)
- 静的NAT(1対1変換):内部IPと外部IPを固定で対応付ける。サーバ公開時に利用。
- 動的NAT:内部アドレスを外部の利用可能プールから割り当てる。一時的なマッピングが行われる。
- PAT(NATオーバーロード):複数内部端末の送信元を1つのグローバルIPと複数ポートで識別する、最も一般的な家庭用NAT。
- 双方向/目的地NAT(DNAT):受信側の宛先アドレスを書き換える。ポートフォワーディングやリバースプロキシの仕組みで使う。
- CGNAT(キャリアグレードNAT):ISPが多数ユーザを1つのグローバルIPで共有する仕組み。RFC6598で一部アドレス空間が予約されている。
NAT内IPの確認方法(自分の端末・ネットワークがどうなっているか)
- 端末のローカルIP確認:Windowsなら「ipconfig」、Linux/macOSなら「ip addr」や「ifconfig」。
- ルータ管理画面でWAN側(外向き)IPを確認:ルータの設定画面に表示されている「WAN IP」と端末のローカルIPを比較。
- 「自分のIP(what is my IP)」系ウェブサービスで表示されるIPと、端末のローカルIPが異なればNAT配下にある。
- もしローカルIPがRFC1918やRFC6598に該当する範囲なら、それはNAT内IP(プライベート/CGNAT)である。
NATがもたらすメリットとデメリット
NATはアドレス節約やシンプルな接続共有の実現、内部ネットワークの簡易的な隔離(セキュリティ効果)など利点があります。しかし一方で、エンドツーエンドの接続性を壊すため特定のアプリケーションで問題を起こすことがあります。
- メリット:
- IPv4アドレス節約(複数端末を1つのグローバルIPで共有)
- 内部ネットワークの簡易な分離・隠蔽
- 家庭や小規模ネットワークでの容易な導入
- デメリット:
- 着信接続(外部から内部へ)をデフォルトで拒否するためサーバ公開やP2Pで問題が出る
- FTPやSIPなど、パケット内部にアドレス情報を含むプロトコルで追加処理が必要になる
- CGNATでは利用者がグローバルに一意でないためポートフォワーディングなどが不可になる場合がある
- トラブルシューティングやログ追跡が難しくなる
よくある問題と回避策
- 到達不能のサービス(ゲーム、P2P、リモートアクセス)
→ ルータでポートフォワーディング(宛先NAT)を設定、UPnPで自動割当、もしくはVPNで端末をパブリックネットワークに接続する。 - 二重NAT(Double NAT)
→ 家庭内でISPルータと自前ルータの両方がNATを行っていると二重NATになる。解決は一方をブリッジ/アクセスポイントモードにするか、ISP側のモデムをブリッジに設定する。 - CGNATによりポート開放が不可能
→ ISPにグローバルIPの割当を依頼する(有料の場合あり)か、VPN/リバースプロキシサービスを使う。 - NAT越えが必要なリアルタイム通信(VoIP/ビデオ会議等)
→ STUN/TURN/ICEなどのNATトラバーサル技術や、WebRTCの仕組みを利用する。
技術的詳細:変換テーブルとタイムアウト、ポート枯渇
NATは接続ごとに「変換テーブル(セッションテーブル)」を保持します。TCPのようなコネクション型は比較的長くエントリを保持し、UDPは短時間でタイムアウトする実装が多いです。大量の同時接続(特に外向きで多数のポートを使う場合)では、PATで利用可能なポートが枯渇する問題が発生します(ポート枯済)。企業やISPはこれを回避するために複数のグローバルIPを割り当てたり、CGNATの規模や設計を工夫します。
IPv6とNAT — 将来像と現状
IPv6はアドレス空間が十分に大きく、エンドツーエンド通信を復元することを目的としています。そのため原則としてNATは不要とされます(ただしネットワークポリシーやアドレス管理、NAT64/NPTv6など特定のケースで変換を行うことはあります)。IPv6普及が進むと、NATに関連した多くの問題は自然に解消されると期待されていますが、移行期間中はIPv4とIPv6の混在やNAT64などの変換技術が使われます。
実践チェックリスト(問題が起きたとき)
- 端末のローカルIPがRFC1918/6598にあるか確認する。
- ルータのWAN IPと「what is my IP」サービスの結果を比較する。
- 二重NATになっていないか確認(2つのルータ・モデムの存在)。
- 公開したいサービスがある場合はポートフォワーディングを設定、ISPがCGNATなら代替手段を検討。
- リアルタイム通信はSTUN/TURN/ICEやVPNの導入を検討。
まとめ
「NAT内IP」は、プライベートIP(RFC1918)やCGNAT用のアドレス空間(RFC6598)など、NATの背後にある端末のアドレスを指します。NATはIPv4の資源制約を緩和し、家庭や企業のネットワークを簡便にインターネット接続させる強力な仕組みですが、エンドツーエンド性の喪失や特定アプリケーションでの問題、トラブルシューティングの難しさなどの副作用もあります。状況に応じてポートフォワーディング、UPnP、VPN、NATトラバーサル(STUN/TURN/ICE)や、可能ならIPv6移行を検討すると良いでしょう。
参考文献
- RFC 1918 — Address Allocation for Private Internets
- RFC 6598 — Address Allocation for Private Use in Carrier-Grade NAT (CGN)
- RFC 3022 — Traditional IP Network Address Translator (Traditional NAT)
- Wikipedia — Network address translation
- RFC 5389 — Session Traversal Utilities for NAT (STUN)
- MDN — ICE (Interactive Connectivity Establishment)(NATトラバーサル技術の解説)
投稿者プロフィール
