【Opnsense】L3スイッチ配下のPCがインターネットに出られない時の対処法（Outbound NAT設定）

Opnsense を導入し、下流に L3スイッチ（コアスイッチ）を配置する構成にした際、「Opnsense から直接つながっている LAN 内からはネットが見れるのに、L3スイッチの配下（別 VLAN）からはつながらない」 という現象に陥ることがあります。

これは、Opnsense の**標準 NAT 機能（自動生成）**が、自身の LAN インターフェースの IP帯しか変換対象にしてくれないことが原因です。

今回は、手動で NAT ルールを追加し、下流ネットワークからもインターネットに接続できるようにする設定手順（ハイブリッド NAT）を解説します。

0. 前提環境

例として、以下のネットワーク構成を想定して設定します。

• Opnsense LAN: 172.31.99.1/24
• インターネットに出したい下流サブネット:
  • 172.20.0.0/16
  • 172.22.0.0/16

手順1：ネットワークの「エイリアス」を作成する

最近の Opnsense のバージョンでは、NAT 設定画面で IP アドレス範囲を直接入力しようとするとうまくいかないことがあります。 そのため、先に「エイリアス（名前）」として登録しておく方法が推奨されます。管理もしやすくなります。

1. メニューから [ファイアウォール] > [エイリアス] を開きます。
2. 右下の [+] ボタンを押して、1つ目のサブネットを登録します。
   • 有効: チェックを入れる ✅
   • 名前: Net_172_20 （任意の分かりやすい名前）
   • タイプ: ネットワーク (Network) を選択
   • コンテンツ: 172.20.0.0/16
   • [保存] をクリック。
3. 同様に、2つ目のサブネットも登録します。
   • 有効: チェックを入れる ✅
   • 名前: Net_172_22
   • タイプ: ネットワーク
   • コンテンツ: 172.22.0.0/16
   • [保存] をクリック。
4. 最後に画面下の [適用] ボタンを押します。

手順2：NATモードを「ハイブリッド」に変更する

デフォルトの「自動」から、手動ルールを追加できる「ハイブリッド」モードへ切り替えます。

1. メニューから [ファイアウォール] > [NAT] > [外向き] を開きます。
2. 画面上部の「モード」にて、「ハイブリッド Outbound NAT ルール生成」 を選択します。
3. [保存] ボタンをクリックします。

※「ハイブリッド」にすることで、既存の LAN 用自動ルールを生かしたまま、足りないルールだけを手動追加できます。

手順3：手動ルールを追加する

先ほど作ったエイリアスを使って、NAT ルールを追加します。

1. ルールのリストにある [+] (追加) ボタンをクリックします。
2. 編集画面で以下のように設定します。
   • インターフェース: WAN
   • TCP/IP バージョン: IPv4
   • プロトコル: any
   • 送信元アドレス: プルダウンから、先ほど作った Net_172_20 を探して選択。
   • 送信元ポート: 任意
   • 送信先アドレス: 任意
   • トランスレーション / ターゲット: インタフェースアドレス (Interface Address)
3. [保存] をクリックします。
4. 同様の手順で、もう一つのエイリアス Net_172_22 用のルールも追加します。

手順4：設定の反映

1. ルール一覧画面に戻ったら、画面上部に表示される [変更の適用] ボタンをクリックします。

これで設定は完了です！ L3スイッチ配下の PC からインターネット接続ができるか（Yahoo! や Google が開けるか）確認してみてください。

ポイント

• 「自動生成」のままではダメ: Opnsense は静的ルートを書いただけでは、そのルートを NAT 対象にしてくれません。必ずこの Outbound NAT 設定が必要です。
• エイリアスの活用: 設定画面で IP を直接打つよりも、エイリアス機能を使う方がミスが減り、将来 IP 帯が変わった時の変更も楽になります。