IPsec 接続の追加
ホスト間、サイト間、およびルートベースの IPsec 接続を設定できます。
- 「サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
- 名前を入力します。
-
全般設定を指定します。
名前 設定 IP バージョン 指定した IP バージョンのトラフィックだけが転送されます。
「デュアル」モードを指定した場合は、以下を実行できません。- ファイアウォールルールを自動的に作成する。
- ローカルサブネットおよびリモートサブネットのトラフィックセレクタを指定する。
接続の種類 サイト間: インターネットを通じて、ローカルサブネットとリモートサブネットの間に安全な接続を確立します。支社と本社の接続に利用できます。
ホスト間: 2台のホスト間に安全な接続を確立します。たとえば、2台のコンピュータ間に接続を確立できます。
トンネルインターフェース: ルートベースの VPN 接続を確立し、2台のエンドポイント間にトンネルインターフェースを作成します。インターフェースの名前は、xfrm
に番号を付与したものとなります。詳細は、ルートベースの VPN を参照してください。ゲートウェイの種類 VPN サービスまたはファイアウォールが再起動したときの処理を指定します。
無効: ユーザーが有効にするまで、接続は無効のままです。
応答のみ: 受信要求にいつでも応答するために接続を準備します。
接続を開始: VPN サービスまたはファイアウォールが再起動するたびに、接続を確立します。
中央のゲートウェイ (本社など) を「応答のみ」に、リモートのゲートウェイ (支社など) を「接続を開始」に設定することを推奨します。接続エラーが発生した場合は、開始側のデバイスのログを使うと効率的にトラブルシューティングを行うことができます。保存時にアクティベート 接続を有効にします。 ファイアウォールルールの作成 この接続用のファイアウォールルールを自動的に作成します。
ファイアウォールルールリスト内のルールの位置を確認してください。メール MTA、IPsec 接続、ホットスポットなどの自動作成されたファイアウォールルールは、ファイアウォールルールリストの一番上に配置され、最初に評価されます。新しいルールと既存のルールに同じような条件が指定されている場合、一番上のルールのポリシーとアクションが適用されることにより、メールが配信されなかったり、トンネルが確立されないなど、想定外の結果につながる可能性があります。 -
暗号化設定を指定します。
名前 設定 プロファイル トラフィック用の IPsec プロファイル。 認証タイプ 接続の認証方法は、以下のものがあります。 - 事前共有鍵: 両方のエンドポイントに共通のシークレットを使用して、エンドポイントを認証します。この鍵を保管してください。また、リモートファイアウォールの鍵を入力する必要があります。
事前共有鍵を使用する場合は、この IPsec 接続の設定で指定したリスニングインターフェースとリモートゲートウェイ間のすべての IPsec 接続で、ここで指定した事前共有鍵を使用します。 - デジタル証明書: 証明書 (ローカル署名されたものか、証明機関により発行されたもの) を交換して、エンドポイントを認証します。
- RSA 鍵: RSA 鍵を使用してエンドポイントを認証します。
ローカル証明書 ローカルファイアウォールによる認証で使用される証明書。 リモート証明書 リモートファイアウォールによる認証で使用される証明書。 リモート CA 証明書 ローカルファイアウォールは、リモート CA 証明書に基づいてリモート証明書を認証します。
パブリック CA 証明書を使用すると、セキュリティ上のリスクが発生します。警告
リモート CA 証明書に、パブリック CA 証明書を使用しないでください。そうすると、攻撃者がパブリック CA からの有効な証明書を使用して、接続に不正アクセスする可能性があります。
- 事前共有鍵: 両方のエンドポイントに共通のシークレットを使用して、エンドポイントを認証します。この鍵を保管してください。また、リモートファイアウォールの鍵を入力する必要があります。
-
ローカルゲートウェイを設定します。
名前 設定 リスニングインターフェース 接続リクエストを待機するインターフェース。 ローカル ID のタイプ 事前共有鍵と RSA 鍵の ID の種類を選択し、「ローカル ID」に値を入力します。これは、トンネルの追加検証や、NAT トラバーサルにおけるファイアウォールの識別に使用できます。
NAT トラバーサルは常にオンになっています。ローカル ID とリモート ID を使用することで、ルーターの背後に設置されている、プライベート IP アドレスを持つリモートファイアウォールを識別することが可能になります。ローカルサブネット VPN にアクセスするローカルのホストまたはサブネット。
トンネルインターフェースの場合、「IP バージョン」を「IPv4」または「IPv6」に設定している場合のみ、トラフィックセレクタを追加できます。「任意」を選択するか、特定のセレクタを指定するかは、ローカルサブネットとリモートサブネットの両方で統一してください。ローカルとリモートのいずれかで「任意」を選択し、もう一方でトラフィックセレクタを指定することはできません。 -
リモートゲートウェイを設定します。
名前 設定 ゲートウェイのアドレス リモートゲートウェイの IP アドレスまたはホスト名。
ポリシーベースの接続: リモートファイアウォールに動的 IP アドレスが設定されている場合は、ワイルドカードまたはホスト名を使用できます。
ワイルドカードの IP アドレス (*
) を指定した場合は、「ゲートウェイの種類」を「接続を開始」に設定できません。このように設定すると、接続を開始するデバイスが不明になってしまうからです。
ワイルドカードの IP アドレス (*
) を使用する場合は、以下のように設定することを推奨します。- ゲートウェイの種類: 応答のみ
- リモートゲートウェイで動的 IP アドレスを使用する。
- 認証の種類: 事前共有鍵を使用しない。
ルートベースの接続: トンネルインターフェースに*
を指定することはできません。リモートファイアウォールがダイナミック DNS を使用している場合は、ホスト名を指定して接続を確立します。リモート ID のタイプ 事前共有鍵と RSA 鍵の ID の種類を選択し、「リモート ID」に値を入力します。これは、トンネルの追加検証に使用できます。
一意の FQDN (またはホスト名)、IP アドレス、またはメールアドレスを入力できます。DER ASN1 DN [X.509] の場合は、リモートファイアウォールの証明書の識別名を貼り付けてください。リモートサブネット VPN にアクセスするリモートのホストまたはサブネット。
トンネルインターフェースの場合、「IP バージョン」を「IPv4」または「IPv6」に設定している場合のみ、トラフィックセレクタを追加できます。「任意」を選択するか、特定のセレクタを指定するかは、ローカルサブネットとリモートサブネットの両方で統一してください。ローカルとリモートのいずれかで「任意」を選択し、もう一方でトラフィックセレクタを指定することはできません。 -
ローカルサブネットとリモートサブネットが重複している場合は、「Network Address Translation (NAT)」を選択して、IP アドレスを変換します。
- 変換後のサブネット: ポリシーで指定したローカルサブネットが表示されます。Sophos Firewall は、これを実際のサブネットに変換します。
- 変換前のサブネット: 実際のサブネットを選択します。ローカルサイトとリモートサイトで重複するサブネットを選択してください。
注
このオプションは、ポリシーベースの VPN (ホスト間およびサイト間) と、トラフィックセレクタを使用するルートベースの VPN のみで使用できます。
ローカルサブネットおよびリモートサブネットを「任意」に設定した、トラフィックセレクタを使用しないルートベースの VPN (トンネルインターフェース) では、NAT ルールを設定して IP アドレスを変換する必要があります。
-
詳細設定を指定します:
名前 設定 ユーザー認証モード クライアント/サーバーモードで Xauth (拡張認証) に基づいて VPN クライアントを認証します。中央のファイアウォールをサーバーモードに設定してください。
XAuth では、現在の認証メカニズム (AD、RADIUS、LDAP など) を使用して、フェーズ 1 の交換後にユーザーを認証します。組織では通常、リモートアクセス IPsec 接続にこの認証を使用します。
以下のいずれかを選択します。- なし: ユーザー認証を適用しません。
- クライアントとして: ローカルファイアウォールが Xauth クライアントとして機能します。ユーザー名とパスワードを入力し、リモートファイアウォールで検証します。
リモートファイアウォールで、ユーザーの認証方法を「サーバーとして」に設定してください。 - サーバーとして: ファイアウォールが XAuth サーバーとして機能します。「許可するユーザーとグループ」で、許可するユーザーを選択します。
リモートファイアウォールで、ユーザーの認証方法を「クライアントとして」に設定してください。
また、設定ファイルをダウンロードしてユーザーと共有する必要があります。ファイルをダウンロードするには、設定済み接続の一覧で、ダウンロード をクリックします。
IPsec VPN の認証サーバーを設定するには、「認証 > サービス > VPN 認証方法」に移動し、サーバーを選択します。アイドル状態のときに切断 クライアントがアイドル状態のまま指定時間が経過したら、セッションから切断します。 アイドルセッション時間の間隔 アイドル状態のクライアントを切断するまでの時間 (秒)。 -
「保存」をクリックします。
その他のリソース