コンテンツにスキップ
最終更新日: 2022-07-18

IPsec 接続の追加

ホスト間、サイト間、およびルートベースの IPsec 接続を設定できます。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 全般設定を指定します。

    名前 設定
    IP バージョン 指定した IP バージョンのトラフィックだけが転送されます。
    デュアル」モードを指定した場合は、以下を実行できません。
    • ファイアウォールルールを自動的に作成する。
    • ローカルサブネットおよびリモートサブネットのトラフィックセレクタを指定する。
    接続の種類 サイト間: インターネットを通じて、ローカルサブネットとリモートサブネットの間に安全な接続を確立します。支社と本社の接続に利用できます。

    ホスト間: 2台のホスト間に安全な接続を確立します。たとえば、2台のコンピュータ間に接続を確立できます。

    トンネルインターフェース: ルートベースの VPN 接続を確立し、2台のエンドポイント間にトンネルインターフェースを作成します。インターフェースの名前は、xfrm に番号を付与したものとなります。詳細は、ルートベースの VPN を参照してください。
    ゲートウェイの種類 VPN サービスまたはファイアウォールが再起動したときの処理を指定します。
    無効: ユーザーが有効にするまで、接続は無効のままです。
    応答のみ: 受信要求にいつでも応答するために接続を準備します。
    接続を開始: VPN サービスまたはファイアウォールが再起動するたびに、接続を確立します。

    中央のゲートウェイ (本社など) を「応答のみ」に、リモートのゲートウェイ (支社など) を「接続を開始」に設定することを推奨します。接続エラーが発生した場合は、開始側のデバイスのログを使うと効率的にトラブルシューティングを行うことができます。
    保存時にアクティベート 接続を有効にします。
    ファイアウォールルールの作成 この接続用のファイアウォールルールを自動的に作成します。

    ファイアウォールルールリスト内のルールの位置を確認してください。メール MTA、IPsec 接続、ホットスポットなどの自動作成されたファイアウォールルールは、ファイアウォールルールリストの一番上に配置され、最初に評価されます。新しいルールと既存のルールに同じような条件が指定されている場合、一番上のルールのポリシーとアクションが適用されることにより、メールが配信されなかったり、トンネルが確立されないなど、想定外の結果につながる可能性があります。
  4. 暗号化設定を指定します。

    名前 設定
    プロファイル トラフィック用の IPsec プロファイル。
    認証タイプ 接続の認証方法は、以下のものがあります。
    • 事前共有鍵: 両方のエンドポイントに共通のシークレットを使用して、エンドポイントを認証します。この鍵を保管してください。また、リモートファイアウォールの鍵を入力する必要があります。
      事前共有鍵を使用する場合は、この IPsec 接続の設定で指定したリスニングインターフェースとリモートゲートウェイ間のすべての IPsec 接続で、ここで指定した事前共有鍵を使用します。
    • デジタル証明書: 証明書 (ローカル署名されたものか、証明機関により発行されたもの) を交換して、エンドポイントを認証します。
    • RSA 鍵: RSA 鍵を使用してエンドポイントを認証します。
    ローカル証明書 ローカルファイアウォールによる認証で使用される証明書。
    リモート証明書 リモートファイアウォールによる認証で使用される証明書。
    リモート CA 証明書 ローカルファイアウォールは、リモート CA 証明書に基づいてリモート証明書を認証します。
    パブリック CA 証明書を使用すると、セキュリティ上のリスクが発生します。

    警告

    リモート CA 証明書に、パブリック CA 証明書を使用しないでください。そうすると、攻撃者がパブリック CA からの有効な証明書を使用して、接続に不正アクセスする可能性があります。

  5. ローカルゲートウェイを設定します。

    名前 設定
    リスニングインターフェース 接続リクエストを待機するインターフェース。
    ローカル ID のタイプ 事前共有鍵と RSA 鍵の ID の種類を選択し、「ローカル ID」に値を入力します。これは、トンネルの追加検証や、NAT トラバーサルにおけるファイアウォールの識別に使用できます。
    NAT トラバーサルは常にオンになっています。ローカル ID とリモート ID を使用することで、ルーターの背後に設置されている、プライベート IP アドレスを持つリモートファイアウォールを識別することが可能になります。
    ローカルサブネット VPN にアクセスするローカルのホストまたはサブネット。

    トンネルインターフェースの場合、「IP バージョン」を「IPv4」または「IPv6」に設定している場合のみ、トラフィックセレクタを追加できます。「任意」を選択するか、特定のセレクタを指定するかは、ローカルサブネットとリモートサブネットの両方で統一してください。ローカルとリモートのいずれかで「任意」を選択し、もう一方でトラフィックセレクタを指定することはできません。
  6. リモートゲートウェイを設定します。

    名前 設定
    ゲートウェイのアドレス リモートゲートウェイの IP アドレスまたはホスト名。

    ポリシーベースの接続: リモートファイアウォールに動的 IP アドレスが設定されている場合は、ワイルドカードまたはホスト名を使用できます。
    ワイルドカードの IP アドレス (*) を指定した場合は、「ゲートウェイの種類」を「接続を開始」に設定できません。このように設定すると、接続を開始するデバイスが不明になってしまうからです。
    ワイルドカードの IP アドレス (*) を使用する場合は、以下のように設定することを推奨します。
    • ゲートウェイの種類: 応答のみ
    • リモートゲートウェイで動的 IP アドレスを使用する。
    • 認証の種類: 事前共有鍵を使用しない。
    事前共有鍵を使用すると、リモートゲートウェイのアドレスにワイルドカードを指定した IPsec 接続のすべてに同じ事前共有鍵が使用されます。

    ルートベースの接続: トンネルインターフェースに * を指定することはできません。リモートファイアウォールがダイナミック DNS を使用している場合は、ホスト名を指定して接続を確立します。
    リモート ID のタイプ 事前共有鍵と RSA 鍵の ID の種類を選択し、「リモート ID」に値を入力します。これは、トンネルの追加検証に使用できます。
    一意の FQDN (またはホスト名)、IP アドレス、またはメールアドレスを入力できます。DER ASN1 DN [X.509] の場合は、リモートファイアウォールの証明書の識別名を貼り付けてください。
    リモートサブネット VPN にアクセスするリモートのホストまたはサブネット。

    トンネルインターフェースの場合、「IP バージョン」を「IPv4」または「IPv6」に設定している場合のみ、トラフィックセレクタを追加できます。「任意」を選択するか、特定のセレクタを指定するかは、ローカルサブネットとリモートサブネットの両方で統一してください。ローカルとリモートのいずれかで「任意」を選択し、もう一方でトラフィックセレクタを指定することはできません。
  7. ローカルサブネットとリモートサブネットが重複している場合は、「Network Address Translation (NAT)」を選択して、IP アドレスを変換します。

    • 変換後のサブネット: ポリシーで指定したローカルサブネットが表示されます。Sophos Firewall は、これを実際のサブネットに変換します。
    • 変換前のサブネット: 実際のサブネットを選択します。ローカルサイトとリモートサイトで重複するサブネットを選択してください。

    このオプションは、ポリシーベースの VPN (ホスト間およびサイト間) と、トラフィックセレクタを使用するルートベースの VPN のみで使用できます。

    ローカルサブネットおよびリモートサブネットを「任意」に設定した、トラフィックセレクタを使用しないルートベースの VPN (トンネルインターフェース) では、NAT ルールを設定して IP アドレスを変換する必要があります。

  8. 詳細設定を指定します:

    名前 設定
    ユーザー認証モード クライアント/サーバーモードで Xauth (拡張認証) に基づいて VPN クライアントを認証します。中央のファイアウォールをサーバーモードに設定してください。

    XAuth では、現在の認証メカニズム (AD、RADIUS、LDAP など) を使用して、フェーズ 1 の交換後にユーザーを認証します。組織では通常、リモートアクセス IPsec 接続にこの認証を使用します。

    以下のいずれかを選択します。
    • なし: ユーザー認証を適用しません。
    • クライアントとして: ローカルファイアウォールが Xauth クライアントとして機能します。ユーザー名とパスワードを入力し、リモートファイアウォールで検証します。
      リモートファイアウォールで、ユーザーの認証方法を「サーバーとして」に設定してください。
    • サーバーとして: ファイアウォールが XAuth サーバーとして機能します。「許可するユーザーとグループ」で、許可するユーザーを選択します。
      リモートファイアウォールで、ユーザーの認証方法を「クライアントとして」に設定してください。

    また、設定ファイルをダウンロードしてユーザーと共有する必要があります。ファイルをダウンロードするには、設定済み接続の一覧で、ダウンロード ダウンロードボタン をクリックします。

    IPsec VPN の認証サーバーを設定するには、「認証 > サービス > VPN 認証方法」に移動し、サーバーを選択します。
    アイドル状態のときに切断 クライアントがアイドル状態のまま指定時間が経過したら、セッションから切断します。
    アイドルセッション時間の間隔 アイドル状態のクライアントを切断するまでの時間 (秒)。
  9. 保存」をクリックします。

その他のリソース

トップへ