コンテンツにスキップ

システムが生成した認証クエリを IPsec トンネルにルーティングする

Sophos Firewall によって生成されたトラフィックを、ポリシーベースまたはルートベースの VPN トンネルにルーティングできます。

たとえば、支店のファイアウォールの認証クエリを、IPsec トンネル経由で本社の AD サーバーにルーティングできます。

概要

IPsec VPN トンネルは、本社と支店のファイアウォールを接続します。

システム生成トラフィックは「ネットワーク > WAN リンクマネージャ」にリストされているゲートウェイをデフォルトで使用します。このトラフィックが IPsec トンネルを使用するようにすることができます。トラフィックにポリシーベースおよびおよびルートベースのトンネルを使用する例を以下に示します。

ポリシーベースの IP secトンネルの場合は、支店のファイアウォールで次の手順を実行します。

  • システム生成トラフィックから AD サーバーへの IPsec ルートを追加します。
  • AD サーバーのアドレスへの認証クエリで、支店のゲートウェイアドレスを LAN または WAN インターフェースに変換 (送信元 NAT) します。この例では、LAN インターフェースを使用します。
  • 変換に使用した LAN または WAN インターフェースに対するポリシーベースの IPsec 設定で、ローカルサブネットとリモートサブネットを確認します。

ルートベースの IPsec トンネルの場合は、次の手順を実行します。

  • AD サーバーのアドレスに対する認証クエリで、支店のゲートウェイアドレスを XFRM インターフェースに変換 (送信元 NAT) します。この手順は、支店のファイアウォールで実行してください。
  • 認証クエリを XFRM インターフェースに送信するように SD-WAN ルートを設定します。これは、支店および本社のファイアウォールで行います。
  • 本社のファイアウォールで、受信方向および送信方向のファイアウォールルールを設定します。

この例では、以下のネットワーク図に基づいて、設定を行います。

AD サーバーへの IPsec ルートのネットワーク図。

前提条件: IPsec VPN トンネルを設定する

両方のファイアウォールで、次の VPN 設定のいずれかが必要です。

両方のファイアウォールで次の IP ホストを設定する必要があります。

  • AD サーバー (例: 10.10.1.15)
  • 支店の LAN インターフェース (例: 10.10.1.1)
  • XFRM インターフェースのアドレス (例: 3.3.3.3 および 3.3.3.4)

IPsec ルートを追加し、支店のファイアウォールでゲートウェイアドレスを変換する必要があります。

支店: IPsec ルーティングを追加する

次の手順を実行します。

  1. 支店のファイアウォールの CLI にサインインします。
  2. 4 と入力してデバイスコンソールを選択し、Enter キーを押します。
  3. システム生成トラフィックを IPsec 接続経由で AD サーバーに送信する IPsec ルートを追加するには、次のコマンドを入力します。

    system ipsec_route add host <ホストの IP アドレス> tunnelname <トンネル>
    

    system ipsec_route add host 10.10.2.15 tunnelname Branch_to_HeadOffice

システム生成トラフィックが使用するゲートウェイのアドレスを変換する

次の手順を実行します。

  1. 本社の AD サーバーへの認証クエリで、支店のファイアウォールのゲートウェイアドレスを LAN インターフェースアドレスに変換します。

    次のコマンドを入力します。

    set advanced-firewall sys-traffic-nat add destination <宛先またはネットワークの IP アドレス> snatip <NAT された IP>
    

    set advanced-firewall sys-traffic-nat add destination 10.10.2.15 snatip 10.10.1.1

  2. 支店および本社の IPsec 設定で、変換された LAN インターフェースをローカルおよびリモートのサブネットとして選択していることを確認します。

ルートベーストンネルを任意のサブネット間で使用できます。

支店: SD-WAN ルートの追加

  1. ルーティング > SD-WAN ルート」に移動し、「追加」をクリックします。
  2. 名前」を入力します。
  3. 送信元ネットワーク」を「すべて」に設定します。
  4. 宛先ネットワーク」を、AD サーバーの IP ホストに設定します。IP ホストを設定するには、次の手順を実行します。
    1. 新規項目の追加」をクリックして、「すべて」のチェックを外します。
    2. 追加」をクリックし、「名前」を入力します。
    3. IP アドレス」に 10.10.2.15 と入力します。
    4. 保存」をクリックします。
  5. サービス」で、TCP ポート 636 (セキュア AD および LDAP 認証のデフォルトポート) のオブジェクトを作成します。

    次の手順を実行します。

    1. 新規項目の追加」をクリックして、「すべて」のチェックを外します。
    2. 追加」をクリックし、「サービス」をクリックします。
    3. 名前」を入力します。
    4. 宛先ポート」に 636 と入力します。
    5. 保存」をクリックします。

      支店の SD-WAN ポート。

  6. リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。

  7. プライマリゲートウェイ」のドロップダウンリストをクリックし、「追加」をクリックします。
  8. 次の手順を実行します。

    1. 名前を入力します。
    2. ゲートウェイ IP」に本社の XFRM IP アドレス (3.3.3.3) を入力します。
    3. インターフェース」で、このファイアウォールで設定した XFRM インターフェースを選択します (例: xfrm1_3.3.3.4)。

      支店の SD-WAN XFRM ゲートウェイ。

    4. 正常性チェック」をオンにする場合は、「監視条件」に AD サーバーの IP アドレス (10.10.2.15) を入力します。

      支店の SD-WAN の正常性チェックの設定。

  9. 指定されたゲートウェイのみを経由してルーティングする」を選択します。

    トンネルが使用できない場合、ファイアウォールがトラフィックをドロップするようになります。

  10. 保存」をクリックします。

支店: VPN で Ping をオンにする

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」のチェックボックスを選択します。
  3. 適用」をクリックします。

支店: デフォルトで使用されるゲートウェイを変換する

本社の AD サーバーへのシステム生成トラフィックで、支店のファイアウォールのゲートウェイアドレスを XFRM インターフェースアドレスに変換 (送信元 NAT) します。

次のコマンドを入力します。

set advanced-firewall sys-traffic-nat add destination <宛先またはネットワークの IP アドレス> snatip <NAT された IP>

set advanced-firewall sys-traffic-nat add destination 10.10.2.15 snatip 10.10.1.1

本社: SD-WAN ルートの追加

  1. ルーティング > SD-WAN ルート」に移動し、「追加」をクリックします。
  2. 名前」を入力します。
  3. 送信元ネットワーク」を、AD サーバーの IP ホスト (10.10.2.15) に設定します。
  4. 宛先ネットワーク」を、支店のファイアウォールで変換先として指定した LAN インターフェース (10.10.1.1) に設定します。
  5. サービス」で、TCP ポート 636 (セキュア AD および LDAP 認証のデフォルトポート) のオブジェクトを作成します。

    次の手順を実行します。

    1. 新規項目の追加」をクリックして、「すべて」のチェックを外します。
    2. 追加」をクリックし、「サービス」をクリックします。
    3. 名前」を入力します。
    4. 宛先ポート」に 636 と入力します。
    5. 保存」をクリックします。

    本社の SD-WAN の設定。

  6. リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。

  7. プライマリゲートウェイ」のドロップダウンリストをクリックし、「追加」をクリックします。
  8. 次の手順を実行します。

    1. 名前を入力します。
    2. ゲートウェイ IP」に、支店の XFRM IP アドレス (3.3.3.4) を入力します。
    3. インターフェース」で、このファイアウォールで設定した XFRM インターフェースを選択します (例: xfrm1_3.3.3.3)。

      本社の SD-WAN XFRM ゲートウェイ:。

    4. 正常性チェック」をオンにする場合は、「監視条件」に 支社の LAN の IP アドレス (10.10.1.10) を入力します。

      本社の SD-WAN の正常性チェックの設定。

  9. 指定されたゲートウェイのみを経由してルーティングする」を選択します。

    トンネルが使用できない場合、ファイアウォールがトラフィックをドロップするようになります。

  10. 保存」をクリックします。

本社: VPN で Ping をオンにする

  1. 管理 > デバイスのアクセス」に移動します。
  2. Ping/Ping6」の「VPN」のチェックボックスを選択します。
  3. 適用」をクリックします。

本社: 送信方向のファイアウォールルール

本社のファイアウォールで、送信方向のトラフィックを許可するようにファイアウォールルールを設定します。これにより、AD サーバーはルートベースの VPN トンネルに応答を送信できるようになります。

以下を選択します。

  1. 送信元ゾーン: DMZ
  2. 送信元ネットワークとデバイス: ADServer
  3. 宛先ゾーン: VPN
  4. 宛先ネットワーク: BO_LAN
  5. サービス: AD_LDAP
  6. 保存」をクリックします。

    次に例を示します。

    本社の AD サーバーの送信方向のファイアウォールルール。

本社: 受信方向のファイアウォールルール

本社のファイアウォールで受信方向のトラフィックを許可するようにファイアウォールルールを設定します。ルートベースの VPN トンネル経由で受信した認証クエリが、AD サーバーに送信されるようになります。

以下を選択します。

  1. 送信元ゾーン: VPN
  2. 送信元ネットワークとデバイス: BO_LAN
  3. 宛先ゾーン: DMZ
  4. 宛先ネットワーク: ADServer
  5. サービス: AD_LDAP
  6. 保存」をクリックします。

    次に例を示します。

    本社の DHCP サーバーの受信方向のファイアウォールルール。