ルートベースの VPN の作成 (任意のサブネット間)
本社 (HO) と支社 (BO) の間にルートベースの VPN (RBVPN) を作成・設定し、双方向のトラフィックを許可しましょう。そのためには、ローカルサブネットとリモートサブネットを「任意」に設定します。
はじめに
このシナリオでは、ブランチオフィスが接続を開始します。IPv4 を用いて、IPsec プロファイルには IKEv2 を、認証には RSA 鍵を使用します。また、スタティックルートを追加します。
注
ここで使用するネットワークアドレスは、例にすぎません。ルートベースの VPN を作成する場合は、ネットワークアドレスを使用します。
次の手順を実行します。
- 本社の RBVPN を設定します。LAN の定義、RBVPN トンネルの作成、XFRM インターフェースの編集、送受信トラフィックのファイアウォールルールの作成、およびスタティックルート、SD-WAN ルート、動的ルートの作成を行います。
- 支社の RBVPN を設定します。LAN の定義、RBVPN トンネルの作成、XFRM インターフェースの編集、送受信トラフィックのファイアウォールルールの作成、およびスタティックルート、SD-WAN ルート、動的ルートの作成を行います。
接続をチェックすることもできます。
ルートベースの VPN ネットワークダイアグラム
本社・支社の構成
本社と支社の設定がある場合、通常、支社のファイアウォールはトンネルの発信側として機能します。本社のファイアウォールは応答側として機能します。理由は以下のとおりです。
- 支社は複数存在する可能性があるので、本社がすべての支社に対して接続を再試行するよりも、支社が接続を再試行することが推奨されます。
-
支社のデバイスに動的 IP アドレスが設定されている場合、本社のデバイスから接続を開始することはできません。
ただし、本社の Sophos Firewall でダイナミック DNS (DDNS) を設定した場合は、本社から接続を開始できます。詳しくは、ダイナミック DNS プロバイダの追加を参照してください。
本社側での LAN の定義
本社ネットワークと支社ネットワーク用のホストを作成します。
- 「ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
-
ローカル LAN を設定します。
名前 設定 名前 HO_LAN
IP バージョン IPv4
種類 Network
IP アドレス 192.168.1.0
サブネット /24 (255.255.255.0)
次に例を示します。
-
「保存」をクリックします。
- 「追加」をクリックします。
-
リモート LAN を設定します。
名前 設定 名前 BO_LAN
IP バージョン IPv4
種類 Network
IP アドレス 192.168.3.0
サブネット /24 (255.255.255.0)
-
「保存」をクリックします。
ルートベース VPN トンネル (HO) の作成
ルートベースの VPN トンネルを作成するには、次の手順を実行します。
- 「サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
- 名前を入力します。
-
全般設定を指定します。
注
ここで、ルートベース VPN のファイアウォールルールの作成を選択することはできません。
名前 設定 IP バージョン 指定された IP バージョンを使用するデータのみが、トンネルを通過できます。
「IPv4」を選択します。接続の種類 「トンネルインターフェース」を選択します。これにより、2つのエンドポイント間にトンネルインターフェースが作成されます。インターフェースの名前は xfrm
で、その後に番号が続きます。ゲートウェイの種類 次のゲートウェイタイプを選択します。
応答のみ: 受信要求にいつでも応答するために接続を準備します。保存時にアクティベート このオプションを選択します。「保存」をクリックしたときに、VPN 接続がアクティベートされます。 例:
-
暗号化設定を指定します。
名前 設定 プロファイル トラフィック用の IPsec プロファイル。
「IKEv2」を選択します。認証タイプ 認証の種類として以下を選択します。
RSA 鍵: RSA 鍵を使用してエンドポイントを認証します。
ローカル RSA キーは自動的に生成されます。支社の Sophos Firewall から RSA 鍵をコピーして貼り付ける必要があります。例:
-
ローカルゲートウェイを設定します。
名前 設定 リスニングインターフェース 接続リクエストを待機するインターフェース。
WAN インターフェース ( Port2-172.20.120.10) を選択します。ローカルサブネット 任意 例:
-
リモートゲートウェイを設定します。
名前 設定 ゲートウェイのアドレス 支社の Sophos Firewall の WAN IP アドレス ( 172.20.120.15
) を入力します。リモートサブネット 任意 注
ワイルドカード
*
はルートベースの VPN ではサポートされていないため、ゲートウェイアドレスを入力する必要があります。この例では、支社の Sophos Firewall の WAN IP アドレスを使用します。DDNS を設定する場合は、支社の Sophos Firewall の DNS アドレスを使用できます。例:
-
「保存」をクリックします。
-
「プロファイル > IPsec プロファイル」に移動し、「デッドピア検知」がオンになっていることを確認します。ピア (支社) に到達できない場合のアクションとして、以下のいずれかを選択することを推奨します。
- 保留
- 切断
XFRMインターフェース (HO) {#edit-xfrm-interface-ho} を編集する
XFRM インターフェースは、ルートベースの VPN 接続を設定するときに、Sophos Firewall が WAN インターフェースに作成する仮想トンネルインターフェースです。
- 「ネットワーク > インターフェース」に移動します。
-
XFRM インターフェースを設定したポートをクリックします。左側に青いバーがあるポートは、仮想インターフェースが割り当てられていることを示しています。
次に例を示します。
-
XFRM インターフェースをクリックし、IP アドレスとサブネットを指定します。例:
3.3.3.3/24
例:
-
「保存」をクリックします。
ファイアウォールルールを追加する (HO)
受信および送信 VPN トラフィックのファイアウォールルールを作成します。
- 「ルールとポリシー > ファイアウォールルール」に移動します。
- 「IPv4」プロトコルを選択します。
- 「ファイアウォールルールの追加 > 新しいファイアウォールルール」を選択します。
-
設定を指定します。
名前 設定 ルール名 Inbound_Allow
送信元ゾーン VPN
送信元ネットワークとデバイス BO_LAN
宛先ゾーン LAN
宛先ネットワーク HO_LAN
例:
-
「ファイアウォールトラフィックのログ」を選択します。
- 「保存」をクリックします。
- 「IPv4」を選択し、「ファイアウォールルールの追加」を選択します。「新しいファイアウォールルール」を選択します。
-
設定を指定します。
名前 設定 ルール名 Outbound_Allow
送信元ゾーン LAN 送信元ネットワークとデバイス HO_LAN 宛先ゾーン VPN 宛先ネットワーク BO_LAN -
「ファイアウォールトラフィックのログ」を選択します。
- 「保存」をクリックします。
ルートを追加する (HO)
この例では、静的ルートと SD-WAN ルートを設定する方法を説明します。動的ルートについては、次を参照してください。
- 「ルーティング > SD-WAN ルート」に移動します。
- 「IPv4」を選択して「追加」をクリックします。
- 「名前」を入力します。
- 「送信元ネットワーク」を
HO_LAN
に設定します。 -
「宛先ネットワーク」を
BO_LAN
に設定します。 -
「リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。
注
パフォーマンス SLA とセキュリティ状態のチェック基準に基づいてゲートウェイのフェールオーバーを強制する場合は、トンネルインターフェイスを使用して SD-WAN プロファイルを作成し、ここでそのプロファイルを選択します。
-
「プライマリゲートウェイ」のドロップダウンリストをクリックし、「追加」をクリックします。
-
必要に応じて、「指定されたゲートウェイを経由してのみルーティング」を選択できます。
トンネルが使用できない場合、ファイアウォールはトラフィックをドロップします。
-
「保存」をクリックします。
支社側での LAN の定義
支社ネットワークと本社ネットワーク用のホストを作成します。
- 「ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
-
ローカル LAN を設定します。
名前 設定 名前 BO_LAN
種類 ネットワーク IP アドレス 192.168.3.0
サブネット /24 (255.255.255.0)
-
リモート LAN を設定します。
名前 設定 名前 HO_LAN
種類 ネットワーク IP アドレス 192.168.1.0
サブネット /24 (255.255.255.0)
ルートベース VPN トンネル (BO) の作成
ルートベースの VPN トンネルを作成するには、次の手順を実行します。
- 「サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
- 名前を入力します。
-
全般設定を指定します。
名前 設定 IP バージョン 指定された IP バージョンを使用するデータのみが、トンネルを通過できます。
「IPv4」を選択します。接続の種類 「トンネルインターフェース」を選択します。これにより、2つのエンドポイント間にトンネルインターフェースが作成されます。インターフェースの名前は xfrm
で、その後に番号が続きます。ゲートウェイの種類 次のゲートウェイタイプを選択します。
接続を開始: VPN サービスまたはデバイスが再起動するたびに、接続を確立します。保存時にアクティベート このオプションを選択します。「保存」をクリックしたときに、VPN 接続がアクティベートされます。 -
暗号化設定を指定します。
名前 設定 プロファイル トラフィック用の IPsec プロファイル。「IKEv2」を選択します。 認証タイプ 認証の種類として以下を選択します。
RSA 鍵: RSA 鍵を使用してエンドポイントを認証します。
ローカル RSA キーは自動的に生成されます。本社の Sophos Firewall から RSA 鍵をコピーして貼り付ける必要があります。 -
ローカルゲートウェイを設定します。
名前 設定 リスニングインターフェース 接続リクエストを待機するインターフェース。WAN インターフェース ( Port2-172.20.120.15) を選択します。 -
リモートゲートウェイを設定します。
名前 設定 ゲートウェイのアドレス 本社の Sophos Firewall の WAN IP アドレス ( 172.20.120.10
) を入力します。注
ワイルドカード
*
はルートベースの VPN ではサポートされていないため、ゲートウェイアドレスを入力する必要があります。この例では、本社の Sophos Firewall の WAN IP アドレスを使用します。 -
「保存」をクリックします。
「プロファイル > IPsec プロファイル」に移動し、「デッドピア検知」がオンになっていることを確認します。ピア (本社) に到達できない場合に実行するアクションを次の中から選択します。再開。
XFRM インターフェース (BO) の編集
XFRM インターフェースは、ルートベースの VPN 接続を設定するときに、Sophos Firewall が WAN インターフェースに作成する仮想トンネルインターフェースです。
- 「ネットワーク > インターフェース」に移動します。
- IP アドレスとサブネットを指定します。例:
3.3.3.4/24
- 「保存」をクリックします。
ファイアウォールルールを追加する (BO)
受信および送信 VPN トラフィックのファイアウォールルールを作成します。
- 「ルールとポリシー > ファイアウォールルール」に移動します。
- 「IPv4」プロトコルを選択します。
- 「ファイアウォールルールの追加 > 新しいファイアウォールルール」を選択します。
-
設定を指定します。
名前 設定 ルール名 Inbound_Allow
送信元ゾーン VPN 送信元ネットワークとデバイス HO_LAN
宛先ゾーン LAN 宛先ネットワーク BO_LAN
-
「ファイアウォールトラフィックのログ」を選択します。
- 「保存」をクリックします。
- 「IPv4」を選択し、「ファイアウォールルールの追加」を選択します。「新しいファイアウォールルール」を選択します。
-
設定を指定します。
名前 設定 ルール名 Outbound_Allow
送信元ゾーン LAN 送信元ネットワークとデバイス BO_LAN
宛先ゾーン VPN 宛先ネットワーク HO_LAN
-
「保存」をクリックします。
ルートを追加する (BO)
この例では、静的ルートと SD-WAN ルートを設定する方法を説明します。動的ルートについては、次を参照してください。
- 「ルーティング > スタティックルーティング」に移動し、「IPv4 ユニキャストルート」の「追加」をクリックします。
-
ルートを以下のように設定します。
名前 設定 宛先 IP/ネットマスク 192.168.1.0/24
インターフェース xfrm1-3.3.3.4
-
「保存」をクリックします。
- 「ルーティング > SD-WAN ルート」に移動します。
- 「IPv4」を選択して「追加」をクリックします。
- 「名前」を入力します。
- 「送信元ネットワーク」を
BO_LAN
に設定します。 -
「宛先ネットワーク」を
HO_LAN
に設定します。 -
「リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。
-
「プライマリゲートウェイ」のドロップダウンリストをクリックし、「追加」をクリックします。
- 名前を入力します。
- 「ゲートウェイ IP」で、本社の XFRM の IP アドレスを入力します (例:
3.3.3.3
)。 - 「インタフェース」に、XFRM インターフェースを選択します (例:
xfrm1_3.3.3.4
)。 - 「セキュリティ状態のチェック」をオンにする場合は、「監視条件」に本社の内部 IP アドレスを入力します (例:
192.168.1.2
)。
-
必要に応じて、「指定されたゲートウェイを経由してのみルーティング」を選択できます。
トンネルが使用できない場合、ファイアウォールはトラフィックをドロップします。
-
「保存」をクリックします。
接続の確認
- 「管理 > デバイスのアクセス」に移動します。VPN ゾーンの場合は、「Ping/Ping6」を選択します。
- 「ルールとポリシー > ファイアウォールルール」に移動します。先ほど作成したファイアウォールルールで、「ファイアウォールトラフィックのログ」が有効になっていることを確認します。
本社で、次の手順を実行します。
- ブランチオフィス LAN 上のデバイスに対して継続的に ping を実行します。Windows でコマンドプロンプトを起動し、
ping 192.168.3.10 -t
と入力します。 - Sophos Firewall で、「診断 > パケットキャプチャ > 設定」に移動します。「BPF 文字列」に以下のように入力します:
host 192.168.1.10 and proto ICMP
- 「保存」をクリックします。
- 「パケットキャプチャ」をオンにします。ping が成功すると、XFRM インターフェースから送信される ICMP トラフィックが表示されます。
- 「ログビューア」に移動します。
192.168.1.10
を検索します。ping が成功すると、XFRM インターフェースから宛先 IP アドレス 192.160.1.10 への ICMP トラフィックが表示されます。
さらにトラブルシューティングを行うには、ファイアウォールルール ID を選択し、「ファイアウォールルールのフィルタリング」を選択します。これにより、Web 管理コンソールでファイアウォールルールが開き、設定を確認できます。
その他のリソース