IPsec 接続の追加
ホスト間、サイト間、およびルートベースの IPsec 接続を設定できます。
- 「サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
- 名前を入力します。
-
全般設定を指定します。
名前 設定 IP バージョン トンネルは、指定された IP バージョンのトラフィックだけを転送します。
デュアルモードのトンネルインターフェースでは、次の操作を実行できません。
- ファイアウォールルールの自動作成。
- ローカルサブネットとリモートサブネットに対してトラフィックセレクタを指定してください。
接続の種類 サイト間: インターネットを通じて、ローカルサブネットとリモートサブネットの間に安全な接続を確立します。支社と本社を接続するとき、この接続を使用します。
ホスト間: 2 台のホスト間に安全な接続を確立します。たとえば、2 台のコンピュータ間で接続を確立できます。
トンネルインターフェース: ルートベースの VPN 接続を確立し、2 つのファイアウォール間にトンネルインターフェースを作成します。XFRM インターフェイスは、インターフェイス名
xfrm
に続き、番号を付けて自動的に作成されます。「ネットワーク > インターフェース」で、インターフェーに IP アドレスを割り当てる必要があります。詳細は、ルートベースの VPNを参照してください。ゲートウェイの種類 VPN サービスまたはファイアウォールが再起動したときの処理を指定します。
無効化: ユーザーが有効にするまで、接続は無効のままです。
応答のみ: 受信要求にいつでも応答するために接続を準備します。
接続を開始: VPN サービスまたはファイアウォールが再起動した場合に毎回接続を確立します。
中央のゲートウェイ (本社など) を「応答のみ」に、リモートのゲートウェイ (支社など) を「接続を開始」に設定することを推奨します。
保存時にアクティベート 接続を有効にします。 ファイアウォールルールの作成 この接続のファイアウォールルールを自動的に作成します。
ファイアウォールルールリストで、ルールの位置を確認してください。メール MTA、IPsec 接続、ホットスポットなどの自動作成されたファイアウォールルールは、ファイアウォールルールリストの一番上に配置され、最初に評価されます。新しいルールと既存のルールに同じような条件が指定されている場合、一番上のルールのポリシーとアクションが適用されることにより、メールが配信されなかったり、トンネルが確立されないなど、想定外の結果につながる可能性があります。
-
暗号化設定を指定します。
名前 設定 プロファイル トラフィック用の IPsec プロファイル。 認証タイプ - 事前共有鍵: 両方のエンドポイントに共通のシークレットを使用して、エンドポイントを認証します。この鍵を保管してください。これはリモートファイアウォールに入力する必要があります。
事前共有鍵 (PSK) を使用して最後に設定した接続は、リスニングインターフェイスとリモートゲートウェイ間のすべての接続の PSK を置き換えます。
これを回避するには、IKEv2 プロファイルを選択し、ローカル ID とリモート ID を選択することを推奨します。IKEv2 を使用すると、ローカル ID とリモート ID の組み合わせごとに異なる PSK を維持できます。
- デジタル証明書: 証明書 (ローカル署名されたものか、証明機関により発行されたもの) を交換して、エンドポイントを認証します。
- RSA 鍵: RSA 鍵を使用してエンドポイントを認証します。
ローカル証明書 ローカルファイアウォールによる認証で使用される証明書。 リモート証明書 リモートファイアウォールによる認証で使用される証明書。 リモート CA 証明書 ローカルファイアウォールは、リモート CA 証明書に基づいてリモート証明書を認証します。
パブリック CA 証明書の使用は、セキュリティリスクにつながります。
警告
リモート CA 証明書に、パブリック CA 証明書を使用しないでください。そうすると、攻撃者がパブリック CA からの有効な証明書を使用して、接続に不正アクセスする可能性があります。
- 事前共有鍵: 両方のエンドポイントに共通のシークレットを使用して、エンドポイントを認証します。この鍵を保管してください。これはリモートファイアウォールに入力する必要があります。
-
ローカルゲートウェイを設定します。
名前 設定 リスニングインターフェース ローカルファイアウォール上の WAN インターフェース。
リスニングインターフェースにブリッジインターフェースを使用することはできません。
ローカル ID のタイプ 事前共有鍵と RSA 鍵の場合は、ID の種類を選択し、「ローカル ID」に値を入力します。これは、トンネルの追加検証や、NAT トラバーサルにおける中のファイアウォールの識別に使用できます。
NAT トラバーサルは常にオンになっています。ローカル ID とリモート ID を使用することで、ルーターの背後に設置されている、プライベート IP アドレスを持つリモートファイアウォールを識別することが可能になります。
ローカルサブネット VPN アクセスを提供するローカルホストまたはサブネットです。
トンネルインターフェースの場合、「IP バージョン」を「IPv4」または「IPv6」に設定した場合にのみ、トラフィックセレクタが追加できます。「任意」を選択するか、特定のセレクタを指定するかは、ローカルサブネットとリモートサブネットの両方で統一してください。ローカルとリモートのいずれかで「任意」を選択し、もう一方でトラフィックセレクタを指定することはできません。
-
リモートゲートウェイを設定します。
名前 設定 ゲートウェイのアドレス リモートゲートウェイの IP アドレスまたは DNS ホスト名です。
- 「接続を開始」する「ゲートウェイの種類」を設定している場合は、ワイルドカードアドレス (
*
) は使用できません。リモートゲートウェイにダイナミック IP アドレスが設定されている場合は、DNS ホスト名が使用できます。 - PSKとワイルドカードアドレスを指定した場合は、IKEv2 プロファイルを選択し、ローカル ID とリモート ID を指定してください。
そうしないと、PSK は既存のすべての構成の PSK を同じローカル / リモートゲートウェイの組み合わせで置き換えます。リモートゲートウェイはワイルドカードアドレスと見なされるため、これは特にリモートアクセス VPN に影響します。
リモート ID のタイプ 事前共有鍵と RSA 鍵については、ID の種類を選択し、「リモート ID」に値を入力します。これは、トンネルの追加検証に使用します。
一意の FQDN またはホスト名、IP アドレス、またはメールアドレスが入力できます。DER ASN1 DN [X.509] の場合は、リモートファイアウォールの証明書の識別名を貼り付けてください。
リモートサブネット VPN アクセスを提供するリモートホストまたはサブネットです。
トンネルインターフェイスの場合、「IP バージョン」を「IPv4」または「IPv6」に設定した場合にのみ、トラフィックセレクタが追加できます。「任意」を選択するか、特定のセレクタを指定するかは、ローカルサブネットとリモートサブネットの両方で統一してください。ローカルとリモートのいずれかで「任意」を選択し、もう一方でトラフィックセレクタを指定することはできません。
- 「接続を開始」する「ゲートウェイの種類」を設定している場合は、ワイルドカードアドレス (
-
ローカルサブネットとリモートサブネットが重複している場合は、「Network Address Translation (NAT)」を選択して、IP アドレスを変換します。
- 変換後のサブネット: ポリシーで指定したローカルサブネットが表示されます。Sophos Firewall は、これを実際のサブネットに変換します。
- 変換前のサブネット: 実際のサブネットを選択します。ローカルサイトとリモートサイトで重複するサブネットを選択してください。
注
このオプションは、ポリシーベースの VPN (ホスト間およびサイト間) と、トラフィックセレクタを使用するルートベースの VPN のみで使用できます。
ローカルサブネットおよびリモートサブネットを「任意」に設定した、トラフィックセレクタを使用しないルートベースの VPN (トンネルインターフェース) では、NAT ルールを設定して IP アドレスを変換する必要があります。
-
詳細設定を指定します:
-
「保存」をクリックします。
その他のリソース