コンテンツにスキップ

IPsec 接続の追加

ホスト間、サイト間、およびルートベースの IPsec 接続を設定できます。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 全般設定を指定します。

    名前 設定
    IP バージョン

    トンネルは、指定された IP バージョンのトラフィックだけを転送します。

    デュアルモードのトンネルインターフェースでは、次の操作を実行できません。

    • ファイアウォールルールの自動作成。
    • ローカルサブネットとリモートサブネットに対してトラフィックセレクタを指定してください。
    接続の種類

    サイト間: インターネットを通じて、ローカルサブネットとリモートサブネットの間に安全な接続を確立します。支社と本社を接続するとき、この接続を使用します。

    ホスト間: 2 台のホスト間に安全な接続を確立します。たとえば、2 台のコンピュータ間で接続を確立できます。

    トンネルインターフェース: ルートベースの VPN 接続を確立し、2 つのファイアウォール間にトンネルインターフェースを作成します。XFRM インターフェイスは、インターフェイス名 xfrm に続き、番号を付けて自動的に作成されます。「ネットワーク > インターフェース」で、インターフェーに IP アドレスを割り当てる必要があります。詳細は、ルートベースの VPNを参照してください。

    ゲートウェイの種類

    VPN サービスまたはファイアウォールが再起動したときの処理を指定します。

    無効化: ユーザーが有効にするまで、接続は無効のままです。

    応答のみ: 受信要求にいつでも応答するために接続を準備します。

    接続を開始: VPN サービスまたはファイアウォールが再起動した場合に毎回接続を確立します。

    中央のゲートウェイ (本社など) を「応答のみ」に、リモートのゲートウェイ (支社など) を「接続を開始」に設定することを推奨します。

    保存時にアクティベート 接続を有効にします。
    ファイアウォールルールの作成

    この接続のファイアウォールルールを自動的に作成します。

    ファイアウォールルールリストで、ルールの位置を確認してください。メール MTA、IPsec 接続、ホットスポットなどの自動作成されたファイアウォールルールは、ファイアウォールルールリストの一番上に配置され、最初に評価されます。新しいルールと既存のルールに同じような条件が指定されている場合、一番上のルールのポリシーとアクションが適用されることにより、メールが配信されなかったり、トンネルが確立されないなど、想定外の結果につながる可能性があります。

  4. 暗号化設定を指定します。

    名前 設定
    プロファイル トラフィック用の IPsec プロファイル。
    認証タイプ
    • 事前共有鍵: 両方のエンドポイントに共通のシークレットを使用して、エンドポイントを認証します。この鍵を保管してください。これはリモートファイアウォールに入力する必要があります。

      事前共有鍵 (PSK) を使用して最後に設定した接続は、リスニングインターフェイスとリモートゲートウェイ間のすべての接続の PSK を置き換えます。

      これを回避するには、IKEv2 プロファイルを選択し、ローカル ID とリモート ID を選択することを推奨します。IKEv2 を使用すると、ローカル ID とリモート ID の組み合わせごとに異なる PSK を維持できます。

    • デジタル証明書: 証明書 (ローカル署名されたものか、証明機関により発行されたもの) を交換して、エンドポイントを認証します。
    • RSA 鍵: RSA 鍵を使用してエンドポイントを認証します。
    ローカル証明書 ローカルファイアウォールによる認証で使用される証明書。
    リモート証明書 リモートファイアウォールによる認証で使用される証明書。
    リモート CA 証明書

    ローカルファイアウォールは、リモート CA 証明書に基づいてリモート証明書を認証します。

    パブリック CA 証明書の使用は、セキュリティリスクにつながります。

    警告

    リモート CA 証明書に、パブリック CA 証明書を使用しないでください。そうすると、攻撃者がパブリック CA からの有効な証明書を使用して、接続に不正アクセスする可能性があります。

  5. ローカルゲートウェイを設定します。

    名前 設定
    リスニングインターフェース

    ローカルファイアウォール上の WAN インターフェース。

    リスニングインターフェースにブリッジインターフェースを使用することはできません。

    ローカル ID のタイプ

    事前共有鍵と RSA 鍵の場合は、ID の種類を選択し、「ローカル ID」に値を入力します。これは、トンネルの追加検証や、NAT トラバーサルにおける中のファイアウォールの識別に使用できます。

    NAT トラバーサルは常にオンになっています。ローカル ID とリモート ID を使用することで、ルーターの背後に設置されている、プライベート IP アドレスを持つリモートファイアウォールを識別することが可能になります。

    ローカルサブネット

    VPN アクセスを提供するローカルホストまたはサブネットです。

    トンネルインターフェースの場合、「IP バージョン」を「IPv4」または「IPv6」に設定した場合にのみ、トラフィックセレクタが追加できます。「任意」を選択するか、特定のセレクタを指定するかは、ローカルサブネットとリモートサブネットの両方で統一してください。ローカルとリモートのいずれかで「任意」を選択し、もう一方でトラフィックセレクタを指定することはできません。

  6. リモートゲートウェイを設定します。

    名前 設定
    ゲートウェイのアドレス

    リモートゲートウェイの IP アドレスまたは DNS ホスト名です。

    • 接続を開始」する「ゲートウェイの種類」を設定している場合は、ワイルドカードアドレス (*) は使用できません。リモートゲートウェイにダイナミック IP アドレスが設定されている場合は、DNS ホスト名が使用できます。
    • PSKとワイルドカードアドレスを指定した場合は、IKEv2 プロファイルを選択し、ローカル ID とリモート ID を指定してください。

      そうしないと、PSK は既存のすべての構成の PSK を同じローカル / リモートゲートウェイの組み合わせで置き換えます。リモートゲートウェイはワイルドカードアドレスと見なされるため、これは特にリモートアクセス VPN に影響します。

    リモート ID のタイプ

    事前共有鍵と RSA 鍵については、ID の種類を選択し、「リモート ID」に値を入力します。これは、トンネルの追加検証に使用します。

    一意の FQDN またはホスト名、IP アドレス、またはメールアドレスが入力できます。DER ASN1 DN [X.509] の場合は、リモートファイアウォールの証明書の識別名を貼り付けてください。

    リモートサブネット

    VPN アクセスを提供するリモートホストまたはサブネットです。

    トンネルインターフェイスの場合、「IP バージョン」を「IPv4」または「IPv6」に設定した場合にのみ、トラフィックセレクタが追加できます。「任意」を選択するか、特定のセレクタを指定するかは、ローカルサブネットとリモートサブネットの両方で統一してください。ローカルとリモートのいずれかで「任意」を選択し、もう一方でトラフィックセレクタを指定することはできません。

  7. ローカルサブネットとリモートサブネットが重複している場合は、「Network Address Translation (NAT)」を選択して、IP アドレスを変換します。

    • 変換後のサブネット: ポリシーで指定したローカルサブネットが表示されます。Sophos Firewall は、これを実際のサブネットに変換します。
    • 変換前のサブネット: 実際のサブネットを選択します。ローカルサイトとリモートサイトで重複するサブネットを選択してください。

    このオプションは、ポリシーベースの VPN (ホスト間およびサイト間) と、トラフィックセレクタを使用するルートベースの VPN のみで使用できます。

    ローカルサブネットおよびリモートサブネットを「任意」に設定した、トラフィックセレクタを使用しないルートベースの VPN (トンネルインターフェース) では、NAT ルールを設定して IP アドレスを変換する必要があります。

  8. 詳細設定を指定します:

    名前 設定
    ユーザー認証モード

    クライアント / サーバーモードで XAuth (拡張認証) に基づいて VPN クライアントを認証します。サーバーモードで中央ロケーションにファイアウォールをセットしてください。

    XAuth では、現在の認証メカニズム (AD、RADIUS、LDAP など) を使用して、フェーズ 1 の交換後にユーザーを認証します。通常、組織はこれをリモートアクセス IPsec 接続に使用します。

    次のいずれかのオプションを選択します。

    • なし: ユーザー認証を適用しません。
    • クライアントとして: ローカルファイアウォールが Xauth クライアントとして機能します。リモートファイアウォールで検証するためのユーザー名とパスワードを入力します。

      リモートファイアウォールで、ユーザー認証方法を「ASサーバー」に設定します。

    • サーバーとして: ファイアウォールが XAuth サーバーとして機能します。「許可するユーザーとグループ」で、許可するユーザーを選択します。リモートファイアウォールの場合は、ユーザー認証方法を「ASクライアント」に設定します。

    また、設定ファイルをダウンロードして、ユーザー間で共有する必要もあります。設定ファイルをダウンロードするには、設定された接続のリストから接続の「ダウンロード」 (ダウンロードボタン。) をクリックします。

    IPsec VPN の認証サーバを設定するには、「認証 > サービス > VPN 認証方法」に移動し、サーバーを選択します。

    アイドル状態のときに切断 クライアントがアイドル状態のまま指定時間が経過したら、セッションから切断します。
    アイドルセッション時間の間隔 アイドル状態のクライアントを切断するまでの時間 (秒)。
  9. 保存」をクリックします。

その他のリソース