DHCP トラフィックをルートベースの IPsec VPN 経由で DHCP サーバーに送信する

Sophos Firewall を DHCP リレーエージェントとして設定し、クライアントからの DHCP リクエストを、本社のファイアウォールの背後にある DHCP サーバーに転送します。ルートベースの IPsec VPN 経由で DHCP トラフィックを送信します。

DHCP サーバーおよびリレーエージェント: ネットワーク図

以下に示すネットワークの情報および設定は一例です。ご利用のネットワークに応じた設定を使用してください。

この例では、既存のルートベースの IPsec VPN 接続 (ローカルおよびリモートのサブネットを Any (任意) に設定したもの) を使用しています。また、VPN トラフィックに対して既存のルートおよびファイアウォールルールを使用しています。

本社: 以下の IP アドレスは例です。

• WAN IP アドレス: 192.0.2.1
• DHCP サーバーのインターフェース: 172.16.16.1

支店: 以下の IP アドレスは例です。

• WAN IP アドレス: 203.0.113.1
• DHCP リレーエージェントのインターフェース: 10.10.1.1
• LAN サブネット: 10.10.1.0/24

VPN の要件

本社および支社のファイアウォールで、以下のように設定します。

1. ファイアウォールの WAN インターフェースを使って、ルートベースの IPsec VPN 接続を作成し、ローカルとリモートのサブネットを Any (任意) に設定します。
2. 両方のファイアウォールで、VPN トラフィックをルーティングするスタティックルート、SD-WAN ルート、またはダイナミックルートを設定します。
3. IPsec VPN トンネルで、WAN からのデバイスアクセスを許可します。

4. 以下のファイアウォールルールを設定し、VPN トラフィックを許可します。

   1. 支社のファイアウォールの送信方向ルール。
   2. 本社のファイアウォールの受信方向ルール。

   詳細は、ルートベースの VPN の作成 (任意のサブネット間)を参照してください。

本社: ファイアウォールルール

本社のファイアウォールでファイアウォールルールを作成し、受信方向の DHCP トラフィックを許可するには、次の手順を実行します。

1. 「ルールとポリシー > ファイアウォールルール」に移動し、「ファイアウォールルールの追加」、「新しいファイアウォールルール」の順にクリックします。
2. 名前を入力します。
3. 「送信元ゾーン」で「VPN」を選択します。
4. 「送信元ネットワークとデバイス」で、支社のファイアウォールの DHCP リレーインターフェースに対応する IP ホストを選択します (例: DHCPRelay_10.10.1.1)。
5. 「宛先ゾーン」で「DMZ」を選択します。
6. 「 宛先ネットワーク」で、DHCP サーバーを選択します (例: DHCPServer_172.16.16.17)。
7. 「サービス」で、「DHCP」を選択します。

8. 「保存」をクリックします。

   

支店: DHCP リレーエージェント

支社のファイアウォールのインターフェースを DHCP リレーエージェントとして設定します。このリレーエージェントが、本社のファイアウォールの背後にある DHCP サーバーに対して、サブネット内にあるエンドポイント用の IP アドレスをリクエストします。

1. 「ネットワーク > DHCP」の順に選択します。
2. 「リレー」で「追加」をクリックします。
3. 名前を入力します。
4. DHCP クライアントが属するインターフェースを選択します (例: Port2 - 10.10.1.1)。
5. 「DHCP サーバー IP」に、DHCP サーバーの IP アドレスを入力し (例: 172.16.16.17)、 をクリックします。

6. 「保存」をクリックします。

   

詳細は、DHCP リレーの追加を参照してください。