コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-L2TP-connection-create

L2TP リモートアクセス接続の作成

リモートアクセス L2TP 接続を作成します。

はじめに

L2TP 接続を作成するには、以下の手順に従います。

  • L2TP VPN 接続を有効にして、設定を指定します。
  • L2TP ポリシーを作成します。
  • ルートの優先順位を設定します。
  • 受信方向の VPN トラフィックを許可するファイアウォールルールを作成します。

L2TP 接続を作成する

  1. リモートアクセス VPN > L2TP」に移動し、「L2TP グローバル設定」をクリックします。

    VPN の設定を表示します。

  2. L2TP の有効化」を選択して、L2TP 接続を有効にします。

  3. 全般設定を指定します。

    名前 説明
    IP の割り当て先 リースする IP アドレス範囲を入力します。
    RADIUS サーバーから L2TP、PPTP、Sophos Connect クライアントに IP アドレスをリースすることを許可する

    この設定は任意です。

    RADIUS から IP アドレスをリースする場合は、この設定を選択します。

  4. クライアント情報を指定します。

    名前 説明
    プライマリ DNS サーバー ドロップダウンリストから DNS サーバーを選択するか、「その他」を選択してサーバーのアドレスを入力して、DNS サーバーを指定します。
    セカンダリ DNS サーバー

    この設定は任意です。

    ドロップダウンリストから DNS サーバーを選択するか、「その他」を選択してサーバーのアドレスを入力して、DNS サーバーを指定します。
    プライマリ WINS サーバー

    この設定は任意です。

    プライマリ WINS サーバーの IP アドレスを入力します。
    セカンダリ WINS サーバー

    この設定は任意です。

    セカンダリ WINS サーバーの IP アドレスを入力します。

  5. メンバーの追加」をクリックします。

    メンバーの追加ボタン。

  6. ユーザーとグループを選択し、「追加」をクリックします。

    選択対象のユーザーとグループが表示された画面。

  7. 適用」をクリックします。

    設定例を以下に示します。

    L2TP の全般設定およびクライアント情報の例。

L2TP ポリシーを作成する

  1. リモートアクセス VPN > L2TP」に移動し、「追加」をクリックします。
  2. 名前を入力します。

  3. 全般設定を指定します。

    名前 説明
    プロファイル トラフィック用の IPsec プロファイル。
    ゲートウェイの種類

    VPN サービスまたはファイアウォールが再起動したときの処理を指定します。

    無効化: ユーザーが有効にするまで、接続は非アクティブのままです。

    応答のみ: 受信要求にいつでも応答するために接続を準備します。

  4. 認証設定を指定します。

    名前 説明
    認証タイプ

    接続に使用する認証。

    事前共有キー: 両方のエンドポイントに既知のシークレットを使用して、エンドポイントを認証します。

    デジタル証明書: 証明書 (ローカル署名されたものか、証明機関により発行されたもの) を交換して、エンドポイントを認証します。

  5. ローカルネットワークの詳細を指定します。

    名前 説明
    ローカル WAN ポート トンネルのエンドポイントとして動作する WAN ポートを選択します。
    ローカル ID 事前共有鍵の ID の種類を選択して値を入力します。DER ASN1DN (X.509) は使用できません。

  6. リモートネットワークの詳細を指定します。

    名前 説明
    リモートホスト (任意の IP アドレスを指定するには、"" を入力します。)任意の IP アドレスを指定するには、「」を入力してください。
    NAT トラバーサルを許可する NAT デバイスがエンドポイント間に存在する場合、NAT トラバーサルを有効にします (リモートピアがプライベート/ルーティング不可能な IP アドレスを所有する場合)。
    リモートサブネット アクセスを与えるリモートネットワーク。
    リモート ID 事前共有鍵の ID の種類を選択して値を入力します。DER ASN1DN (X.509) は使用できません。

  7. クイックモードセレクターを指定します。

    名前 説明
    ローカルポート ローカルピアが TCP または UDP トラフィックに使用するポート。任意のポートを指定するには、「*」を入力してください。
    リモートポート リモートピアが TCP または UDP トラフィックに使用するポート。任意のポートを指定するには、「*」を入力してください。

  8. 詳細設定を指定します:

    名前 説明
    トンネルがアイドル状態の時に切断 クライアントがアイドル状態のまま指定時間が経過したら、セッションから切断します。
    アイドルセッション時間の間隔 アイドル状態のクライアントを切断するまでの時間 (秒)。

  9. 保存」をクリックします。

    設定の例を以下に示します。

    L2TP 設定の例。

    L2TP 設定の例。

  10. 「有効」列の赤いアイコンをクリックして、接続を有効にします。完了すると、アイコンが緑色になります。

    次に例を示します。

    VPN 接続が有効であることが示されます。

Windows 10 で L2TP 接続を構成するには、Windows 10用のL2TP接続の構成 を参照してください。

ルートの優先順位の設定

ルートのデフォルトの優先順位は、スタティックルート、SD-WAN ポリシールート、VPN ルートです。L2TP 接続を確立するには、VPN ルートが最初に来る必要があり、その後に任意の順序でスタティックルートと SD-WAN ポリシールートが続く必要があります。

  1. ファイアウォールの CLI にサインインします。
  2. 4 を入力して、 「デバイスコンソール」を選択します。
  3. system route_precedence set vpn static sdwan_policyroute を実行します。
  4. system route_precedence show を実行して、VPN ルートが最初に来ることを確認します。

ファイアウォールルールの作成

  1. ルールとポリシー > ファイアウォールルール」に移動し、「IPv4」をクリックします。
  2. ファイアウォールルールの追加」をクリックした後、「新しいファイアウォールルール」をクリックします。

  3. 次のようにルールを設定します。

    名前 説明
    ルール名 VPN-LAN
    送信元ゾーン VPN
    送信元ネットワークとデバイス Any
    宛先ゾーン LAN
    宛先ネットワーク Any
    サービス Any

    例:

    ファイアウォールルールの設定例。

  4. 保存」をクリックします。

    リモートホストが Sophos Firewall 経由でインターネットにアクセスできるようにするには、ファイアウォールルールを作成し、送信元ゾーンとして VPN を、宛先ゾーンとして WAN を指定します。

その他のリソース