コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ルーティング

ルーティングを行うと、指定した基準に基づいて Sophos Firewall でのトラフィック転送が可能になります。

SD-WAN、スタティック、ダイナミックルートを設定できます。Sophos Firewall は、IPsec トラフィックの VPN ルートを自動的に作成します。

ルート優先順位

ルーティングは、コマンドラインインターフェースで指定した優先順位に従います。デフォルトのルート優先順位は、スタティックルート、SD-WAN ルート、VPN ルートの順です。

ルート優先順位を表示するには、次の手順を実行します。

  • CLI: 「デバイスコンソール」に「4」と入力し、次のコマンドを入力します。

    system route_precedence show

  • Web 管理コンソール: 「ルーティング > SD-WAN ルート」に移動します。

    ルートの優先順位。

プロトコル、ネットワーク、およびルートの詳細を次の表に示します。

ルート ルートの優先順位

スタティックルート:

  • 直接接続されたネットワーク
  • ユニキャストルート
  • ダイナミックルート
  • SSL VPN 接続

SD-WAN ルート

VPN ルート:

  • ポリシーベースの IPsec VPN のバックエンドで自動的に作成されます。
  • CLI で ipsec_route コマンドを使用して指定されたルートを含めます。

コマンドラインインターフェースでルーティングの優先順位を設定します。

例: system route_precedence set static sdwan_policyroute vpn

WAN リンクマネージャ (デフォルトルート) トラフィックが設定されたルートと一致しない場合の代替ルート。

移行されたルートのルート優先順位 も参照してください。

ルート優先順位と VPN トラフィック

SSL VPN トラフィック

SSL VPN トラフィックはスタティックルートに属します。SSL VPN ポリシーと SD-WAN ルートを構成し、宛先をローカルネットワーク 10.1.1.0 に設定したとします。

ルート優先順位が SD-WAN ルートに設定され、その後にスタティックルートと VPN ルートが続く場合、ファイアウォールは最初に SD-WAN ルートとの照合を試みます。一致するルートが見つかると、リモートユーザーはこのルートを使用してネットワークにアクセスします。一致する SD-WAN ルートが見つからない場合、ファイアウォールは SSL VPN ポリシーを実装します。

ただし、一致する SD-WAN ルートに関係なく、ユーザーが SSL VPN を使用して宛先にアクセスできるようにする場合は、SD-WAN ルートの前にスタティックルートを設定する必要があります。次のコマンドを入力します。

system route_precedence set static sdwan_policyroute vpn

IPSec VPN トラフィック

system route_precedence コマンドを使用すると、WAN ゾーンへのトラフィックに対して、スタティックルートよりも VPN ルートの優先順位が高くなります。スタティックルートまたはローカルルートが WAN 以外のゾーンにトラフィックを送信する場合、ファイアウォールは VPN ではなくそのスタティックルートを使用してトラフィックをルーティングします。このトラフィックを VPN にルーティングするには、トラフィックセレクタを使用するポリシーベースの VPN に対して ipsec_route コマンドを使用します。

次に例を示します。

system ipsec_route add net 192.168.1.0/255.255.255.0 tunnelname <tunnelname>

ヒント

tunnelname の後で Tab キーを 2 回押すと、使用可能なトンネルのリストが表示されます。

高度なルート設定

Web 管理コンソールは基本的なルート設定のみをサポートしています。高度なルート設定には、CLI を使用する必要があります。詳細は、ルート設定を参照してください。