ルーティング

ルーティングを行うと、指定した基準に基づいて Sophos Firewall でのトラフィック転送が可能になります。

SD-WAN、スタティック、ダイナミックルートを設定できます。Sophos Firewall は、IPsec トラフィックの VPN ルートを自動的に作成します。

ルート優先順位

ルーティングは、コマンドラインインターフェースで指定した優先順位に従います。デフォルトのルート優先順位は、スタティックルート、SD-WAN ルート、VPN ルートの順です。

ルート優先順位を表示するには、次の手順を実行します。

CLI: 「デバイスコンソール」に「4」と入力し、次のコマンドを入力します。

system route_precedence show
Web 管理コンソール: 「ルーティング > SD-WAN ルート」に移動します。

プロトコル、ネットワーク、およびルートの詳細を次の表に示します。

ルートルートの優先順位

スタティックルート:

直接接続されたネットワーク
ユニキャストルート
ダイナミックルート
SSL VPN 接続

SD-WAN ルート

VPN ルート:

ポリシーベースの IPsec VPN のバックエンドで自動的に作成されます。
CLI で ipsec_route コマンドを使用して指定されたルートを含めます。

コマンドラインインターフェースでルーティングの優先順位を設定します。

例: system route_precedence set static sdwan_policyroute vpn

WAN リンクマネージャ (デフォルトルート) トラフィックが設定されたルートと一致しない場合の代替ルート。

移行されたルートのルート優先順位も参照してください。

ルート優先順位と VPN トラフィック

SSL VPN トラフィック

SSL VPN トラフィックはスタティックルートに属します。SSL VPN ポリシーと SD-WAN ルートを構成し、宛先をローカルネットワーク 10.1.1.0 に設定したとします。

ルート優先順位が SD-WAN ルートに設定され、その後にスタティックルートと VPN ルートが続く場合、ファイアウォールは最初に SD-WAN ルートとの照合を試みます。一致するルートが見つかると、リモートユーザーはこのルートを使用してネットワークにアクセスします。一致する SD-WAN ルートが見つからない場合、ファイアウォールは SSL VPN ポリシーを実装します。

ただし、一致する SD-WAN ルートに関係なく、ユーザーが SSL VPN を使用して宛先にアクセスできるようにする場合は、SD-WAN ルートの前にスタティックルートを設定する必要があります。次のコマンドを入力します。

system route_precedence set static sdwan_policyroute vpn

IPSec VPN トラフィック

system route_precedence コマンドを使用すると、WAN ゾーンへのトラフィックに対して、スタティックルートよりも VPN ルートの優先順位が高くなります。スタティックルートまたはローカルルートが WAN 以外のゾーンにトラフィックを送信する場合、ファイアウォールは VPN ではなくそのスタティックルートを使用してトラフィックをルーティングします。このトラフィックを VPN にルーティングするには、トラフィックセレクタを使用するポリシーベースの VPN に対して ipsec_route コマンドを使用します。

次に例を示します。

system ipsec_route add net 192.168.1.0/255.255.255.0 tunnelname <tunnelname>

ヒント

tunnelname の後で Tab キーを 2 回押すと、使用可能なトンネルのリストが表示されます。

高度なルート設定

Web 管理コンソールは基本的なルート設定のみをサポートしています。高度なルート設定には、CLI を使用する必要があります。詳細は、ルート設定を参照してください。