ルーティング
ルーティングを行うと、指定した基準に基づいて Sophos Firewall でのトラフィック転送が可能になります。
SD-WAN、スタティック、ダイナミックルートを設定できます。Sophos Firewall は、IPsec トラフィックの VPN ルートを自動的に作成します。
ルート優先順位
ルーティングは、コマンドラインインターフェースで指定した優先順位に従います。デフォルトのルート優先順位は、スタティックルート、SD-WAN ルート、VPN ルートの順です。
ルート優先順位を表示するには、次の手順を実行します。
-
CLI: 「デバイスコンソール」に「4」と入力し、次のコマンドを入力します。
system route_precedence show
-
Web 管理コンソール: 「ルーティング > SD-WAN ルート」に移動します。
プロトコル、ネットワーク、およびルートの詳細を次の表に示します。
ルート | ルートの優先順位 |
---|---|
スタティックルート:
SD-WAN ルート VPN ルート:
| コマンドラインインターフェースでルーティングの優先順位を設定します。 例: |
WAN リンクマネージャ (デフォルトルート) | トラフィックが設定されたルートと一致しない場合の代替ルート。 |
移行されたルートのルート優先順位 も参照してください。
ルート優先順位と VPN トラフィック
SSL VPN トラフィック
SSL VPN トラフィックはスタティックルートに属します。SSL VPN ポリシーと SD-WAN ルートを構成し、宛先をローカルネットワーク 10.1.1.0
に設定したとします。
ルート優先順位が SD-WAN ルートに設定され、その後にスタティックルートと VPN ルートが続く場合、ファイアウォールは最初に SD-WAN ルートとの照合を試みます。一致するルートが見つかると、リモートユーザーはこのルートを使用してネットワークにアクセスします。一致する SD-WAN ルートが見つからない場合、ファイアウォールは SSL VPN ポリシーを実装します。
ただし、一致する SD-WAN ルートに関係なく、ユーザーが SSL VPN を使用して宛先にアクセスできるようにする場合は、SD-WAN ルートの前にスタティックルートを設定する必要があります。次のコマンドを入力します。
system route_precedence set static sdwan_policyroute vpn
IPSec VPN トラフィック
system route_precedence
コマンドを使用すると、WAN ゾーンへのトラフィックに対して、スタティックルートよりも VPN ルートの優先順位が高くなります。スタティックルートまたはローカルルートが WAN 以外のゾーンにトラフィックを送信する場合、ファイアウォールは VPN ではなくそのスタティックルートを使用してトラフィックをルーティングします。このトラフィックを VPN にルーティングするには、トラフィックセレクタを使用するポリシーベースの VPN に対して ipsec_route
コマンドを使用します。
次に例を示します。
system ipsec_route add net 192.168.1.0/255.255.255.0 tunnelname <tunnelname>
ヒント
tunnelname
の後で Tab キーを 2 回押すと、使用可能なトンネルのリストが表示されます。
高度なルート設定
Web 管理コンソールは基本的なルート設定のみをサポートしています。高度なルート設定には、CLI を使用する必要があります。詳細は、ルート設定を参照してください。