コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=site-to-site-PBVPN-branch-office-system-generated-traffic

支店のインターネットトラフィックを本社経由で転送する

ポリシーベースの IPsec VPN 接続を設定し、IPsec トンネル経由で、支店から本社の WAN ポートにすべてのインターネットトラフィックを転送できます。

支店のシステムで生成されたトラフィックを支店から直接インターネットに転送する場合は、システムで生成されたトラフィックのポリシーベースの IPsec VPN ルートをオフにできます。

ネットワーク図

IPsec VPN デジタル証明書のネットワーク図。

支店から本社へすべてのインターネットトラフィックを転送するには、次の手順を実行します。

  1. 支店 (Sophos Firewall 2) と本社 (Sophos Firewall 1) 間でポリシーベースの IPsec VPN 接続を設定します。
  2. トラフィックを許可するファイアウォールルールを設定します。
  3. (任意) 必要に応じて、システムで生成されたトラフィックのポリシーベースの IPsec VPN ルートをオフにします。

要件

このシナリオでは、ルートの優先順位は VPN、静的、SD-WAN ルートの順でなければなりません。詳細は、ルート優先順位を参照してください。

ポリシーベースの IPsec VPN の設定

支店と本社の間でポリシーベースの IPsec VPN 接続を作成します。詳細は、事前共有鍵を使用したポリシーベースの IPsec VPN の作成を参照してください。

次のようにサブネットを設定します。

サブネット 本社のファイアウォール 支社のファイアウォール
ローカル 任意 支店 LAN
リモート 支店 LAN 任意

ファイアウォールルールの設定

本社と支店でファイアウォールルールを設定し、トラフィックを許可します。

すべてのルールについて、表に記載されていない設定は、デフォルト値を使用してください。

本社ファイアウォールに VPN-to-WAN ファイアウォールルールを追加します。

本社ファイアウォールに VPN-to-WAN ファイアウォールルールを追加し、VPN トンネルからのすべてのトラフィックが本社ファイアウォールの WAN ポート経由でルーティングするように許可します。

本社のファイアウォールで、次の手順を実行します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。

  2. IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択して、「新しいファイアウォールルール」をクリックします。

  3. 設定を次のように指定します。

    設定
    ルール名 VPN to WAN
    アクション 許可
    ファイアウォールトラフィックのログ 選択
    ルールの位置 最上位
    ルールグループ 該当なし
    送信元ゾーン VPN
    宛先ゾーン WAN
    関連付けられた NAT ルールの作成 > 変換後の送信元 (SNAT) MASQ

  4. 保存」をクリックします。

支店ファイアウォールに LAN-to-VPN ファイアウォールルールを追加します。

支社ファイアウォールに LAN-to-VPN ファイアウォールルールを追加し、すべての LAN トラフィックを VPN トンネルに転送します。

支店のファイアウォールで、次の手順を実行します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。

  2. IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択して、「新しいファイアウォールルール」をクリックします。

  3. 設定を次のように指定します。

    設定
    ルール名 LAN to VPN
    アクション 許可
    ファイアウォールトラフィックのログ 選択
    ルールの位置 最上位
    ルールグループ 該当なし
    送信元ゾーン LAN
    送信元ネットワークとデバイス 関連 IP アドレスサブネット
    宛先ゾーン VPN

  4. 保存」をクリックします。

支店のファイアウォールに、トラフィックをドロップするファイアウォールルールを追加します。

支店のファイアウォールに、支店のファイアウォールの WAN ポートに向かう LAN トラフィックをドロップするファイアウォールルールを追加します。

支店のファイアウォールで、次の手順を実行します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。

  2. IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択して、「新しいファイアウォールルール」をクリックします。

  3. 設定を次のように指定します。

    設定
    ルール名 LAN to WAN ドロップ
    アクション 破棄
    ルールの位置 最上位
    ルールグループ 該当なし
    送信元ゾーン LAN
    宛先ゾーン WAN

  4. 保存」をクリックします。

(任意) システムで生成されたトラフィックのポリシーベースの IPsec VPN ルートをオフにします。

支店のシステムで生成されたトラフィックを支店のファイアウォールの WAN ポートから直接インターネットに転送する場合は、システムで生成されたトラフィックのポリシーベースの IPsec VPN ルートをオフにします。

システムで生成されたトラフィックのポリシーベースの IPsec VPN ルートをオフにするには、次の手順を実行します。

  1. 支店のファイアウォールのコマンドラインコンソールにサインインします。
  2. デバイスコンソール」の場合は、4 と入力します。

  3. 次のコマンドを入力します。

    set routing policy-based-ipsec-vpn system-generate-traffic disable